IT 부서 소관으로 간주되던 사이버보안이 최고경영진 관심사로 떠올랐다.
IBM 기업가치연구소는 29개국 18개 업종 9개 직무 최고경영진 700명을 대상으로 사이버보안 인식 조사를 했다. 최고경영진은 모바일과 클라우드컴퓨팅, 스마트카, 사물인터넷(IoT), 코그너티브 컴퓨팅 등 확산에서 가장 큰 위험을 IT보안으로 인식했다.
최고경영진 75%는 종합 사이버 보안 프로그램이 `중요하거나 매우 중요하다`고 응답했다. 사이버보안 △예방(77%) △탐지(76%) △대응(74%) △시정(78%)에 비중을 뒀다.
경영진은 향후 2년간 중대한 사이버 보안 사고가 일어날 확률을 38%로 봤다. 이미 발생했다고 응답한 비율이 5%였다. 사이버보안사고가 피할 수 없다는 응답도 8% 나왔다.
경영진 절반 이상은 산업 스파이나 조직적 범죄 위험을 인식했다. 경영진이 선택한 가장 심각한 사이버보안 위협 요인은 △개인범죄자(70%) △조직적 범죄 단체(54%) △동종업계 경쟁자(50%) △재직 중이거나 퇴사한 직원(32%) △조직적 테러단체(26%) △타 업종 경쟁자(23%) △외국정부(19%) △자국정부(17%) △현재나 이전 벤더(8%) 순이었다.
유엔마약범죄사무소(UNODC) 사이버범죄 종합연구 결과 중대한 위협 중 80%는 조직적 범죄단체가 일으킨다. IBM 2015 사이버범죄 인텔리전스 지수에 따르면 데이터 유출 중 31.5%는 직원이나 계약자, 협력업체 등 악의를 가진 내부자 소행이다. 데이터 유출 23.5%는 뜻하지 않은 요인에서 비롯된다.
CEO는 정부와 업계, 다른 국가와 사이버 보안 협업 필요성에는 공감했지만 실제 동참에는 소극적이다. 61% CEO는 정부와 협력을 강조했다. 55%는 업계 간 대응을, 53%는 국가 간 정보 공유에 동의했다. 하지만, 자체 보안사고 정보를 다른 곳과 공유하는 건 꺼리는 이중적 태도를 보였다. 68% CEO가 보안사고 정보 대외 공유를 꺼렸다. 최근 사이버위협 정보를 공유하자는 움직임이 거세다. 특정 사이버범죄 조직 움직임과 공격법 등을 공유하면 보다 효과적으로 위협에 대응할 수 있다.
CEO들은 사이버보안 위협의 심각성을 인식했지만 45%만이 사내 위협 관리에 참여했다. 절반 이상은 스스로 보안 절차에 참여하지 않았다. 가장 열심히 사이버보안에 대응하는 경영진은 최고보안책임자(CISO)였으며 최고정보기술책임자(CIO), 최고운영책임자(COO), 최고법률책임자(CLO) 순이었다.
사이버보안이 우수한 그룹의 최고경영진 공통점은 보안전담팀을 두고 CISO를 임명했다. 사이버보안 계획에 경영진이 직접 참여해 계획을 이행했다. 이사회에서 사이버보안을 정기적으로 다루는 등 관련 문제를 지속 논의했다. CEO가 비즈니스 실행에 보안을 고려하는 문화정착이 시급하다.
IBM기업가치연구소는 사이버보안 역량을 강화하려면 위험을 이해하고 협업과 교육을 강화하며 경계심을 갖고 신속하게 위험을 관리해야 한다고 조언했다. IBM은 사이버범죄로 인한 소모비용이 연간 3750억달러에서 5750억달러에 달할 것으로 예측했다.
김인순 보안 전문기자 insoon@etnews.com
