프루프포인트, ‘CISO의 목소리(2023 Voice of the CISO)’ 보고서 발표
프루프포인트 이베트 레진스 아시아지역 담당 CISO 화상으로 참여...미디어 브리핑 개최
이석호 대표 “모든 공격의 1차적인 원인은 ‘사람’에서부터 나와”...‘사람 중심 보안’이 중요한 이유

[보안뉴스 김영명 기자] 글로벌 사이버보안 기업 프루프포인트가 직원 200명 이상의 전 세계 기업 CISO 1,600명을 대상으로 실시한 설문조사 내용을 바탕으로 한 연례 보고서 ‘CISO의 목소리(2023 Voice of the CISO)’를 발간했다. 18일 진행된 프루프포인트 미디어 브리핑은 프루프포인트 이베트 레진스(Yvette Lejins) 아시아지역 담당 CISO 및 프루프포인트 코리아 이석호 대표가 참석해 글로벌 정보보호최고책임자(CISO)들의 핵심 과제와 기대치, 우선순위를 분석한 연례 ‘CISO의 목소리 보고서’의 분석 결과를 발표했다.


이베트 레진스(Yvette Lejins) 아시아지역 담당 CISO는 오스트레일리아에서 화상으로 미디어 브리핑에 참여했다. 이베트 레진스 CISO는 “전 세계 CISO 1,600명 중 68%는 기업이 향후 1년 이내 중대한 사이버 공격을 당할 위험이 있다”며 “한국에서는 100명의 CISO와 인터뷰를 했으며, 한국 기업의 47%가 글로벌 위협에 대비하고 있지 않은 것으로 분석됐다”고 말했다.

위협 환경에 대한 CISO의 관점은 향후 1년 내 가장 큰 사이버보안 위협은 △이메일 사기(비즈니스 이메일 사기 공격) 33% △내부자 위협(부주의, 우발적, 악의적) 30% △디도스 공격 29% △랜섬웨어 공격 27% 등으로 분석됐다. CISO는 이메일 사기에 대해서 우려가 컸지만, 한국에서는 33%만이 이에 대해 충분한 대응능력을 갖추고 있다고 봤다.

이베트 레진스 CISO는 “인적 오류가 기업의 가장 큰 사이버 취약점이라는 데 전 세계 CISO의 60%가 동의하지만, 한국은 34%에 그쳤다”면서도 “CISO의 75%가 향후 12개월 내에 중대한 사이버 위협을 당할 수 있다고 생각하는 것을 보면 서로간 교류 단절이 크다”고 말했다.

전 세계 CISO의 61%는 직원들이 고용주 보호에 대한 자신의 역할을 이해하고 있지만, 한국에서는 58%만이 이에 동의하고 있다고 발표했다. 민감한 데이터의 손실에 관해서는 전 세계 CISO의 63%는 지난 1년 동안 민감한 정보의 손실에 대처해야 했지만, 한국은 42%만이 이에 대처했다. 또한, CISO 중 한국에서는 38%만이 충분한 대응책이 마련됐다고 생각했다.

전 세계 주요 국가들의 수치를 보면, 스웨덴 CISO의 87%, 독일 CISO의 85%, 미국 CISO의 76%가 민감한 정보에 대처해야 했지만, 한국은 42%만의 CISO가 민감한 정보에 대처했다는 의견에 동의했음을 알 수 있다. 또한, CISO의 약 82%는 직원들이 회사를 떠나는 것이 데이터 손실 사건에 영향을 미친다고 봤다.

‘공급망 리스크’는 CISO의 약 64%는 공급망 위험을 완화하기 위한 적절한 통제수단이 있다고 생각하지만, 이는 2022년의 59%에 대비해 소폭 증가했다. 하지만, 한국의 CISO는 53%만이 적절한 통제수단이 있다고 말했다.


전 세계 CISO들은 현재 ‘랜섬웨어’는 사이버보험에 의존하는 경향을 보인다고 답했다. 전 세계 CISO의 62%만이 향후 1년 이내에 시스템을 복원하거나 데이터 유출을 방지하기 위해 기업이 몸값을 지불한다는데 동의했다. 하지만, 한국에서는 50% 이하의 CISO만이 공격자에게 몸값을 지불하겠다고 응답했다.

CISO와 기업 이사회와의 관계를 분석했을 때 전 세계 CISO의 62%만이 사이버보안 문제에 대해 이사회가 의견을 같이 한다는데 동의하고 있다. 한국 CISO의 45%는 사이버보안 문제에 관해서는 CISO와 이사회가 의견을 같이 한다고 말했다. 하지만 기업 이사회와 CISO와의 관계는 꾸준히 개선되고 있는 것으로 분석됐다.

CISO의 주요 우려 사항을 보면 전 세계는 △평판 훼손 36% △비즈니스 가치 평가에 미치는 영향 36% △기존 고객의 손실 36% △심각한 가동 중지 시간 35% △운영 중단 34% △수익 손실 32% 등이었다. 하지만 한국의 CISO는 △기존 고객의 손실 41% △비즈니스 가치 평가에 미치는 영향 39% △심각한 가동 중지 시간 33% △평판 훼손 26% 등으로 나타났다.

‘과도한 기대치와 번아웃’에 대해서는 한국 CISO의 47%가 과도한 기대에 직면하고 있다고 말했지만, 전 세계 수치는 61%에 달하면서 큰 차이가 있는 것으로 분석됐다. ‘개인적 책임의 부담’에서는 전 세계 CISO의 62%가 이 주제에 대해 심각한 우려를 표했다. 또한, 전 세계 CISO의 61%는 사이버 공격으로 인한 재정적 책임으로부터 벗어나기 위해 보안체계가 갖춰지지 않은 기업에는 입사하지 않겠다고 응답했지만, 한국에서는 이보다 크게 미치지 못했다.

한국시장 조사결과를 분석했을 때 국내 CISO의 42%는 지난 1년간 민감 데이터의 유출 문제를 처리한 경험이 있으며, 이 가운데 83%는 퇴사 직원들이 데이터 유출 사고와 무관하지 않다고 답했다. 국내 CISO는 사이버 공격에 대한 우려를 표했지만, 국내 CISO 중 38%는 공격 대응 준비에는 자신감을 보였다. 국내 CISO는 직원 이직으로 인한 민감 데이터 유출과 함께 이메일 사기 및 랜섬웨어 공격, 내부자 위협과 디도스 공격을 큰 위협으로 생각했다.

랜섬웨어 공격 피해 복구 비용 지불 의향은 국내 CISO의 45%는 지불하겠다고 했지만, 글로벌 평균인 62%에 비해서는 낮았다. 또한, 45%는 사이버보험 증권을 청구하겠다고 응답했다.

국내 CISO의 53%는 공급망 리스크가 주요 위협 요인으로 생각하는 것으로 나타났으며, 공급망 리스크를 완화할 체계가 기업 내부에 제대로 구축돼 있다고 응답했다. 인력 위협이 주요 위협요인으로 인식한다는 응답에는 국내 CISO의 34%만이 동의했다. 또한, 한국의 CISO 중 50%는 직원들이 조직 보호 역할을 이해하고 있다고 답했다.

국내 CISO와 기업 이사회 간에 45%만이 사이버보안 이슈에 대해 의견이 일치한다고 답했으며, 이는 전 세계 평균 62%와의 큰 차이가 있다. 또한, 국내 CISO의 48%는 개인적 책임을 우려했으며, 특히 이들의 47%는 지난 12개월간 업무상 번아웃을 경험했다고 응답했다.

이번 보고서는 글로벌 서드파티 설문조사 결과를 분석했으며, 지난 1분기 동안 미국, 캐나다, 영국, 프랑스, 독일, 이탈리아, 스페인, 스웨덴, 네덜란드, 아랍에미리트, 사우디아라비아, 오스트레일리아, 일본, 싱가포르, 한국, 브라질 등 16개국의 각 시장에서 100여명의 CISO와의 인터뷰를 바탕으로 만들어졌다. 특히, 이번 보고서는 한국 시장의 조사가 포함된 첫 보고서이기도 하다.

이번 보고서는 △CISO가 일상적으로 접하는 위협과 리스트 △조직의 사이버 위협 대비 수준이 직원들에게 미치는 영향 △경기 둔화로 인한 보안 예산 긴축 시 CISO가 구축할 수 있는 방어체계 등 세 가지 핵심주제에 대해 글로벌과 지역의 차이를 분석했다. 또한, 설문조사에서는 CISO와 기업 이사회의 견해차를 확인하며 각자의 위치에서 우선과제를 살피기도 했다.

이베트 레진스 CISO는 ’사람 중심 보안‘에 대해 “사람 중심적인 프로그램이 중요한 이유는, 사람이 공격의 1차적인 요인이 되기 때문이다. 전 세계 CISO의 70% 이상은 사람이 공격의 핵심이라고 생각한다. 사람의 위협에 따라 어떤 보안 프로그램을 선택하고 취득할지를 선택하기 때문에 사람을 먼저 생각하고, 그 다음이 기술적인 문제다. 사람 중심적인 보안 프로그램을 생각할 때 보안 위협을 허용 가능한 수준으로 떨어질 것”이라고 말했다. 또한 “기업의 운영자와 CISO의 소통이 무엇보다 중요하다”며 “경영진도 사이버 리스크의 중요성을 인식하고 정확한 메시지를 내는 것이 필요하다”고 강조했다.

프루프포인트코리아 이석호 대표는 “기업에서 누가 공격을 받는지, 누가 가장 공격 당할 가능성이 높은지, 누가 민감한 데이터에 접근할 수 있는지 등 세 가지가 저희 프루프포인트의 가장 큰 핵심이고, 이 모두가 ‘사람’을 중심으로 하고 있다”며 “이 모든 것을 제공하는 것은 프루프포인트이며, 지금까지의 보안 시스템은 ‘위협’ 중심이었지만 ‘사람’ 중심으로 바꾸는 것이 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>