가트너가 정보보안 전망을 발표
전문 조사기관 가트너가 발표하는 보고서는 각국 IT 분야의 업계와 보안기업, IT관련 관청등에서 주시하고 있습니다. 정보보안 최신보고서 "2021~2022년 사이버보안 전망 Top8"이 공개되어 소개하겠습니다.
보고서의 취지는 2021년의 정보보안 분야를 개관하고 2022년에도 계속될 것으로 예상되는 사이버공격의 동향, 그리고 일반기업·단체에 필요한 보안대책의 방침과 체제의 정비에 대해 정리한 것입니다. 본론으로 들어가서 "전망Top8"의 구체적인 내용을 알아보겠습니다.
첨예화된 공격의 지속과 새로운 리스트에 대처
"전망Top8" 전체를 개관하기 위해 우선 키워드를 추출해서 짧게 나타내 보았습니다. 리스트 다음으로는 각 전망의 항목을 제시하고 그 내용에 대해 설명하겠습니다.
1. 세계인구 75%의 개인정보가 사생활 규제 대상으로
2. 사이버 보안 메시 아키텍처(CSMA)의 효율성이 현실화
3. CASB, 제로 트러스트, FWaaS 등의 도입기업은 벤더집약의 경향
4. 60%의 조직이 비즈니스상의 계약으로 보안위험을 중시
5. 랜섬웨어 피해에 대한 지급, 협상 규제 강화
6. 이사회의 40%는 전임 보안위원회를 설치
7. CEO 70%는 조직적 회복력 문화가 필수적으로
8. OT 공격이 물리적인 인적 피해를 줄 가능성
1. "2023년말까지 세계인구의 75%의 개인정보가 사생활 규제의 대상이 된다."
2010년대 후반부터, 선진국에서의 개인정보 보호체제는 크게 변화했습니다. 전환기가 된 것은 EU가 2016년에 발행(2018년 시행)한 GDPR(일반데이터 보호규칙)입니다. 그 후 브라질의 LGPD, 미국 캘리포니아주의 CCPA 등이 제정되어 국내에서는 개인정보 보호법이 개정되고 있습니다. (2022년4월 시행) 이러한 움직임은 더욱 확산되어 2023년 말까지는 세계 인구의 75%의 개인정보가 규제 대상이 될 것이라고 합니다.
GDPR 상징마크 출처:GDPR Facebook 페이지
GDPR의 기본적인 이념은 "개인정보는 본인의 것"으로 하며, 각국·각 지역의 규제도 이러한 생각은 대체로 계승하고 있습니다만, 개인정보의 정의나 정보를 이용할 때의 규칙은 다릅니다. 또한 기업은 사생활관리 업무의 증가를 위해 관리 시스템에서 자동화할 수 있는 부분을 늘리는 동시에 각 규제의 관할 지역에 맞는 조정이 필요합니다.
2. "2024년까지, 사이버보안 메시 아키텍처(CSMA)를 도입하는 조직은, 보안사고로 인한 재무에의 영향을 평균 90% 감소시킨다."
"사이버보안 메시"는 사내서버나 클라우드상에 분산된 애플리케이션과 데이터, 리모트워크 중인 PC, IoT 관련기기 등 모든 정보자산에 메시 상태의 보안을 기능시키기 위한 시스템 및 기술입니다.
요소기술로는 액세스가 발생할 때마다 인증을 부과하는 제로 트러스트, 방화벽(FW)으로부터 안쪽을 보호하는 기존의 경계 방어 방법이 아니라 개개의 정보기기 단위로 가드를 강화하는 엔드포인트 보안 등을 들 수 있습니다. "메시"라는 명칭은 없지만 이와 같은 인식에 따라 보안 대상 영역을 넓히는 시스템/서비스는 보급되고 있으며, 향후 2년간 더욱 가속화될 것으로 예상됩니다.
3. "2024년까지 기업의 30%는 클라우드 전송형 시큐어 Web 게이트웨이(SWG), 클라우드 접근 보안 중개 서비스(CASB), 제로 트러스트 네트워크 액세스(ZTNA), 서비스로서의 방화벽(FWaaS)의 각 기능을, 같은 벤더로부터 채용한다."
SWG, CASB, ZTNA, FWaaS는 최근 2~3년간 보급된 보안 툴이지만 모두 클라우드 서비스 이용을 전제로 정보자산을 보호하는 도구입니다.
SWG의 개요는 웹 액세스의 안전 확보에 필요한 URL 필터링, 안티바이러스 등의 기능을 탑재하고 주로 클라우드 형태로 제공하는 서비스이며, CABS는 클라우드 서비스 이용상황 일괄관리, ZTNA는 제로트러스트 개념으로 운용하는 네트워크, 그리고 FWaaS는 보다 고도의 차세대 FW의 기능을 클라우드에서 제공하는 서비스입니다.
성장과정과 수비범위는 각각 다르지만 솔루션으로써 제공하는 보안기업은 그 기능을 해마다 확장하고 있기 때문에, 겹치는 부분도 많이 있습니다. 또한 사용기업의 상당수는 수십 종류의 보안툴을 운용하고 있기때문에 관리의 부담을 줄이기 위해 벤더를 선정하여 툴의 집약과 최적화를 진행하게 될 것입니다.
4. "2025년까지 조직의 60%는 서드 파티와의 거래나 비즈니스 계약의 주요 결정 요인으로서 사이버보안 리스크를 이용한다."
대기업등을 축으로 한 공급망(supply-chain)에 대한 "서플라이 체인 어택"(Supply Chain Attack)이 다발하고 있으며, 대기업보다 보안대책이 비교적 허술한 중소기업을 겨냥하여, 그곳을 발판으로 서플라이체인(supply-chain)을 형성하는 기업의 시스템에의 부정침입이나 멀웨어를 유포하는 수법입니다.
이러한 배경때문에 보안대책이 엄격하게 요구되는 점은 기업의 규모나 계열을 불문합니다. 특히 벤처캐피탈리스트등의 투자가는, 보안을 중시하는 경향이 현저하므로, 매수/합병이나 벤더와의 계약시에도 상대편 기업에 대해 보안 프로그램의 데이터를 요구하는 요청이 증가해 가고 있습니다.
5. "2025년까지, 랜섬웨어에 대한 지급, 벌금, 협상규제를 목적으로 한 법안을 통과시키는 국가의 비율은 2021년 1% 미만에서 30%로 높아진다."
미국의 의료시설이 많은 몸값을 지급하고 불과 4일 만에 전자진료기록카드를 복구한 사례도 보고됐습니다. 인명과 관계없는 조직이더라도 금전지급 및 협상을 한 기업은 적지 않다고 생각됩니다. 몸값 지급에 거의 규제가 없는 암호화폐가 사용될 경우 법적, 윤리적 악영향을 피할 수 없습니다.
물론 비판의 대상은 피해 기업이 아닌 공격한 쪽이지만 랜섬웨어는 앞으로도 많은 공격을 할것으로 보이며, 금전지급과 협상을 규제하는 법안통과가 가속화될 것 같은 현실은 직시해야 합니다. 다만 기업체제의 정비가 필수적이며 이러한 공격이 내포하는 모든과제에대한 고려와 판단이 가능한, 수평조직 구조의 대응이 필요하다고 생각합니다.
6. "2025년까지 이사회의 40%는 적격이사가 감독하는 사이버보안위원회를 설치"
보안대책은 비용이 아닌 투자라는 인식이 확산되어 왔지만, 이러한 경향은 더욱 가시화되고 있습니다. 구체적인 움직임으로서, 이사회 차원의 보안위원회 설치, 엄격한 감독과 보안레벨의 정밀 조사 등을 들 수 있습니다.
조직전체의 보안 리스크의 가시성은 높아져, 이사회에 보고할 때도, 안전 대책의 가치, 현상의 리스크, 비용에 대해서, 더욱 정밀한 내용이 요구되게 될 것입니다.
7. "2025년까지 CEO의 70%는 사이버 범죄, 기상이변, 시민불안, 정세불안등으로 인한 동시다발적인 위협을 극복하기 위해 조직 레질리언스의 문화가 필수적이다. "
기업과 기업을 이끄는 CEO들에게의 위협은 사이버 공격뿐만이 아닙니다. 기상이변, 정세불안, 그리고 이것들이 동시에 발생하는 위협들을 극복하기 위해, 조직 레질리언스(회복탄력성)의 강화가 요구됩니다.
특히 DX(Digital Transformation)에 의한 비즈니스 영역의 확대와 복잡화가 진행되는 환경에서는 위협의 영향도 광범위하므로 정보보안의 관점에서 사이버 리스크의 영향 범위의 정의와 조직 레질리언스를 높이는 목적과 행동내용의 명확화가 요구됩니다.
8. "2025년까지 공격자는 제조설비 환경을 무기로 인적 피해를 줄 수 있게 된다."
OT(Operation Technology)는, 플랜트나 공장, 빌딩등에서 가동하는 각종기기를 제어하는 시스템의 운용·기기를 제어하는 시스템의 운용·제어기술입니다. 그 성장 배경부터 OT 분야는 폐쇄적, 제조업체의 독자적인 하드웨어와 소프트웨어로 구성되어 있었기 때문에 보안리스크는 비교적 낮은 상태가 유지되고 있었습니다. 그러나, 2010년대에 들어갔을 무렵부터 오픈 시스템의 IT와의 연동이 진행되고 있어 복잡함을 의식시키는 일 없이, 정보 시스템과 동등 레벨의 리스크에 노출되게 되었습니다.
사이버 공격으로인해 물리적인 설비가 피해를 보는 리스크를 널리 알리게 된 것은、 2010년, 이란의 핵시설에 큰 피해를 입힌 멀웨어 "Stuxnet"이지만, 이후로도 사회 인프라와 대기업의 OT를 표적으로 한 공격은 지속되었고, 서양을 중심으로 제조 시스템이 정지하는등의 실제 피해가 종종 보고되고 있습니다.
현재 인적 피해를 낳은 큰 사고의 보고는 나와 있지 않지만, IoT, DX의 추진으로 인해 네트워크화/심리스화가 진행되는 환경에서는 리스크가 높아지고 있으므로, IT/OT를 운용하는 조직은 적절한 관리를 할 수 있는 팀의 편제와 배치가 요구됩니다.
"보안 전망 Top8" 안전대책에 반영
"보안전망 Top8"에는 2021년부터 2022년에 걸쳐 표면화, 그리고 가속될 움직임이 집약되어 있습니다. 특히 전반부에서 설명한 1. 사생활 규제, 2. 사이버보안 메시, 3. 보안툴의 집약, 4. 사업계약에서의 보안 리스크 중시, 그리고 5. 랜섬웨어 대책의 각 항은 모든 기업이 직시해야 할 과제라고 할 수 있습니다.
by Yozawa Shinichi 번역 전윤경
가트너가 정보보안 전망을 발표
전문 조사기관 가트너가 발표하는 보고서는 각국 IT 분야의 업계와 보안기업, IT관련 관청등에서 주시하고 있습니다. 정보보안 최신보고서 "2021~2022년 사이버보안 전망 Top8"이 공개되어 소개하겠습니다.
보고서의 취지는 2021년의 정보보안 분야를 개관하고 2022년에도 계속될 것으로 예상되는 사이버공격의 동향, 그리고 일반기업·단체에 필요한 보안대책의 방침과 체제의 정비에 대해 정리한 것입니다. 본론으로 들어가서 "전망Top8"의 구체적인 내용을 알아보겠습니다.
첨예화된 공격의 지속과 새로운 리스트에 대처
"전망Top8" 전체를 개관하기 위해 우선 키워드를 추출해서 짧게 나타내 보았습니다. 리스트 다음으로는 각 전망의 항목을 제시하고 그 내용에 대해 설명하겠습니다.
1. 세계인구 75%의 개인정보가 사생활 규제 대상으로
2. 사이버 보안 메시 아키텍처(CSMA)의 효율성이 현실화
3. CASB, 제로 트러스트, FWaaS 등의 도입기업은 벤더집약의 경향
4. 60%의 조직이 비즈니스상의 계약으로 보안위험을 중시
5. 랜섬웨어 피해에 대한 지급, 협상 규제 강화
6. 이사회의 40%는 전임 보안위원회를 설치
7. CEO 70%는 조직적 회복력 문화가 필수적으로
8. OT 공격이 물리적인 인적 피해를 줄 가능성
1. "2023년말까지 세계인구의 75%의 개인정보가 사생활 규제의 대상이 된다."
2010년대 후반부터, 선진국에서의 개인정보 보호체제는 크게 변화했습니다. 전환기가 된 것은 EU가 2016년에 발행(2018년 시행)한 GDPR(일반데이터 보호규칙)입니다. 그 후 브라질의 LGPD, 미국 캘리포니아주의 CCPA 등이 제정되어 국내에서는 개인정보 보호법이 개정되고 있습니다. (2022년4월 시행) 이러한 움직임은 더욱 확산되어 2023년 말까지는 세계 인구의 75%의 개인정보가 규제 대상이 될 것이라고 합니다.
GDPR 상징마크 출처:GDPR Facebook 페이지
GDPR의 기본적인 이념은 "개인정보는 본인의 것"으로 하며, 각국·각 지역의 규제도 이러한 생각은 대체로 계승하고 있습니다만, 개인정보의 정의나 정보를 이용할 때의 규칙은 다릅니다. 또한 기업은 사생활관리 업무의 증가를 위해 관리 시스템에서 자동화할 수 있는 부분을 늘리는 동시에 각 규제의 관할 지역에 맞는 조정이 필요합니다.
2. "2024년까지, 사이버보안 메시 아키텍처(CSMA)를 도입하는 조직은, 보안사고로 인한 재무에의 영향을 평균 90% 감소시킨다."
"사이버보안 메시"는 사내서버나 클라우드상에 분산된 애플리케이션과 데이터, 리모트워크 중인 PC, IoT 관련기기 등 모든 정보자산에 메시 상태의 보안을 기능시키기 위한 시스템 및 기술입니다.
요소기술로는 액세스가 발생할 때마다 인증을 부과하는 제로 트러스트, 방화벽(FW)으로부터 안쪽을 보호하는 기존의 경계 방어 방법이 아니라 개개의 정보기기 단위로 가드를 강화하는 엔드포인트 보안 등을 들 수 있습니다. "메시"라는 명칭은 없지만 이와 같은 인식에 따라 보안 대상 영역을 넓히는 시스템/서비스는 보급되고 있으며, 향후 2년간 더욱 가속화될 것으로 예상됩니다.
3. "2024년까지 기업의 30%는 클라우드 전송형 시큐어 Web 게이트웨이(SWG), 클라우드 접근 보안 중개 서비스(CASB), 제로 트러스트 네트워크 액세스(ZTNA), 서비스로서의 방화벽(FWaaS)의 각 기능을, 같은 벤더로부터 채용한다."
SWG, CASB, ZTNA, FWaaS는 최근 2~3년간 보급된 보안 툴이지만 모두 클라우드 서비스 이용을 전제로 정보자산을 보호하는 도구입니다.
SWG의 개요는 웹 액세스의 안전 확보에 필요한 URL 필터링, 안티바이러스 등의 기능을 탑재하고 주로 클라우드 형태로 제공하는 서비스이며, CABS는 클라우드 서비스 이용상황 일괄관리, ZTNA는 제로트러스트 개념으로 운용하는 네트워크, 그리고 FWaaS는 보다 고도의 차세대 FW의 기능을 클라우드에서 제공하는 서비스입니다.
성장과정과 수비범위는 각각 다르지만 솔루션으로써 제공하는 보안기업은 그 기능을 해마다 확장하고 있기 때문에, 겹치는 부분도 많이 있습니다. 또한 사용기업의 상당수는 수십 종류의 보안툴을 운용하고 있기때문에 관리의 부담을 줄이기 위해 벤더를 선정하여 툴의 집약과 최적화를 진행하게 될 것입니다.
4. "2025년까지 조직의 60%는 서드 파티와의 거래나 비즈니스 계약의 주요 결정 요인으로서 사이버보안 리스크를 이용한다."
대기업등을 축으로 한 공급망(supply-chain)에 대한 "서플라이 체인 어택"(Supply Chain Attack)이 다발하고 있으며, 대기업보다 보안대책이 비교적 허술한 중소기업을 겨냥하여, 그곳을 발판으로 서플라이체인(supply-chain)을 형성하는 기업의 시스템에의 부정침입이나 멀웨어를 유포하는 수법입니다.
이러한 배경때문에 보안대책이 엄격하게 요구되는 점은 기업의 규모나 계열을 불문합니다. 특히 벤처캐피탈리스트등의 투자가는, 보안을 중시하는 경향이 현저하므로, 매수/합병이나 벤더와의 계약시에도 상대편 기업에 대해 보안 프로그램의 데이터를 요구하는 요청이 증가해 가고 있습니다.
5. "2025년까지, 랜섬웨어에 대한 지급, 벌금, 협상규제를 목적으로 한 법안을 통과시키는 국가의 비율은 2021년 1% 미만에서 30%로 높아진다."
미국의 의료시설이 많은 몸값을 지급하고 불과 4일 만에 전자진료기록카드를 복구한 사례도 보고됐습니다. 인명과 관계없는 조직이더라도 금전지급 및 협상을 한 기업은 적지 않다고 생각됩니다. 몸값 지급에 거의 규제가 없는 암호화폐가 사용될 경우 법적, 윤리적 악영향을 피할 수 없습니다.
물론 비판의 대상은 피해 기업이 아닌 공격한 쪽이지만 랜섬웨어는 앞으로도 많은 공격을 할것으로 보이며, 금전지급과 협상을 규제하는 법안통과가 가속화될 것 같은 현실은 직시해야 합니다. 다만 기업체제의 정비가 필수적이며 이러한 공격이 내포하는 모든과제에대한 고려와 판단이 가능한, 수평조직 구조의 대응이 필요하다고 생각합니다.
6. "2025년까지 이사회의 40%는 적격이사가 감독하는 사이버보안위원회를 설치"
보안대책은 비용이 아닌 투자라는 인식이 확산되어 왔지만, 이러한 경향은 더욱 가시화되고 있습니다. 구체적인 움직임으로서, 이사회 차원의 보안위원회 설치, 엄격한 감독과 보안레벨의 정밀 조사 등을 들 수 있습니다.
조직전체의 보안 리스크의 가시성은 높아져, 이사회에 보고할 때도, 안전 대책의 가치, 현상의 리스크, 비용에 대해서, 더욱 정밀한 내용이 요구되게 될 것입니다.
7. "2025년까지 CEO의 70%는 사이버 범죄, 기상이변, 시민불안, 정세불안등으로 인한 동시다발적인 위협을 극복하기 위해 조직 레질리언스의 문화가 필수적이다. "
기업과 기업을 이끄는 CEO들에게의 위협은 사이버 공격뿐만이 아닙니다. 기상이변, 정세불안, 그리고 이것들이 동시에 발생하는 위협들을 극복하기 위해, 조직 레질리언스(회복탄력성)의 강화가 요구됩니다.
특히 DX(Digital Transformation)에 의한 비즈니스 영역의 확대와 복잡화가 진행되는 환경에서는 위협의 영향도 광범위하므로 정보보안의 관점에서 사이버 리스크의 영향 범위의 정의와 조직 레질리언스를 높이는 목적과 행동내용의 명확화가 요구됩니다.
8. "2025년까지 공격자는 제조설비 환경을 무기로 인적 피해를 줄 수 있게 된다."
OT(Operation Technology)는, 플랜트나 공장, 빌딩등에서 가동하는 각종기기를 제어하는 시스템의 운용·기기를 제어하는 시스템의 운용·제어기술입니다. 그 성장 배경부터 OT 분야는 폐쇄적, 제조업체의 독자적인 하드웨어와 소프트웨어로 구성되어 있었기 때문에 보안리스크는 비교적 낮은 상태가 유지되고 있었습니다. 그러나, 2010년대에 들어갔을 무렵부터 오픈 시스템의 IT와의 연동이 진행되고 있어 복잡함을 의식시키는 일 없이, 정보 시스템과 동등 레벨의 리스크에 노출되게 되었습니다.
사이버 공격으로인해 물리적인 설비가 피해를 보는 리스크를 널리 알리게 된 것은、 2010년, 이란의 핵시설에 큰 피해를 입힌 멀웨어 "Stuxnet"이지만, 이후로도 사회 인프라와 대기업의 OT를 표적으로 한 공격은 지속되었고, 서양을 중심으로 제조 시스템이 정지하는등의 실제 피해가 종종 보고되고 있습니다.
현재 인적 피해를 낳은 큰 사고의 보고는 나와 있지 않지만, IoT, DX의 추진으로 인해 네트워크화/심리스화가 진행되는 환경에서는 리스크가 높아지고 있으므로, IT/OT를 운용하는 조직은 적절한 관리를 할 수 있는 팀의 편제와 배치가 요구됩니다.
"보안 전망 Top8" 안전대책에 반영
"보안전망 Top8"에는 2021년부터 2022년에 걸쳐 표면화, 그리고 가속될 움직임이 집약되어 있습니다. 특히 전반부에서 설명한 1. 사생활 규제, 2. 사이버보안 메시, 3. 보안툴의 집약, 4. 사업계약에서의 보안 리스크 중시, 그리고 5. 랜섬웨어 대책의 각 항은 모든 기업이 직시해야 할 과제라고 할 수 있습니다.
by Yozawa Shinichi 번역 전윤경