 |
아이덴티티 보안 기업 사이버아크(CyberArk)는 'PKI 보안 동향' 보고서를 발표했다고 22일 밝혔다. 독립 연구기관 포네몬연구소에 의뢰해 진행한 이번 조사는 전 세계 IT·보안 담당자 약 2000명을 대상으로 진행됐다.
보고서에 따르면 노후화된 PKI 시스템이 안전한 인증서 관리 걸림돌로 작용하면서 전 세계 기업 60%에서 보안 취약점이 발생했다. 특히 아시아태평양(APAC) 지역은 PKI 운영 효율성과 컴플라이언스 준비 수준 간 격차가 두드러졌다.
APAC 응답자들은 PKI가 외부 공격이나 내부자 위협으로부터 조직을 보호하는 데 상대적으로 높은 신뢰를 보였지만, 컴플라이언스 요건을 충족할 수 있다고 답한 비율은 45%에 그쳤다. APAC 기업 절반 이상은 설정 오류로 인한 예기치 않은 서비스 중단을 경험했고 절반에 가까운 기업은 인증서 만료로 서비스에 영향을 받은 것으로 조사됐다. 이는 PKI 환경 전반에서 가시성과 통제 부족이 여전히 과제로 남아 있다는 점을 보여준다.
PKI는 사용자와 디바이스 아이덴티티를 검증하는 디지털 인증서를 생성하고 관리하는 시스템이다. 클라우드 네이티브 환경과 제로 트러스트 도입이 확산되면서 머신과 워크로드 아이덴티티가 급증했고 이에 따라 인증서 규모와 관리 복잡성도 커지기 시작했다.
보고서는 기존 PKI 시스템과 폭증하는 인증서 수요가 기업 비용 부담으로 이어지고 있다고 지적했다. PKI는 여전히 디지털 아이덴티티 검증에 필수적이지만 수동 프로세스와 단편적인 운영 방식에 머문 기존 시스템으로는 요구를 감당하기 어렵다는 분석이다. 자동화와 현대화가 이뤄지지 않을 경우 인증서 수요와 조직 역량 간 격차는 더욱 벌어질 수밖에 없다는 취지다.
조사 결과 기업 34%는 안전한 PKI 구축을 가로막는 가장 큰 요인으로 기존 PKI 비용과 위험을 꼽았다. APAC 지역에서는 모든 내부 인증서를 중앙에서 관리할 수 없다는 점(39%)과 보안·컴플라이언스·감사 실패(38%)가 주요 장애 요인으로 나타났다.
기업들은 평균 10만5000개 이상 내부 인증서를 관리하고 있지만 PKI 전담 인력은 평균 3명에 불과한 것으로 조사됐다. 인력과 전문성 부족으로 PKI 운영을 관리형보안서비스제공업체(MSSP)에 아웃소싱했거나 이를 검토 중이라는 응답도 60%에 달했다.
APAC 응답자 59%는 외부 인증기관으로 인한 침해 사고에 제대로 대응하지 못했다고 답했다. 또 55%는 설정 오류로, 49%는 인증서 만료로 인해 서비스 중단을 경험했다. 50%는 사내 전문 인력 부족으로 실수와 비효율이 발생했다고 밝혔다.
보고서는 통합 가시성과 자동화가 PKI 효율성을 높이는 핵심 요소라고 짚었다. 자동화와 가시성 확보에 투자한 조직은 운영 부담과 서비스 중단을 줄이고 컴플라이언스 수준도 개선된 것으로 나타났다.
APAC 기업 가운데 PKI가 컴플라이언스 요건을 충족한다고 답한 비율은 45%에 불과했고 사이버 공격이나 내부 위협에 효과적으로 대응할 수 있다고 신뢰한 비율도 48%에 그쳤다. 다만 디바이스와 워크로드 증가에 대한 대응 능력에 대해서는 APAC 응답자 52%가 '매우 효과적'이라고 평가해 글로벌 평균(47%)을 웃돌았다.
또 APAC 지역은 인증서 수량과 위치 파악 측면에서 가장 높은 효율성을 보였고 APAC과 EMEA 지역은 인증·암호화·데이터 무결성을 기반으로 외부 공격과 내부자 위협으로부터 PKI를 보호하는 데 상대적으로 효과적이라고 응답했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.