세계 각지의 기업·기관 조직 네 곳중 세 곳은 보안 역량 부족으로 위험에 노출된 것으로 나타났다.
한국EMC(대표 김경진)는 19일 `RSA 사이버 보안 취약 지수` 보고서를 발표했다. 지난해 이어 두번째 발간된 보고서다.
EMC 보안사업부문인 RSA가 전 세계 IT 담당자를 대상으로 진행한 설문조사를 바탕으로 사이버 보안 핵심 분야 조직 규모와 산업군, 지역에 따른 성숙도 현황 등을 다뤘다. 유럽중동아프리카 240명, 아태지역 200명, 북남미 438명 등 총 81개국 878명이 이번 보고서를 위한 설문에 참여했다.
자가 평가를 기반으로 한 이번 조사에서 전체 응답자 중 75%는 자신이 속한 조직이 부족한 보안 역량으로 위험에 노출된 것으로 인식했다.
사이버 보안 중요 분야인 인증, 보호, 탐지, 대응, 복구에 대한 질문에는 응답자 66%가 모든 부분에서 미흡한 수준으로 평가했다. 탐지와 대응 부분이 가장 부족한 부분으로 꼽혔다. 보호 부분은 상대적으로 성숙하다는 평가를 받았다.
세부 역량 면에서는 리스크 종류를 파악하고 조사·완화시키는 역량이 가장 부족한 것으로 나타났다. 위협 감지 역량도 상대적으로 부족했다. 잠재적 보안 이슈 감지를 위한 네트워크, 엔드포인트, 서버, 애플리케이션 모니터링 역량을 제대로 갖춘 기업은 28%에 불과했다. 계정·접근관리(IAM) 부분은 37%로 비교적 높은 성숙도를 보였다.
기업 규모가 사이버 보안 역량 수준 차이에 크게 작용했다. 임직원 1만명 이상 조직에 속한 응답자는 33%가 조직 보안 성숙도를 높거나 최고수준으로 평가했다. 임직원 1000명에서 1만명 규모에선 24%, 1000명 미만 고용인 조직에 소속된 응답자 사이에선 23%가 답한 것에 비해 10% 가량 높은 수치다.
응답자 67%는 최근 12개월 내 사업에 부정적 영향을 미칠 보안 사고가 있었다고 답했다. 산업군별로는 항공우주·국방 산업 보안 성숙도가 가장 높고 정부·에너지 산업이 가장 낮은 성숙도를 보였다.
김경진 한국EMC 사장은 “많은 기업 역량이 급증하는 사이버 위협에 대응하기 아직 충분하지 않다는 것을 보여 준다”며 “보안 리스크 조사와 전략 수립으로 올바른 보안 투자 우선순위를 정하고 최근 이슈가 되는 탐지와 대응 부분에 역량을 집중해 비즈니스 안정성을 높여야 할 것”이라고 말했다.
박정은기자 jepark@etnews.com
