사이버보안은 기업 중역실의 핵심 의제로 부상했지만 대부분의 최고정보보안책임자(CISO)는 임원 자리를 얻지 못하고 있는것으로 나타났다.

ISACA와 RSA컨퍼런스(RSA Conference)가 실시한 조사에 따르면 설문에 응한 사이버보안 및 정보보안 전문가의 82%는 해당 기업 이사회가 사이버 보안을 우려 또는 매우 우려하고 있다고 답했다. 하지만 CISO 일곱 명 중 한 명(14%) 만이 CEO에게 직보하고 있는 것으로 조사됐다. 

‘ISACA/RSA컨퍼런스 사이버보안 현황 연구’(ISACA/RSA Conference State of Cybersecurity study, http://goo.gl/sjXy44)에 따르면 보안 전문가의 74%가 2016년 사이버 공격을 예상하고 30%는 매일 피싱 공격을 경험하고 있는 상황에서 최고위 경영진의 견해와 실제 조치 사이에 이 같은 격차가 존재하는 것으로 나타났다. 

제니퍼 로윈스키(Jennifer Lawinski) RCA컨퍼런스 편집장은 “최고위 임원 사이에 사이버 보안의 중요성에 대한 이해가 높아지고 있음이 감지되지만 개선되어야 할 여지가 여전히 많다”고 밝혔다. 그는 “CISO의 대다수는 여전히 CIO에게 보고를 하고 있으며 이는 사이버 보안이 비즈니스 문제라기 보다는 기술적 문제로 여겨지고 있음을 보여준다”고 지적하고 “이번 설문은 향후 정보보안 커뮤니티의 성장 기회를 제공할 수 있는 불일치를 보여준다”고 분석했다. 

사이버 보안 기술 격차는 그 자체로 기업 안전을 유지하는 데 위협이 되고 있다. 지난해 정보 보안 팀의 사고 감지 및 대응 능력에 자신감을 보인 보안 전문가 비율은 2014년(87%)에 비해 하락한 75%로 12 포인트 감소했다. 75% 가운데 10명 중 6명은 팀원들이 간단한 사이버 보안 공격을 넘어서는 문제에는 대처할 수 없으리라 여기는 것으로 나타났다.

또한 채용 당시 충분한 자격을 갖춘 업무 지원자가 절반에 못 미친다고 답한 응답자가 1년 만에 50%에서 59%로 증가했다. 27%는 사이버 보안 담당자를 충원하는 데 6개월이 소요됐다고 응답했으며 이는 2014년에 비해 3% 증가한 수치다. 

론 헤일(Ron Hale) ISACA 최고지식책임자는 “현재 사이버 보안 기술 수준에 대한 확신이 부족한 것은 교육에 대한 전통적 접근이 미흡하다는 뜻”이라며 “사이버 보안 기술 격차를 메우고 막강한 사이버 인력을 효과적으로 개발하는 데는 현장 중심, 기술 중심 교육이 대단히 중요하다”고 강조했다. 

이번 설문은 사이버보안 또는 정보 보안을 주요 업무로 꼽은 전문가의 상황 인식이 현저히 부족함이 극명히 드러났다. 

· 24%는 2015년 사용자 신원 정보의 도난 여부를 알지 못했다. 
· 24%는 어떤 위협 행위자가 해당 기업을 공격했는지 알지 못했다. 
· 23%는 해당 기업이 지능형 지속 위협(APT) 공격을 받았는지 여부를 알지 못했다. 
· 20%는 기업 자산의 봇넷(botnet) 용도로 도난됐는지의 여부를 알지 못했다. 

대부분의 CISO가 기업의 기술 부서에 편재돼 있음에도 불구하고 올해 연구에서는 사이버 보안에 대한 관심이 높아졌다는 고무적인 조짐이 나타났다. 설문 응답자의 61%는 올해 자사의 사이버 보안 예산이 증가될 것으로 기대했으며 75%는 해당 기업의 사이버 보안 전략이 회사 목표와 보조를 맞추고 있다고 답했다. 

위기관리경영 - 한지현기자