글로벌 사이버 보안 및 컴플라이언스 기업 프루프포인트(Proofpoint Inc.)가 첫 데이터 손실 동향 보고서(Data Loss Landscape report)를 발표했다. 이 보고서는 데이터손실방지(DLP) 및 내부자 위협에 관한 현행 접근 방식이 데이터 확산과 지능형 위협 행위자, 생성형 인공지능(GenAI) 등 거시적 현안 과제에 어떻게 대응하고 있는지를 분석했다. 이 보고서에 따르면, 데이터 손실은 사람과 기계의 상호작용에서 비롯되는 문제로서, '부주의한 사용자'가 시스템 침투나 오설정에 비해 피해 사례를 야기할 가능성이 높다.
이번 보고서는 DLP 솔루션에 투자하고 있는 기업들이 증가하고 있는 반면 적용한 솔루션이 부적절한 경우도 빈번하다고 지적하고, 설문조사에 응한 한국 기업 중 90%가 지난해 데이터 손실 사고를 경험한 것으로 나타났다고 분석했다. 데이터 손실 피해를 입은 기업 대부분은 사업 차질, 매출 손실(피해 기업의 47% 이상), 또는 평판 악화(55%) 등 부정적 영향을 받은 것으로 나타났다. 그러나 놀랍게도 프루프포인트 정보보호(Information Protection) 플랫폼 데이터에 따르면 글로벌 사용자 중 불과 1%만이 보안 경보(alerts) 88%의 원인이 되고 있다.
라이언 칼렘버(Ryan Kalember) 프루프포인트 최고전략책임자(CSO)는 “이번 연구는 데이터 손실 문제의 핵심을 잘 보여주고 있다”라며 “부주의하고 손상되고 악의적인 사용자들은 지금까지 그랬듯이 앞으로도 데이터 손실 사고의 주원인이 될 것이다. GenAI 도구는 공통 업무를 흡수하고 그 과정 중 보안 데이터에 대한 접근권을 가질 것이다. 기업들은 DLP 전략을 재고하여 데이터 손실의 근본 원인인 사람의 부주의한 행동을 해결할 필요가 있으며, 이를 통해 기업은 클라우드, 엔드포인트, 이메일, 웹 등 직원들이 사용 중인 모든 채널에 걸쳐 있는 보안 위협 요인을 감지, 조사, 대응할 수 있을 것이다”고 말했다.
최태용 프루프포인트 코리아 수석 시스템 엔지니어(Senior Systems Engineer)는 “직장 내 클라우드 등 다양한 플랫폼을 통해 기업 민감 정보를 열람하고 다양한 AI 도구를 활용해 내부 문서를 작성하는 경우가 늘어가는 추세”라며, “각 기업은 직원들이 사내 또는 외부에 공유하는 각 데이터의 유출 위험도를 분석하고 데이터 유출 경로를 선제적으로 차단할 수 있는 사내 보안 시스템을 강화하는 것이 중요하다”고 말했다.
이번 2024 데이터 손실 동향 보고서는 전 세계 12개국의 직원 수 1,000명 이상인 17개 분야 기업의 보안 전문가 600명을 대상으로 실시한 서드파티 설문조사 결과를 분석했다. 여기서 도출한 인사이트는 프루프포인트 정보보호 플랫폼 및 프루프포인트가 지난해 가을 인수한 기업 테시안(Tessian)이 보유한 데이터를 상호 보완해 기업들이 직면한 데이터 손실 및 내부자 위협 규모를 정확히 파악했다.
이 보고서의 한국 시장에 대한 핵심 내용은 다음과 같다.
▲흔하지만 예방할 수 있는 데이터 손실 사고: 한국 기업들은 매월 1건 이상의 데이터 손실 사고(지난해 기업당 평균 17건)를 경험했고, 한국 내 응답자 중 81%가 부주의한 사용자를 주요 원인으로 꼽았다. 여기서 부주의는 이메일 오발송, 피싱 사이트 방문, 미인증 소프트웨어 설치, 민감 데이터를 개인 이메일 계정으로 발송하는 행위 등을 포함한다. 이러한 행동들은 이메일, 웹 업로드, 파일 동기화, 기타 데이터 유출 방법 등을 대한 데이터 손실 방지 정책·규정 시행을 통해 완화·예방할 수 있다.
▲막대한 비용 피해를 야기하는 악의적 행동: 한국 내 응답자 중 23%가 직원이나 협력업체 직원 등 내부자 중 악의적 행동을 하는 이들이 데이터 손실 사고를 일으킨 적이 있다고 응답했다. 조직에 피해를 주고 퇴사하려는 직원의 악의적 행동은 개인적 이익을 목표로 하기 때문에 단순히 부주의한 내부자에 비해 조직에 더 많은 피해를 초래할 수 있다.
▲한국 내 응답자들이 위험 사용자로 꼽은 '퇴사 예정자': 퇴사 예정 직원들은 자신이 악의적 행동을 하고 있다고 생각하지 않는 경우가 많다. 일부는 자신이 재직 중 생성한 데이터에 대해서는 가지고 퇴사해도 된다고 생각한다. 프루프포인트 데이터에 따르면, 9개월 동안 클라우드 테넌트 사이에서 발생한 비정상적인 파일 유출(anomalous file exfiltration) 사고의 87%는 퇴사 직원이 벌인 일로 나타났다. 퇴사 예정자에 대한 보안 점검 절차 등 예방 대책이 반드시 필요하다는 사실을 보여주는 대목이다.
▲리스크가 가장 높은 '권한계정' 사용자: 한국 내 응답자 중 54%가 인사(HR) 및 재무 전문가 등 민감 데이터에 접근 권한이 있는 직원들의 데이터 손실 리스크가 가장 크다고 답했다. 프루프포인트 데이터에 따르면 전체 사용자의 1%가 데이터 손실 사고 88%에 대한 책임이 있는 것으로 나타났다. 이러한 결과로 볼 때, 기업은 데이터 분류를 사용하여 비즈니스에 중요한 데이터와 중요 자산(Crown Jewels)를 식별하고 보호하는 모범사례를 우선적으로 고려해야 하며, 중요한 데이터나 관리자 권한에 접근 권한을 가진 사람들을 모니터링해야 할 것이다.
▲정착하고 있는 기업 데이터 손실 방지 프로그램: 초기에는 법제도 규정에 따라 도입된 프로그램이 다수였지만, 점차 한국 기업들이 DLP 프로그램을 도입하고 있는 요인으로는 내부 준수 기준 충족(46%), 지식재산권 보호(42%), 데이터 손실 관련 비용 최소화(40%), 고객 및 직원의 개인정보 보호(36%) 등이 높은 비중을 차지하고 있는 추세다.
이 보고서의 글로벌 시장에 대한 핵심 내용은 다음과 같다.
▲데이터 손실의 주요 원인 중 하나 오발송 이메일: 테시안이 보유한 2023년 데이터에 따르면, 기업 직원 3명 중 1명꼴로 이메일을 한두 차례 오발송한 적이 있는 것으로 나타났다. 즉, 직원 수가 5,000명인 사업장이라면 연간 약 3,400건의 이메일 오발송이 발생하는 것으로 추산된다. 직원, 고객, 환자 데이터가 포함된 이메일을 잘못된 수신자에게 발송하면 EU 개인정보보호법(GDPR) 및 기타 법규에 따라 상당 액수의 벌금을 부과받을 수 있다.
▲최대 위협 요인으로 부상 중인 생성형 인공지능(GenAI): 최근 ChatGPT, Grammarly, Bing Chat, Google Gemini 등 AI 도구 보급이 확대되면서, 민감 데이터를 입력하여 활용하는 사용자 수도 증가하고 있다. “GenAI 사이트 검색”이 프루프포인트 정보보호 플랫폼을 도입한 기업들의 5대 DLP 및 내부자 위협 감지 규칙(alert rules)이 되고 있다.
라이언 칼렘버(Ryan Kalember) 프루프포인트 최고전략책임자(CSO)는 “새로운 데이터 손실 경로가 빠르게 생겨나면서 사용자 행동도 변화하고 있어 정기적인 DLP 프로그램 점검의 중요성이 커지고 있다”라며, “목적별 DLP 플랫폼 적용 등의 전략이 있으면 보안팀이 모든 사고에 대한 사용자 및 데이터에 관한 가시성을 전적으로 확보하고 사람 중심 데이터 손실 시나리오를 완전히 파악할 수 있어 보안 프로그램을 향상시킬 수 있다. 데이터 보안에서 매우 중요한 변수는 바로 사람이며, 데이터 손실 방지 프로그램에서도 이를 반드시 고려해야 한다”고 덧붙였다.
프루프포인트, 첫 데이터 손실 동향 보고서 영문버전은 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
