갈수록 복잡해지는 디지털 환경과 더불어 최근 AI 도입까지 확산되며 시스템의 빈 틈을 노린 사이버위협 또한 증가하고 있다. 특히 AI는 새로운 보안 위협이자 동시에 이런 위협을 막을 '창과 방패' 역할을 동시에 할 것으로 예상된다.

이런 환경 변화에도 불구하고 사이버보안 위협에 대응하기 위한 국내 기업들의 준비 단계는 아직 한참 미숙한 것으로 조사됐다.

복잡해지는 디지털 환경, 곳곳이 보안 '구멍'

28일 시스코는 아태지역 미디어를 대상으로 온라인 간담회를 열고 기업들의 사이버보안 준비 수준을 분석한 '2024 시스코 사이버보안 준비 지수' 보고서를 공개했다. 보고서에 따르면 내 기업 가운데 단 4%만이 사이버보안 위험에 대해 충분한 회복탄력성을 갖춘 '성숙' 단계에 이른 것으로 조사됐다.

오늘날 기업들은 피싱과 랜섬웨어부터 공급망, 사회 공학적 공격까지 다양한 사이버 공격의 표적이 되고 있다. 기업은 이러한 사이버 공격으로부터 나름의 방어 체계를 구축하고 있지만, 여러 포인트 솔루션에 의존하고 있어 보안복잡성이 가중되고 대응에 어려움을 겪고 있다. 이번 조사에서 응답자의 89%는 여러 포인트 솔루션의 활용이 보안 사고에 대한 감지, 대응 및 복구 능력을 떨어뜨린다고 답했다. 그러나 실제로는 응답자 58%가 보안 스택에 10개 이상의 포인트 솔루션을 사용하고 있다고 밝혔으며, 30개 이상을 적용 중이라는 응답도 12%에 달했다.

데이터가 수많은 서비스와 기기, 애플리케이션 및 사용자에 걸쳐 분산된 오늘날의 근무 환경은 이런 문제를 더욱 복잡하게 만든다. 보고서에 따르면 응답 기업의 86%는 직원들이 보안 관리가 되지 않는 디바이스로 회사 플랫폼에 접근하고 있다고 답했으며, 이 중 직원들이 관리되지 않는 디바이스로 회사 네트워크에 로그인한 상태에서 보내는 시간이 업무 시간의 20% 이상에 달한다는 응답도 39%나 됐다.

이런 환경에도 불구하고 이번 조사 대상 국내 기업의 61%는 현재 구축한 인프라로 사이버 공격에 대응할 수 있다고 자신했다. 문제는 이번 조사에서 나타난 것처럼 실제 준비도와 기업이 가진 자신감 간의 괴리가 크다는 점이다. 이는 많은 기업들이 위협 환경에서의 대처 능력을 과신하고 있으며 현재 직면한 문제의 실제 규모를 제대로 평가하지 못하고 있음을 의미한다.

지투 파텔(Jeetu Patel) 시스코 보안 및 협업 부문 부회장 겸 총괄 매니저는 "보안 준비도에 대한 과도한 자신감이 오히려 위협을 초래할 수 있음을 결코 과소평가해서는 안 된다"라며 "기업들은 통합 플랫폼 구축에 투자를 우선시하고 AI를 활용해 사이버보안 운영 규모를 대폭 확장해야 한다"고 말했다.

자신감에 비해 부족한 준비

시스코는 기업의 사이버보안 준비 지수를 ▲사용자 신원 신뢰도 ▲네트워크 회복탄력성 ▲머신 신뢰도 ▲클라우드 강화 ▲AI 강화 등 5가지 핵심 요소와 각 요소에서 활용되는 31개의 솔루션 및 기술을 바탕으로 기업의 보안 준비 현황을 평가했다. 

이번 보고서는 독립적인 제3기관이 한국을 포함한 전 세계 30여 개국 민간 보안 전문가 및 비즈니스 리더 8000명 이상을 대상으로 실시한 이중맹검 설문을 기반으로 작성됐다. 회사에 도입된 솔루션 및 기술의 종류와 도입 수준에 관한 응답을 통해 기업의 사이버보안 준비 현황을 ▲초기 ▲형성 ▲발달 ▲성숙 등 총 4단계로 분류했다.

조사에 따르면, 국내 기업 중 오직 4%만이 사이버보안 위협에 대응할 준비를 충분히 갖춘 '성숙' 단계에 속한 것으로 나타났다. 국내 기업의 85%는 사이버보안 준비 수준이 하위 단계인 '초기(25%)' 또는 '형성(60%)' 단계에 속했다. 전 세계적으로 봐도 3%의 기업만이 성숙 단계에 속한 것으로 나타났다.

시스코는 특히 AI 보안에 대한 준비가 필요한 시점이라고 강조했다. 레이먼드 얀세 반 렌스버그 시스코 APJC 스페셜리스트 겸 솔루션 엔지니어링 부사장은 "오늘날 악의적인 행위자들은 기존 방식이 아닌 AI, 클라우드 등 새로운 기술을 이용한 고도화된 방식으로 공격을 감행하고 있다"며 "특히 AI 기법을 통한 공격에 대응하기 위해선 인간의 힘만으로는 어렵기 때문에 AI 보안을 도입해야 진화한 공격에 대응할 수 있다"고 조언했다.

늘어나는 보안 투자…부족한 인력은 걸림돌

이번 조사에서 응답자의 63%는 향후 1~2년 내 사이버보안 사고로 인해 비즈니스에 차질이 생길 우려가 있다고 답했다. 또한 44%는 지난 1년 내 사이버보안 사고를 경험한 적이 있다고 답했으며, 그중 69%가 최소 30만달러(약 4억원)이상의 비용 피해를 보았다고 답했다.

기업들은 이러한 문제를 인식하고 있으며, 응답한 기업의 36%는 향후 1~2년 내 IT 인프라를 대폭 업그레이드할 계획을 세운 것으로 조사됐다. 기업의 96%는 향후 1년 내 사이버보안 예산 증액을 계획하고 있으며, 79%는 관련 예산이 10% 이상 증가할 것이라고 답했다.

다만 사이버보안 인력이 부족하다는 점이 기업들의 보안 투자에 발목을 잡고 있다. 기업의 89%는 이를 큰 문제로 인식하고 있는 것으로 나타났으며, 실제로 46%의 국내 기업이 조직 내 사이버보안과 관련된 직무 10개 이상이 미충원 상태라고 답했다.

황성규 시스코코리아 보안 사업 총괄 상무는 "초연결 사회에서 기업 보안의 중요성은 나날이 높아져 가고 있다"며 "이제는 보안이 선택이 아닌 필수로 자리매김했으며, 진화하는 사이버 공격에 맞춰 국내 기업들도 자사의 보안에 미비한 점은 없는 지 주기적으로 확인하고 기존의 저효율 보안 시스템을 고도화된 보안 체계로 변경하는 등 보안 회복탄력성을 높이기 위해 노력해야 한다"고 말했다.

남도영 기자 hyun@techm.kr