포티넷, ‘2024 보안 인식 및 교육’ 글로벌 조사 보고서 발표
지난해 80% 이상 조직, 멀웨어·피싱·비밀번호 공격 등 개별 사용자 겨냥 공격 경험
97% 리더, “직원의 인식이 높아지면 조직의 사이버 보안 태세가 강화될 것”

[보안뉴스 김경애 기자] 기업 리더들은 AI 기반의 악의적인 공격 규모와 속도 증가에 위협 발견의 어려움을 겪을 것으로 예상하며, 보안인식 부족에 대해 우려하는 것으로 나타났다. 특히 97%의 리더들이 “직원의 인식이 높아지면 조직의 사이버 보안 태세가 강화될 것”이라고 답해 보안 인식 및 교육의 중요성이 부각되고 있다.


포티넷 코리아(대표 조원균)의 ‘2024 보안 인식 및 교육’에 대한 글로벌 조사 보고서(2024 Security Awareness and Training Global Research Report)에 따르면 사이버 보안에 대한 인식을 갖춘 직원들이 기업의 위험 관리 및 완화에 중요한 역할을 한다고 강조했다.

기업 리더, AI 기반 공격 늘면서 보안 인식 부족 우려
AI 기반의 악의적인 공격 규모와 속도가 증가하면서 기업의 리더들은 직원들이 위협 발견에 어려움을 겪을 것으로 예측했다. 응답자의 60% 이상이 AI를 사용하는 사이버 공격으로 인해 더 많은 직원들이 피해를 입을 것으로 예상했다. 특히 응답자의 약 70%가 직원들이 중요한 사이버 보안 지식이 부족하다고 답했으며, 이는 2023년 56%보다 증가한 수치다. 75%의 리더들은 보안 인식 캠페인을 계획해 매월(34%) 또는 분기별(47%)로 콘텐츠를 제공한다고 답했다. 또한, 경영진들은 양질의 콘텐츠가 프로그램의 성패에 중요한 역할을 한다고 강조했다.

직원들이 직면해야 하는 최신 위협
사이버 범죄자들이 AI를 사용하는 대표적인 방법 중 하나가 정교한 피싱 사기로 탐지를 어렵게 만드는 것이다. 지난해 80% 이상의 조직이 멀웨어, 피싱, 비밀번호 공격 등 개별 사용자를 직접 겨냥한 공격을 경험했다. 응답자(96%)는 리더십 팀이 보안 인식을 위한 직원 교육을 지원하고 있다고 답했다. 또한 응답자(98%)는 ‘피싱 예방’을 교육 프로그램 및 계획의 우선순위로 꼽았으며, ‘데이터 보안(48%)’과 ‘개인정보 보호(41%)’가 그 뒤를 이었다.

직원, 공격에 대한 강력한 1차 방어선 역할 수행
보안 및 IT 팀은 사이버 위협으로부터 조직을 보호하는데 결정적인 역할을 한다. 그러나 기업의 직원들도 침해 사고를 방지하는데 중요한 역할을 하고 있다.

대부분의 리더들(86%)은 직원들이 보안 인식 및 교육을 긍정적으로 보고 있다고 답했다. 대다수의 리더들(89%)은 보안 인식 및 교육 실시 이후, 조직의 보안 태세가 일정 부분 개선되었다고 답했다. 전혀 개선되지 않았다고 답한 응답자는 없었다.

사이버 인식 교육 중요하나 모든 프로그램이 똑같이 구성되지는 않아
대다수 의사결정권자(96%)들은 경영진이 사이버 보안 인식을 높이기 위한 직원 교육을 지지한다고 답했다. 올해 설문조사에 의하면 97%의 리더들이 “직원의 인식이 높아지면 조직의 사이버 보안 태세가 강화될 것”이라고 답했다. 또한, 응답자들은 교육 프로그램의 효과를 높이는데 중요한 요소가 있다는데 동의했다.

참여형 콘텐츠가 가장 중요하다. 의사결정권자의 86%가 현재 보안 인식 및 교육 솔루션에 만족한다고 답했으나, 만족하지 않는다고 답한 응답자 중 가장 큰 불만요소는 참여형 콘텐츠가 부족하다는 점이었다.

교육에 꼭 필요한 시간을 고려해야 하고, 과도한 부담을 느끼지 않도록 교육 피로를 최소화해야 한다. 가장 일반적으로 제안되는 시간은 1.1시간(66분)에서 2시간 사이이고, 평균 시간은 3시간이다.

포티넷 보안 인식 및 교육 서비스를 통해 사이버 인식을 갖춘 직원 양성
보안 인식 및 교육은 △모든 직원을 위한 보안 인식 및 교육, △IT 및 보안 담당 직원을 위한 테크니컬 사이버보안 기술 △네트워크를 위한 지능형 보안 솔루션을 포함해 3가지 측면의 방어 전략 구축이 중요하다. 개별 사용자가 위협에 직면했을 때 무엇을 해야 하는지 교육하는 것 외에도, 조직 전체에 사이버 보안 문화 조성을 위한 토대를 구축한다.

포티넷은 ‘보안 인식 및 교육 서비스(Security Awareness and Training service)’를 제공하고 있다. 세계적 수준의 포티넷 트레이닝 인스티튜트(Fortinet Training Institute) 강사들이 설계한 이 서비스는 광범위한 주제를 다루고, 콘텐츠 맞춤화 기회를 제공하며, 주기적인 알림과 점검을 통해 학습을 강화시킨다. 서비스 이용 조직은 다양한 대시보드에 액세스해 학습자들의 진도 점검 및 보고서 작성 등을 수행하고, 사이버 보험 및 규정 준수 요구사항을 해결할 수 있다.

포티넷의 CMO(최고마케팅책임자) 존 매디슨(John Maddison) 부사장은 “위협 행위자들은 AI 등의 새로운 기술을 활용해 보다 정교한 공격을 감행하고 있다”며 “이에 기업의 일선 직원들이 강력한 1차 방어선 역할을 해주는 것이 점점 더 중요해지고 있다”고 밝혔다.

존 매디슨 부사장은 “이번 조사는 사이버보안 문화 조성의 중요성과 조직 전반의 보안 인식 및 교육의 필요성을 잘 보여주고 있다”며 “또한, 전세계 초등학교 및 중학교에 무상 제공되는 교육용 버전을 비롯해 포티넷의 기업용 보안 인식 및 교육 서비스(Security Awareness and Training service for enterprises)의 중요성과 사이버 복원력 강화를 위한 포티넷의 역할을 강조하고 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>