프루프포인트가 글로벌 정보보호최고책임자(CISO)들의 핵심 과제와 기대치, 우선순위를 분석한 연례 CISO의 목소리 보고서(Voice of the CISO report)를 발표했다.

올해 보고서는 다양한 산업의 중대형 기업 조직의 CISO 1,600여 명을 대상으로 실시한 글로벌 서드파티 설문조사 결과를 분석했다. 보고서 준비를 위해 지난 1분기 동안 16개국의 각 시장에서 CISO 100여 명과 인터뷰를 진행했다. 대상 국가에는 미국, 캐나다, 영국, 프랑스, 독일, 이탈리아, 스페인, 스웨덴, 네덜란드, 아랍에미리트, 사우디아라비아, 호주, 일본, 싱가포르, 한국, 브라질이 포함되었다. 한국 시장에 대한 조사 결과가 포함된 첫 보고서로 의미가 깊다.

이번 보고서는 ◇CISO가 일상적으로 접하는 위협과 리스크 ◇조직의 사이버 위협 대비 수준이 직원들에게 미치는 영향 ◇경기 둔화로 인한 보안 예산 긴축 시 CISO가 구축할 수 있는 방어체계 등 세 가지 핵심 주제 관련 글로벌 동향과 지역별 차이점을 다루고 있다. 설문조사에서는 CISO와 기업 이사회의 견해차 측정을 통해 양측의 관계가 보안 우선과제에 미치는 영향을 살펴보았다.

보고서에 따르면, CISO 대부분이 COVID-19 팬데믹 초반에 경험했던 초긴장 상태를 다시 겪고 있는 것으로 나타났다. 설문조사에 참여한 CISO 중 68%는 중대한 사이버 공격 위험을 느끼고 있었는데, 팬데믹으로 인한 혼란에 다소 적응했던 시기인 2021년 48% 대비 급증했다.

대규모 자발적 퇴사 현상인 대퇴사(Great Resignation)와 이직 열풍에 최근 대규모 정리해고까지 더해져 전 세계적으로 노동 시장 상황이 악화하고 있다. 설문조사에 참여한 CISO 중 82%는 퇴사 직원들이 데이터 유출 사고와 무관하지 않다고 답변했다. 63%가 지난 1년간 민감 데이터 유출 문제를 처리한 적이 있다고 답했음에도 불구하고 60%는 조직 내 데이터 보호 체계가 적절히 운영되어 있다고 생각하는 것으로 나타났다.

라이언 칼렘버(Ryan Kalember) 프루프포인트 사이버 보안 전략 담당 부사장(executive vice president)은 “내부자들이 민감 데이터 유출 주범이 되는 사례가 증가하고 있는 상황에서 인력과 데이터를 보호하는 CISO 역할은 매우 어려운 과업이다”라며 덧붙여 “최근 발생한 치명적 공격 사례에 비춰 보면 CISO의 앞날은 더욱 험난할 것으로 전망되므로, 각 CISO는 조직 내 사이버 보안 회복력 관련 우선순위에 올바르게 집중하고 있는지 확인해야 한다”고 말했다.

이석호 프루프포인트 코리아 대표는 “전 세계를 대상으로 증가하는 사이버 공격 및 랜섬웨어로부터 데이터 손실 사고를 예방하기 위해 CISO의 역량이 더욱 강조되고 있다”라며 덧붙여 “국내에서도 다양한 보안 절차로 구성된 보안 체계를 확립해 인적 경계를 강화하는 동시에 CISO에게 우려를 표명할 수 있는 기회와 적절한 업무 기대치를 설정하는 보안 문화 확립이 필요하다”고 말했다.

2023년도 CISO의 목소리 보고서에서 도출한 한국 시장 조사 결과는 다음과 같다.

◇국내 CISO, 사이버 공격에 대한 우려 표했지만 공격 대응 준비에 자신감 보여

설문조사에 참여한 국내 CISO 중 75%(글로벌 평균 68%)는 향후 12개월간 중대 사이버 공격을 당할 리스크가 있다고 느끼고 있다. 반면, CISO 중 47%(글로벌 평균 61%)만이 자신의 조직이 지능형 사이버 공격에 대응할 준비가 미흡하다고 보고 있다.

◇직원 이직으로 인한 민감 데이터 유출 증가

국내 CISO 중 42%(글로벌 평균 63%)는 지난 12개월간 심각한 민감 데이터 유출 사고를 처리한 바 있고, 이중 83%(글로벌 평균 82%)는 퇴사 직원들이 유출 사고의 원인이었다고 응답했다. 이러한 데이터 유출 사고에도 불구하고, CISO 중 38%(글로벌 평균 60%)는 조직 내 적절한 데이터 보호 체계가 구축·운영되고 있다고 생각하고 있는 것으로 나타났다.

◇이메일 사기 및 랜섬웨어 공격이 가장 큰 위협

국내 CISO가 인식하는 가장 큰 위협은 이메일 사기 공격(BEC) 및 랜섬웨어 공격으로, 내부자 위협과 디도스(DDoS) 공격이 그 뒤를 이었다.

◇랜섬웨어 공격 피해 복구 비용 지불 의향 낮아

국내 CISO 중 45%(글로벌 평균 62%)는 향후 12개월간 랜섬웨어 공격 피해를 입으면 시스템 복구 비용을 지불하고 데이터 유출을 방지할 의향이 있다고 응답했다. 반면 45%(글로벌 평균 61%)가 사이버 공격으로 발생한 손실을 복구하기 위해 사이버 보험 증권을 청구할 것이라 답했다.

◇공급망 리스크가 주요 위협요인으로 꼽혀

국내 CISO 중 53%(글로벌 평균 64%)는 공급망 리스크를 완화할 관리 체계가 내부에 제대로 구축되어 있다고 응답했다. 현재는 관리상 문제가 없어 보이더라도 향후에는 예산이 턱없이 부족하다고 느낄 가능성이 있다. 39%(글로벌 평균 58%)는 경기 침체로 조직의 보안 예산이 감축되어 왔다고 응답했다.

◇인력 위험은 주요 위협요인으로 인식되지 않아

국내 CISO 중 34%(글로벌 평균 60%)만이 인적 오류를 조직의 최대 사이버 취약요인으로 평가했다. 이는 조사 참여 국가 중 가장 낮은 비율이다. 또한 한국 CISO 중 50%(글로벌 평균 61%)는 직원들이 조직 보호 역할을 이해하고 있다고 응답했다.

◇CISO와 기업 이사회의 의견 일치 적어

국내 CISO 중 45%(글로벌 평균 62%)는 사이버 보안 이슈에 대해 이사회와 의견이 일치한다고 밝혔다.

◇CISO가 느끼는 압박감으로 직무 지속성 하락

국내 CISO 중 36%(글로벌 평균 61%)는 업무 관련 기대치가 불합리할 정도로 높다고 응답했다. 48%(글로벌 평균 62%)가 자신의 역할에 있어서의 개인적 책임을 우려하고 있고, 47%(글로벌 평균 60%)는 지난 12개월간 업무상 번아웃을 경험했다고 응답했다.

이베트 레진스(Yvette Lejins) 프루프포인트 아시아지역 담당 정보보호최고책임자는 “CISO 다수는 하이브리드 근무가 자리 잡을 때 느꼈던 안도감을 더 이상 느끼지 못하고 있는데, 이는 조직의 사이버 위협 방어 역량에 대해 안심하지 못하기 때문이다”라며 “이번 보고서는 인력 보호와 데이터 방어 관련 어려움이 가중되고 있는 상황에서 높은 기대치와 번아웃 위험, 개인적 책임의 부담 등 CISO가 겪는 여러 고충을 가감 없이 보여준다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!