기업, 국가 등을 대상으로 사이버 위협이 증가하지만 기업 보안수준은 이를 따라가지 못한다. 해커는 국가주도·범죄조직으로 발전하면서 막대한 금액을 투자하지만 보안투자는 기업별로 산발적이며 제한적이다.
EY가 최근 발표한 '글로벌 정보보안 설문조사(GISS)'에 따르면 응답 기업 53%는 올해 사이버보안 예산을 늘렸으며 65%는 내년도 예산 증액을 계획했다. 지난해 워너크라이, 낫펫트야 등 사이버 공격이 실제 기업에 피해를 발생시켜 관련 인식도 높아졌다.
그러나 응답자 39%는 사이버 보안 투자 금액을 전체 정보기술(IT) 예산 가운데 2% 내외로 하겠다고 답했다. 55% 기업은 향후 사업전략에 '보안'을 고려하지 않았다. 응답자 18%만 기업 전략계획에 '정보보호'가 영향을 미친다고 답했다. 조사는 세계 기업 정보보호최고책임자(CISO), 최고정보관리책임자(CIO) 등 1400여명을 대상으로 했다.
폴 반 케셀 EY 글로벌 사이버보안 리더는 “응답 기업 65%가 내년에 사이버 보안 예산을 증액한다고 답했지만 이는 충분하지 않다”면서 “해커는 국가에서 지원할 정도로 투자규모가 거대하지만 기업은 여전히 한정된 자원에서 보안을 고려하고 이마저도 선별적으로 투자를 집행한다”고 지적했다.
사이버 보안 예산은 사고 이후 증가하는 것으로 나타났다. 응답자 76%는 심각한 유출 사고 후 보안관련 예산이 증가했다고 답했다. 실제 침해사고를 겪지 않았다고 답한 63%는 보안관련 예산을 증액하지 않았다.
반 케셀 리더는 “10년 이상 관련 조사를 실시하면서 과거와 비교해 사이버 보안 인식은 높아졌다”면서도 “기업이 실제 보안 사고를 당하지 않으면 투자를 증액하지 않는 것은 문제”라고 말했다.
사이버보안의 가장 취약한 고리는 '사람'이었다. 실제 가장 큰 위협으로 떠오른 이메일을 통한 피싱공격 모두 내부 직원 등 인력 관련 사고다. 응답자 34%는 1년간 가장 큰 보안 취약요소로 '직원 부주의와 관련 인식부족'을 꼽았다. '업데이트되지 않은 SW 등 보안통제(26%)' '허가되지 않은 접근(13%)' 등이 뒤를 이었다. 이외 클라우드컴퓨팅 사용(10%), 스마트폰·태블릿(8%) 등도 취약 분야로 꼽혔다.
높음·보통·낮음으로 나눠 조사한 사이버 보안 투자에서는 클라우드컴퓨팅, 사이버보안 분석, 모바일 컴퓨팅 등이 향후 투자를 우선적으로 진행할 분야로 꼽혔다.
표 : 지난 1년간 가장 많이 증가한 취약점
정영일기자 jung01@etnews.com