블로그

매우 자신감 있는 사람들의 보안 습관

로리 맥비티 썸네일
로리 맥비티
2017년 3월 13일 게시

2017년 애플리케이션 제공 현황의 통찰력

임원과 보안 전문가는 모두 실용주의자들입니다. 적어도 애플리케이션 계층 공격을 견뎌낼 수 있는 자신감 측면에서는 그렇습니다.

흥미로운 점은 두 집단 모두 그런 공격에 맞서 싸울 수 있는 가능성에 대해 비관적이지 않을 가능성이 높다는 것입니다. 애플리케이션 제공 현황 설문 조사에 참여한 각 그룹의 5%만이 앱 계층 공격을 견뎌낼 수 있는 조직의 능력에 자신감이 없다고 답했습니다. 하지만 그것이 그들이 자신의 기회에 대해 낙관적이라는 것을 의미하지는 않습니다. 보안 전문가의 10%와 임원의 13%만이 악의적인 세력과 싸워 앱 보안 경쟁에서 승리할 수 있다는 확신을 갖고 있었습니다.

임원 대 보안 신뢰

실제로, 그들의 견해는 실용주의(현실주의)가 존재하는 그 중간 어딘가에 훨씬 더 치우쳐 있었습니다.

보안 담당자의 40%는 확신이 서지 않는 중립적인 입장을 보였습니다. 임원 중 비슷한 비율(37%)이 동의했습니다. 요즘에는 이는 합리적인 입장인 듯합니다. 당신은 지금 당장 세상에 존재하는 것들을 견뎌낼 수 있다고 확신할 수도 있습니다. 하지만 보안의 문제는 알려지지 않은 것이 위협이 될 수 있다는 것입니다.

그렇다면 보안 전문가와 임원의 약 10%가 조직의 보안 태세에 대해 왜 그렇게 확신을 갖고 있을까요? 그들은 다른 사람들이 모르는 무엇을 알고 있을까?

confidence soad17에 의해 배포된 서비스

이 질문을 해결하기 위해 저는 데이터를 나누고 분석하기 시작했습니다. 전체 보고서에서는 웹 애플리케이션 방화벽과 그보다 덜한 DDoS 보호 기능을 구축한 것이 애플리케이션 계층 공격에 대한 응답자의 자신감 수준에 도움이 되었다고 언급했습니다. 하지만 물론 이것이 사용 가능한 유일한 두 가지 보안 서비스는 아닙니다. 우리는 현재 8가지를 추적하고 있습니다.

그렇다면 다른 보안 앱 서비스가 조직의 보안 태세에 대한 사람들의 신뢰에 영향을 미칠 수 있다고 가정하는 것이 타당해 보입니다. 데이터를 잠깐 살펴본 결과 그럴 수도 있다는 걸 알 수 있었습니다.

우리가 추적하는 8개의 보안 서비스 각각에 대해 가장 큰 확신을 가진 사람들이 배포한 서비스의 비율이 더 높다는 것을 발견했습니다. 각 서비스의 신뢰 수준에 따른 배포 상태의 차이는 일반적으로 극적이었습니다. 평균적으로 가장 낮은 확신도를 보인 응답자는 앱 보안 서비스의 전반적인 배포 상태가 24% 낮았습니다. 보안 서비스가 적으면 신뢰도가 낮아집니다. 우연의 일치? 나는 그렇게 생각하지 않는다.

하지만 앱 계층 공격을 견뎌낼 수 있다는 확신을 사람들이 긍정적으로(또는 부정적으로) 유지할 수 있도록 하는 것은 보안 서비스를 배포하는 것만이 아닙니다. 앱 보안을 위해 앱 서비스를 어떻게 활용하느냐 역시 중요합니다.

표면 보호 by confidence soap17

매년 우리는 사람들에게 앱을 어떻게 보호하는지 물어보았습니다. 우리는 보호가 필요한 세 가지 주요 공격 영역, 즉 클라이언트, 요청, 응답을 식별했습니다. 각 앱은 앱과 그 귀중한 데이터를 보다 효과적으로 보호하고 방어하기 위한 다양한 보안 전략(및 서비스)으로 고유한 시점을 제공하기 때문입니다. 응답자에게 세 가지 표면(항상, 전혀, 가끔)에 얼마나 일관되게 보안 정책을 적용하는지 설명해 달라고 요청했습니다. 이 시점에서 자신감이 가장 강한 사람들은 항상 세 가지 표면을 모두 보호한다는 사실을 알고도 놀라지 않을 거라고 확신합니다. 반대로, 가장 낮은 점수를 받은 사람들은 어떤 표면도 보호 하지 않는 경향이 있습니다. 

물론 이것이 신뢰 수준에 영향을 미치는 유일한 요소는 아닙니다. 가장 자신감이 없는 소수의 사람들은 항상 이러한 공격 표면을 보호합니다. 그리고 반대로, 자신감이 넘치는 일부 사람들은 이러한 표면을 전혀 보호하지 않습니다. 가장 자신감이 없는 사람들이 가끔 이런 표면을 보호해야 한다는 사실은 그것이 한 가지 요인임을 보여주지만, 유일한 요인은 아닙니다. 표면을 전혀 보호하지 않는 것과 가장 자신감이 없는 것 사이에 더 높은 상관관계가 있을 테니까요. 

그럼에도 불구하고 가장 자신감이 높은 사람의 절반 이상은 항상 클라이언트(60%), 요청(61%), 응답(57%)을 보호합니다.

우연의 일치? 다시 말하지만, 저는 그렇게 생각하지 않습니다.

물론 보안 앱 서비스의 배포 및 적용과 신뢰 수준 사이에 인과 관계를 도출할 수는 없지만, 둘 사이에 상관 관계가 있다는 것은 분명히 알 수 있습니다.

애플리케이션 계층 공격을 견뎌낼 수 있는 능력에 가장 큰 자신감을 가진 IT 전문가는 보안 앱 서비스를 배포하고 세 가지 공격 표면을 모두 사전에 보호할 가능성이 비관적인 전문가보다 높습니다. 내일 무슨 일이 닥쳐도 방어할 수 있을지에 대해 약간 "그저그저" 걱정된다면 고려해 볼 만한 사항입니다.