딜라이트닷넷

[딜라이트닷넷] 반복되는 사이버공격… 이사회 차원의 인식 개선 필요

이종현 기자

[IT전문 미디어 블로그=딜라이트닷넷]

트렐릭스의 'CISO의 마인드: 보안 사태의 이면' 보고서 자료 ⓒ트렐릭스
트렐릭스의 'CISO의 마인드: 보안 사태의 이면' 보고서 자료 ⓒ트렐릭스

기업 최고정보보호책임자(CISO)를 대상으로 진행한 신규 연구 결과가 발표됐다. 전 세계 1000명 이상의 직원을 둔 글로벌 기업 CISO 512여명을 대상으로 실시된 조사에 따르면 모든 기업은 지난 5년간 최소 1번 이상의 사이버보안 사태를 경험한 것으로 나타났다.

해당 조사는 확장된 탐지 및 대응(XDR) 솔루션을 제공하는 사이버보안 기업 트렐릭스가 시장조사기관 밴슨 본에 의뢰해 진행됐다. 한국을 비롯해 미국, 멕시코, 브라질, 영국, 프랑스, 독일, 호주, 인도, 싱가포르, 아랍에미리트, 남아프리카공화국, 일본 등 국가의 기업 CISO가 대상이다. 조사에 응한 기업은 에너지 및 유틸리티, 의료, 공공, 제조‧생산, 금융, 헬스케어 등 전 산업군이다.

보고서의 서두에서는 영국 소재의 금융 서비스 기업의 한 CISO가 “이전에도 이런 피해를 당한 적이 있는데, 어떻게 이런 일이 두 번이나 반복될 수 있을까”라고 말한 부분을 인용했다. 이는 보고서가 전달하는 전체 내용을 관통하는 내용이다.

브라이언 팔마(Bryan Palma) 트렐릭스 최고경영자(CEO)는 “이사회의 사이버 공격에 대한 기민성과 사이버 리터러시 능력을 향상시키는 것이 CISO의 주요한 과업”이라며 “트렐릭스 연구 결과에 따르면 대부분의 이사회는 공격이 발생한 후에야 사이버 보안 지원 중요성에 관심을 갖는다. 이러한 경향은 반드시 개선돼야 할 것”이라고 강조했다.

조사에 따르면 95%의 CISO는 사건이 발생한 후 이사회로부터 더 많은 지원을 받는 것으로 나타났다. 지원사항은 추가 기술 예산 증액(46%), 전반적인 보안전략 수정(42%), 새로운 프레임워크 및 표준 시스템 구현(41%), 신규 채용 및 책무 부여(38%) 등이다.

이와 관련 호주 정부기관의 CISO는 “가장 큰 교훈은 이사회 차원에서 인식을 개선해야 한다는 것”이라며 “안타깝게도 사건이 발생해야 인식 개선이 이뤄질 수 있었다”고 말했다. 예방이 아닌 대응에 집중하는 세태를 꼬집은 것이다.

연구 결과 사이버보안 사태가 조직에 미치는 가장 큰 악영향으로는 매출 손실, 보험료 상승 등 명백한 비용이 수반되는 것 보다는 데이터 손실(42%), 보안 운영팀의 극심한 스트레스(41%), 기업 평판 하락(39%) 등으로 나타났다.

미국에 본사를 둔 한 제조 기업의 CISO는 “사이버보안 사태를 경험하며 항상 경계를 늦추지 않아야 한다는 생각을 더욱 굳히게 됐다. 철저히 안전을 확보하고, 수많은 방어 시스템을 갖췄더라도 보안은 끊임없는 싸움”이라고 소회를 밝혔다.

CISO들이 자주 관측하는 공격 유형은 데이터 탈취(48%)다. 악성코드(43%), 분산서비스 거부(DDoS, 디도스) 공격(37%), 신원도용(37%), 비즈니스 이메일 탈취 37%, 랜섬웨어 37% 등이 뒤를 이었다.

보고서는 여러 소스의 데이터를 취합하고 상호 연계할 수 있도록 하는 XDR의 중요성을 강조했다. 현재 사용 중인 솔루션이 전체적인 플랫폼으로 통합하는 것이 중요하며, 제로 트러스트(Zero Trust) 관점에서 절대 신뢰하지 말고 항상 확인(never trust, always verify)해야 한다고 보고서는 강조했다.

[이종현 기자 블로그=데이터 가드]

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널