전 세계 기업 중 절반 이상이 사이버 보안 사고에 적절하게 대응할 수 있는 능력을 갖추지 못한 것으로 드러났다. IBM이 전 세계 3,600명 이상의 보안 및 IT 전문가를 대상으로 설문 조사한 ‘2019년 기업 사이버 공격 대응 실태’ 보고서를 12일 공개하고 이같이 밝혔다.
글로벌 보안컨설팅 전문업체인 포네몬 연구소와 공동으로 진행한 이번 조사 결과에 따르면 응답 기업 중 77%는 사이버보안 사고 대응 계획(CSIRP)을 마련하지 않고 있다고 답했다. 또, 대응계획을 갖추고 있다고 답한 기업 중에서도 절반 이상인 54%는 사고 대응 계획에 대한 테스트를 정기적으로 실시하고 있지 않다고 했다. 유럽연합 개인정보보호법(GDPR)이 지난해 5월부터 시행돼 1년이 된 시점에도 불구하고 규정을 완벽하게 준수하지 못하고 있다고 답한 기업의 비율도 46%에 달했다.
기업의 사이버 공격 대응 역량을 위한 보안 인력도 부족한 것으로 나타났다. 10곳 중 7곳이 사고 대응 계획을 적절하게 관리하고 테스트할 수 있는 인력이 크게 부족하다고 답했다. 또, 48%의 기업은 조직 내 사용하는 보안 툴의 수가 너무 많아 운영상 복잡하고 전반적인 보안 상태에 대한 가시성이 저하되었다고 답했다.
이 밖에 올해 처음으로 기업의 사이버 공격 대응 역량에 자동화가 미치는 영향에 대해서도 분석했다. 자동화를 활용하는 기업은 사이버 공격 피해를 탐지·예방·대응하고, 공격을 억제하는데 높은 역량을 보유하는 것으로 나타났다. 특히, 자동화 미활용 기업과 비교해 25% 높은 사이버 공격 탐지 및 예방 역량을 갖춘 것으로 조사됐다.
홍성광 한국IBM 보안사업부 총괄 상무는 “기업이 30일 이내에 사이버 공격에 대응하고 피해 확산을 방지한다면 평균 100만 달러 이상의 비용을 절감할 수 있다는 결과를 얻었다”며 “이를 위해서는 기업들이 사전 사고 대응 계획을 철저히 세우는 것이 중요하다”고 말했다. 그는 이어 “정기적으로 모의 테스트를 하고 충분한 인력, 프로세스 및 기술을 확보해야 한다”며 “적절한 계획을 수립하고 자동화에 대한 투자가 이루어질 경우 보안 사고가 났을 때 많은 지출이 발생하는 상황을 막을 수 있다”고 강조했다.
/백주원기자 jwpaik@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
