CISO 81%, 인적 오류를 주요 사이버 보안 리스크로 인식

사이버 보안 및 컴플라이언스 기업 프루프포인트(Proofpoint, Inc.)가 글로벌 정보보호최고책임자(CISO)들의 핵심 과제와 기대치, 우선순위를 분석한 연례CISO의 목소리 보고서(Voice of the CISO report)를 발표했다.

올해 2024년 보고서에서는 최근 사이버 보안 업계의 큰 변화에 주목했는데, 이는 바로 사이버 공격이 지속 증가하고 있는 반면CISO 들은 보안 위협 방어에 강한 자신감을 보이고 있는 추세다. 설문에 응한 한국 CISO 중 대부분(91%)이 향후 12개월간 중대 사이버 공격에 직면할 리스크가 있다고 느끼고 있다고 답했다. 2023년에는 75%를 기록한 바 있다. 이와 같이 사이버 공격을 우려하는 CISO 수가 증가한 가운데, 대응 준비가 미흡하다고 느끼는 CISO 수 또한 증가했다. 응답자 중 69%가 지능형 사이버 공격에 대비할 준비가 되어 있지 않다고 답했는데 이는 2023년 47% 대비 높아진 비율이다.

인적 오류는 지속적으로 사이버 보안의 아킬레스 건으로 인식되고 있다. CISO 중 81%가 인적 오류를 최대 보안 취약 요인으로 평가했다. 2023년 34% 대비 높아진 비율이다. 또한 올해에는 랜섬웨어(40%) 및 내부자 위협(34%)이 CISO가 꼽은 최대 사이버 보안 위협 요인으로 나타났다.

올해 보고서는 다양한 산업의 직원 수 1,000명 이상 조직의CISO 1,600명을 대상으로 실시한 글로벌 서드파티 설문조사 결과를 분석했다. 보고서 준비를 위해 지난 1분기 동안 16개국의 각 시장에서 CISO 100여 명과 인터뷰를 진행했다. 대상 국가에는 미국, 캐나다, 영국, 프랑스, 독일, 이탈리아, 스페인, 스웨덴, 네덜란드, 아랍에미리트, 사우디아라비아, 호주, 일본, 싱가포르, 한국, 브라질이 포함되었다.

보고서는 사람 및 데이터 보호 최전선에 있는 보안 업계 관점에서 사이버 보안 현황에 관한 중대한 관점을 제시해 주고 있으며, 기업이 경기 하락기에도 사이버 보안을 견고하게 구축 유지해야 할 필요성과 사이버 보안에서 인적 요인이 차지하는 중요도를 강조하고 있다. 설문조사에서는 CISO와 기업 이사회의 의견 일치도 변화 측정을 통해 양측의 관계가 보안 우선과제에 미치는 영향을 살펴보았다.

패트릭 조이스(Patrick Joyce) 프루프포인트 글로벌 정보보호최고책임자(Global Resident CISO)는 “사이버 보안 동향이 인간 중심 위협으로 인해 계속 변화하고 있으며, 올해 CISO의 목소리 보고서는 글로벌 CISO들의 회복력, 대응 태세, 자신감을 키우기 위한 중대한 전환이 무엇인지를 강조하고 있다”면서“올해 분석 결과는 교육 강화, 기술 도입, 생성형 AI(GenAI) 등 급부상하고 있는 위협 요인에 맞춘 대응(adaptive approach) 등 전략적 방어에 대한 조직적 대응 필요성에 주목했다”고 말했다.

라이언 칼렘버(Ryan Kalember) 프루프포인트 최고전략책임자(Chief Strategy Officer)는 “오늘날 복잡다단한 사이버 위협 환경을 극복하는 과정에서 CISO들이 전략·도구 관련 자신감을 얻고 있다는 사실은 상당히 고무적이다”고 말하고 “다만, 직원 이직, 자원 절감 압박, 기업 이사회의 지속적 참여 필요성 등 현안 과제가 남아있는 만큼 조직의 사이버 보안 회복력은 의식적 경계(vigilance)과 적응(adaption)이 관건이라고 하겠다”고 덧붙였다.

2024년도 CISO의 목소리 보고서에서 도출한 한국 시장 조사 결과는 다음과 같다.

▲인적 오류가 취약성을 노린 사이버 위협의 최대 요인으로 남아있으나, CISO들이AI 솔루션을 통해 대응하는 추세다. 올해, 인적 오류를 조직 내 최대 사이버 취약 요인으로 평가한 CISO 수가 급증한 것을 알 수 있다. 지난해 설문 조사에서는 해당 CISO 비율이 34%에 그쳤으나 올해는 81%를 기록했다. 그런데 CISO 중 86%가 직원들이 기업 조직을 보호하는 데 있어 자신의 역할을 인지하고 있다고 생각한다고 답했다. 2023년 50% 기록에 비해 보안 자신감이 한층 높아진 것으로, 설문에 참여한 CISO 86%가 AI 기반 보안 기능을 통해 인적 오류 및 인적 요인에 따른 지능형 사이버 위협에 대응하려는 의지와 연관된 것으로 볼 수 있다.

▲사이버 공격을 우려하는 CISO 수가 증가한 가운데, 대응 준비가 미흡하다고 느끼는 CISO 수도 증가했다. 2024년CISO 중 91%가 향후 중대 사이버 공격에 직면할 리스크가 있다고 느끼고 있는데, 2023년에는 75%를 기록한 바 있다. 또한 CISO 중 69%는 소속 조직이 지능형 사이버 공격에 대응할 준비가 미흡하다고 답했는데, 이는 2023년47%에 비해 높아진 비율이다.

▲직원 이직 우려가 여전히 큰 가운데, CISO들의 보안에 대한 신뢰도는 높은 편이다. 2024년 CISO 중 77%는 지난 12개월간 심각한 민감 데이터 유출 사고를 처리한 바 있고, 이 중 94%는 퇴사 직원들이 유출 사고의 원인이었다고 응답했다. 이러한 데이터 유출 사고에도 불구하고, CISO 중 73%는 조직 내 적절한 데이터 보호 체계가 구축되어 있다고 생각하고 있는 것으로 나타났다.

▲CISO 대다수는 데이터 손실 보호(DLP) 기술을 채택하고 보안 교육에 대한 투자를 확대했다. 올해 설문에 응한CISO 중 53%가 DLP 기술을 도입한 것으로 나타났다. 2023년에는 불과 28%를 기록한 바 있다. 데이터 보안 모범사례 등 직원 보안 교육에 대한 투자 관련해서는 지난해에는 CISO 중 35%가 투자했다고 응답한 반면, 올해는 더 높은 40%로 나타났다.

▲랜섬웨어 및 내부자 위협이 CISO 최대 사이버 보안 위협 요인으로 부상했다. 특히 랜섬웨어 공격(40%), 내부자 위협(부주의, 우발적, 고의 범죄)(34%), 공급망 공격(32%) 순으로 비율이 높았다. 이는 지난해 선정된 최대 위협 요인과 다소 상이하다. 지난해에는 랜섬웨어 공격, 이메일 사기, 분산 서비스 거부(DDoS) 공격, 내부자 위협(부주의, 우연, 고의 범죄) 순이었다.

▲CISO들의 랜섬 결제 관련 사이버 보험 의존도가 높아졌다. 2024년 CISO 중 79%
(지난해 45%)가 향후 12개월간 소속 조직이 랜섬웨어 공격을 받으면 시스템 복구 및 데이터 유출 방지 관련 비용을 지불할 것으로 전망했다. CISO 중 82%(지난해 45%)가 사이버 보험을 청구하여 추정 손실을 복구할 것이라고 답했다.

▲생성형 AI가 CISO가 꼽은 최대 보안 위협으로 부상했다. 2024년 CISO 중 75%가 GenAI가 조직 보안을 위협하는 최대 리스크라고 답했다. 해당 CISO들은 조직 내 리스크 발생 경로를 액티브 디렉토리(AD)(46%), 챗GPT 및 기타 생성형 AI(42%), 경계 네트워크 장치(perimeter network device)(40%) 순으로 꼽았다.

▲기업 이사회와 CISO의 관계가 크게 개선되었다. 2024년CISO 중 83%가 이사회 구성원들이 사이버 보안 이슈 관련 견해를 같이 하고 있다고 답했는데, 2023년 45% 대비 비율이 대폭 상승했다.

▲CISO들의 심적 부담이 끊이지 않고 있다. 2024년 CISO 72%(지난해 47%)가 번아웃을 느꼈다고 밝혔다. 또한75%(지난해 36%)는 과도한 기대로 인해 부담을 느끼고 있다고 답했다. CISO에 대한 기대 수준을 계속 평가하고 있는데, 82%(지난해 48%)가 개인이 부담해야 할 책임을 우려했고, 76%(지난해 47%)는 임원배상책임보험(D&O) 혜택을 제공하지 않는 기업에는 입사하지 않겠다고 답했다. 또한, CISO 중 79%는 현재의 경기 둔화가 기업 경영에 중대한 투자를 저해했다는데 동의했다. 이들 중 71%는 인력 축소나 채용 지연(delay backfills), 보안 예산 감축을 요구받았다고 전했다.