레이먼드 얀세 반 렌스버그 시스코 APJC 스페셜리스트(겸 솔루션 엔지니어링 부사장)은 28일 열린 사이버보안 준비지수 2024 APJC 온라인 미디어 라운드 테이블에서 "사이버 보안 준비도가 대체로 부족했으나 기업 중 80%는 진화하는 사이버 보안 환경 속 회복 탄력성을 유지할 수 있는 능력에 '상당히 자신감 있다'고 응답했다"고 말했다. 실제 데이터와 기업들의 인지 사이에 차이가 있다는 의미다.
시스코는 초연결성과 함께 위협환경이 빠르게 진화하는 시대에 기업들의 사이버 보안 준비 정도에 대해 분석한 보고서를 발표했다. 이 보고서에 따르면, 국내 기업 가운데 단 4% 만이 사이버 보안 위험에 대해 충분한 회복탄력성을 갖춘 것으로 조사됐다.
사이버보안 준비 정도 평가해보니... "국내 4%만 성숙 단계"
시스코가 사이버보안 준비 지수를 측정할 때 5가지 핵심 요소를 뒀다. ▲사용자 신원 신뢰도 ▲네트워크 회복탄력성 ▲머신 신뢰도 ▲클라우드 ▲AI 강화다. 핵심 요소 하위 요소로 있는 31개 솔루션과 기술을 바탕으로 기업 보안 준비 현황을 평가했다.
이 보고서는 독립적인 제3기관이 한국을 포함한 전 세계 30여 개국 민간 보안 전문가 및 비즈니스 리더 8000명 이상을 대상으로 실시한 설문조사를 기반으로 작성됐다.
회사에 도입된 솔루션 및 기술의 종류와 도입 수준에 대한 응답을 통해 기업의 사이버 보안 준비 현황을 ▲초기 ▲형성 ▲발달 ▲성숙 등 총 4단계로 분류했다.
평가 시 요소별로 가중치를 부여했다. 수직적으로 이어진 다양한 하위 기능들에 대해 모든 가중치의 합이 100이 되도록 설정한 것이다. 예시로, '컨텍스트 간 신원 상태 평가 기능이 있느냐'는 물음에 '네'라고 대답하면 어느 정도 구축됐는지에 대한 응답에 따라 0%, 50%, 100%를 부여받는 형식이다. 부여된 퍼센티지에 해당 역량에 대한 가중치를 적용해 점수를 산출했다.
조사에 따르면 국내 기업 중 오직 4%만이 사이버보안 위협에 대응할 준비를 충분히 갖춘 '성숙' 단계에 속한 것으로 나타났다. 국내 기업의 85%는 사이버보안 준비 수준이 하위 단계인 '초기(25%)' 또는 '형성(60%) 단계에 속했다. 전 세계적으로는 3%의 기업만이 성숙 단계에 속한 것으로 나타났다.
렌스버그 스페셜리스트는 "신원 신뢰도는 위협 환경이 변화하는 상황을 반영해 심층적인 평가를 진행하면서 지난해보다 올해 성숙단계인 기업 수가 더 줄었다"고 설명했다. 이어 "머신 신뢰도는 사실 많은 기업들이 머신 보호 솔루션을 배포하고 도입했다고 하지만 실제 구축 상황을 보면 부분적인 구축만 돼 있다"고 분석했다.
이어 "네트워크 회복 탄력성의 경우, 관련 솔루션이 구축 및 배포되고 있으나, 구축 규모가 실제 필요한 수준에 맞춰 가지 못하고 있다"며 "실제 구축한 툴이 완전히 활용될 수 있느냐는 관점에서 볼 때는 개선의 여지가 많다"고 평가했다.
클라우드 강화 부분은 가장 좋지 않은 성적을 받았다. 렌스버그 스페셜리스트는 "클라우드 부분은 부분적으로 구축했거나 막 구축을 시작한 기업들이 거의 80%에 달하는 상황이다"며 "이에 따라 많은 기업들이 클라우드 인프라 보완에 있어 클라우드 서비스 제공자에 의존하는 상황임이 확인된다"고 말했다.
AI 강화도 개선이 필요하다. 그는 "실제 AI 부분이 현재 주로 보안 상태나 패스워드리스 인증 모니터링, 실시간 리스크 기반 특권 엑세스 정책 형성에 주로 몰려 있다"며 "앞으로 개선이 필요한 분야는 머신 관리 및 보고라고 볼 수 있다"고 전했다.
지투 파텔 시스코 보안 및 협업 부문 부회장(겸 총괄 매니저)는 "보안 준비도에 대한 과도한 자신감이 오히려 위협을 초래할 수 있음을 결코 과소평가해서는 안 된다"라며 "기업들이 통합 플랫폼 구축에 투자를 우선시하고 AI를 활용해 사이버봔 운영 규모를 대폭 확장해야 한다"고 말했다.
사이버보안 상황... 앞으로의 방향성은?
전체적인 사이버보안 준비 상황 관련, 다른 문제들도 발견됐다고 전했다.
먼저 향후 보안 사고 가능성을 우려하는 응답자가 절반이 넘었다. 국내 응답자의 63%는 1~2년 내 사이버보안 사고로 인해 비즈니스에 차질이 생길 우려가 있다고 답했다. 또한 44%의 응답자는 지난 1년 내 사이버보안 사고를 경험한 적이 있었으며, 그 중 69%가 최소 30만 달러(약 4억원) 이상 비용 피해를 봤다고 답했다. 이는 보안 사고에 대비하지 못할 경우 막대한 손실이 발생한다는 점을 시사한다.
여러 개의 포인트 솔루션을 활용하면 효율이 떨어진다는 조사결과도 나왔다. 국내 응답자의 89%는 여러 포인트 솔루션의 활용이 보안 사고에 대한 감지, 대응 및 복구 능력을 떨어뜨린다고 답했다. 그러나 실제 응답자 58%는 보안 스택에 10개 이상 포인트 솔루션을 상용하고 있었으며, 30개 이상을 적용 중이라는 응답도 12%에 달했다.
국내 기업 86%는 직원들이 보안 관리가 되지 않는 디바이스로 회사 플랫폼에 접근하고 있다고 답했다. 이중 직원들이 관리되지 않는 디바이스로 회사 네트워크에 로그인한 상태로 보낸 시간이 업무 시간의 20% 이상에 달한다는 응답도 39%에 이르렀다. 또한 29%는 직원들이 일주일에 6개 이상 네트워크를 오가며 사용한다고 답했다.
사이버보안 인력도 부족한 상황이 이어지고 있다. 국내 기업의 89%는 이를 큰 문제로 인식하는 것으로 나타났다. 실제 46%의 국내 기업이 조직 내 사이버보안과 관련된 직무 10개 이상이 미충원 상태라고 답했다.
이런 문제를 인식한 기업들은 IT 인프라를 업그레이드할 계획을 세우고 있는 것으로 조사됐다. 지난해 같은 질문에 대한 27%의 응답률 대비 9%p나 증가한 수치다.
구체적인 개선 계획으로는 기존 솔루션의 개선(53%), 새로운 솔루션 구축(62%), AI 기반 기술에 대한 투자(53%) 등이 주를 이뤘다. 나아가 국내 기업의 96%는 향후 1년 내 사이버보안 예산 증액을 계획하고 있으며, 79%는 관련 예산이 10% 이상 증가할 것이라고 답했다.
시스코 측은 기업들이 혁신적 보안 조치 및 플랫폼 접근 방식을 도입하고 네트워크 보안 탄력성을 강화하는 동시에 생성형 AI를 활용하는 등 사이버보안 기술 격차 해소를 위해 관련 투자를 가속해야 한다고 강조했다.
렌스버그 스페셜리스트는 "악의적인 행위자들이 계속 진화된 모습을 보이고 머신러닝 등을 통해 공격하는 경우가 굉장히 많다"며 "이런 기법의 공격에 맞서기 위해 AI를 통해 자동화함으로써 외부 전문성을 갖춰 사이버 보안 준비도를 높일 수 있을 것"이라고 설명했다.
이날 황성규 시스코코리아 보안 사업 총괄은 “초연결 사회에서 기업 보안의 중요성은 나날이 높아져 가고 있다”며 “이제는 보안이 선택이 아닌 필수로 자리매김했으며, 진화하는 사이버 공격에 맞춰 국내 기업들도 자사의 보안에 미비한 점은 없는 지 주기적으로 확인하고 기존의 저효율 보안 시스템을 고도화된 보안 체계로 변경하는 등 보안 회복탄력성을 높이기 위해 노력해야 한다”고 밝혔다.