[보안리포트] “IT 의사결정권자 90%, 비즈니스 사안 위해 사이버 보안과 타협”
[보안리포트] “IT 의사결정권자 90%, 비즈니스 사안 위해 사이버 보안과 타협”
  • 박시현 기자
  • 승인 2021.11.23 14:33
  • 댓글 0
이 기사를 공유합니다

트렌드마이크로 ‘글로벌 위협 보고서’ 발표, “사이버 위험의 심각성 경시해야 한다는 압박 느껴”

[디지털경제뉴스 박시현 기자] 트렌드마이크로가 IT 및 비즈니스 의사 결정자들의 보안 인식을 조사한 ‘글로벌 위협 보고서’(A Global Study: BUSINESS FRICTION IS EXPOSING ORGANISATIONS TO CYBER THREATS)를 발표했다.

이 보고서는 트렌드마이크로가 사피오 리서치(Sapio Research)에 의뢰해 26개국 250명 이상 기업의 IT 및 비즈니스 의사 결정권자 5,321명을 인터뷰한 내용으로 작성됐다.

◆“사이버 보안을 비즈니스 성장의 근본적인 동력으로 바라봐야” = 보고서에 따르면 IT 의사 결정권자의 90%는 비즈니스가 디지털 혁신, 생산성 향상 등의 목표를 위해 사이버 보안에 대해 타협할 의향이 있다고 밝혔다. 82%는 이사회로부터 사이버 위험의 심각성을 경시해야 한다는 압박을 느낀 적이 있다고 답했다.

바라트 미스트리(Bharat Mistry) 트렌드마이크로 영국 기술 책임자는 "IT 리더들은 보안 이슈에 있어 이사회에 부정적으로 보일 것을 우려해 자기 검열을 하고 있으며, 그 중 약 3분의 1은 지속적인 압박을 느낀 것으로 나타났다. 이러한 현상은 최고 경영진이 위험 노출의 실체를 모르는 상태를 지속시키는 악순환을 야기한다”라며, “위험에 대해 논의할 때 사이버 보안을 비즈니스 성장의 근본적인 동력으로 바라봐야 한다. 사이버 보안은 IT 및 비즈니스 리더를 결집하는 데 도움이 된다"고 말했다.

필 고프(Phil Gough) 너필드 헬스(Nuffield Health) 정보보안 책임자는 “IT 의사 결정자들은 기업의 이사회와 사이버 보안의 심각성을 정확히 알려야 한다. 양쪽이 서로를 소통하고 이해할 수 있는 커뮤니케이션을 해야 한다”라며, “원활한 의사소통은 비즈니스-사이버 보안 전략을 계획하기 위해 매우 중요한 첫 번째 단계이다. 사이버 위험을 비즈니스 용어로 명확하게 표현하면 관심을 얻을 수 있을 뿐만 아니라 보안이 혁신에 대한 장애물이 아닌 성장 동력으로 인식하는 데 도움이 된다”고 말했다.

이번 보고서에 따르면 IT 리더의 50%와 비즈니스 의사 결정권자의 38%만이 최고 경영진이 사이버 위험에 대해 완전히 이해하고 있을 것이라고 밝혔다. 그 이유로 최고 경영진이 충분히 노력하지 않거나(26%) 이해하기를 원하지 않기 때문(20%)이며, 주제가 복잡하고 끊임없이 변하기 때문이라고 답했다.

◆IT 리더와 비즈니스 리더 간 위험 관리 책임 소재에 의견차 = 이번 보고서는 IT 리더와 비즈니스 리더 간에 위험 관리 및 완화에 대한 책임 소재에 있어 의견 차이가 있음을 보여준다.

IT 리더는 비즈니스 리더보다 위험 관리 및 완화에 대한 책임이 IT 팀과 정보보안 최고 책임자(CISO)에 있다고 지목할 가능성이 약 2배 더 높았다. 응답자의 49%는 사이버 위험이 여전히 비즈니스 위험이 아닌 IT 문제로 취급되고 있다고 답했다.

IT 및 비즈니스 리더 간의 의견 마찰은 잠재적으로 심각한 문제를 발생시키고 있다. 52%는 사이버 위험에 대한 조직의 태도가 일관성이 없으며 매달 다르다고 밝혔다. 그러나 31%는 사이버 보안이 가장 큰 비즈니스 위험이며, 66%는 사이버 보안이 비즈니스 위험 중 비용에 가장 큰 영향을 미친다고 응답했다. 이는 보안에 대한 전반적인 타협 의지와 비교해 상충하는 의견이다.

최고 경영진이 사이버 위험에 대해 주의를 기울이게 만들기 위한 방법으로는 조직이 침해당하는 것(62%), 사이버 위협의 비즈니스 위험에 대해 더 잘 보고하고 더 쉽게 설명하는 것(62%), 고객이 보다 정교한 보안 자격 증명을 요구하는 것(61%) 등으로 나타났다.

마크 왈쉬(Marc Walsh) 퀼트(Coillte) 엔터프라이즈 보안 설계자는 "사이버 보안을 이사회 차원에서 다루기 위해서는 최고 경영진이 사이버 보안을 진정한 비즈니스 동력으로 인식해야 한다"라며, "이를 통해 IT 및 보안 리더는 비즈니스 용어로 이사회에 자신들의 과제를 명확히 설명할 수 있다. 또한 이를 위해서는 침해에 따른 임시적인 응급처치 대응을 넘어 이사회의 주도 아래 우선순위를 지정하고 사전 예방적 투자를 하는 것이 필요하다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.