사회 전반에서 디지털 전환이 가속화되면서 국내외를 막론하고 기업의 보안을 책임지는 최고정보보호책임자(CISO)들이 다양한 민감 데이터 유출 문제에 직면하고 있다. 이 가운데 기업에서 발생하는 데이터 유출 문제의 다수가 내부 직원들의 퇴사 등 인력 문제와 연관이 있다는 조사 결과가 나왔다.

사이버 보안 및 컴플라이언스 기업 프푸프포인트는 글로벌 정보보호최고책임자(CISO)들의 핵심 과제와 기대치, 우선 순위를 분석한 연례 ‘CISO의 목소리가 담긴 보고서’를 발표하고, 이와 관련해 5월 18일 서울 삼성동에 위치한 위워크에서 미디어 브리핑을 진행했다.  

이날 발표된 보고서는 다양한 산업의 중대형 기업 조직의 CISO 1600명을 대상으로 실시한 글로벌서드파트 설문조사에 대한 결과를 담고 있다. 조사 대상은 16개국의 시장에 있는 임직원 200명 이상의 기업의 CISO 100여 명이며, 대상 국가로는 미국, 캐나다 영국, 일본 싱가포르, 한국, 브라질 등이다. 특히 이번 보고서는 한국 시장에 대한 조사 결과가 포함된 첫 보고서로 의미가 깊다. 

보고서는 ▲CISO가 일상적으로 접하는 위협과 리스크 ▲기업위 사이버 위협 대비 수준이 직원들에게 미치는 영향 ▲경기 둔화로 인한 보안 예산 긴축 시 CISO가 구축할 수 있는 방어체계 등에 대한 글로벌 동향과 지역별 차이점을 다루고 있다. 설문조사에서는 CISO와 기업 이사회의 견해차 측정을 통해 양측의 관계가 보안 과제에 미치는 영향을 살펴보았다. 

보고서에 따르면, CISO 대부분이 코로나19 팬데믹 초반에 경험했던 초긴장 상태를 다시 겪고 있는 것을 나타났다. 설문조사에 참여한 CISO 중 68%는 중대한 사이버 위협 공격 위험을 느끼고 있었는데 팬데믹으로 인한 혼란에 적응한 시기인 2021년 48% 급증했다.

또한 이런 위협은 기업의 노동 환경 악화에도 영향을 미친 것으로 나타났다. 설문조사에 참여한 CISO 중 82%는 직원들의 퇴사 이유가 데이터 유출 사고와 무관하지 않다고 답했다. 63%가 지난 1년간 민감 데이터 문제를 처리한 적 있다고 답했지만 60%는 기업 내 데이터 보호 체계가 잘 운영되고 있다고 생각하는 것으로 나타났다.

프루프포인트가 CISO 목소리 보고서에서 도출한 한국 시장의 결과는 다음과 같다.

• 국내 CISO, 사이버 공격 대응 준비에 자신감 보여

국내 CISO 중 45%(글로벌 평균 65%)는 향후 12개월간 랜섬웨어 공격 피해를 입으면 시스템 복구 비용을 지불하고 데이터 유출을 방지할 의향이 있다고 답했다. 반면 45%(글로벌 평균61%)가 사이버 공격으로 발생한 손실을 복구하기위 해 사이버 보험을 이용할 것이라고 답했다.

• 직원 이직으로 인한 민감 데이터 유출 증가

국내 CISO 중 42%(글로벌 평균 63%)는 지난 12달간 심각한 민감 데이터 유출 사고를 처리

한 바 있고, 이중 83%(글로벌 평균 82%)는 퇴사 직원들이 유출 사고의 원인이었다고 응답했

다. 이러한 데이터 유출 사고에도 불고하고, CISO 중 38%(글로벌 평균 60%)는 기업 내 적절

한 데이터 보호 체계가 구축-운영되고 있다고 생각하고 있는 것으로 나타났다. 

•이메일 사기 및 랜섬웨어 공격이 가장 큰 위협

국내 CISO가 인식하는 가장 큰 위협은 이메일 사기 공격(BEC) 및 랜섬웨어 공격으로, 내부자 

위협과 디도스 공격이 그 뒤를 이었다.

• 랜섬웨어 공격 피해 복구 비용 지불 의향 낮아

국내 CISO 중 45%(글로벌 평균 62%)는 향후 12개월간 랜섬웨어 공격 피해를 입으면 시스템 복구 비용을 지불하고 데이터 유출을 방지할 의향이 있따고 응답했다. 반면 45%(글로벌 평균 61%)가 사이버 공격으로 발생한 손실을 복구하기 위해 사이버 보험 증권을 청구할 것이라고 답했다. 

• 공급망 위협이 주요 위협 요인으로 꼽혀

국내 CISO 중 53%(글로벌 평균 64%)는 공급망 리스크를 완화할 관리 체계가 내부에 제대로 구축돼 있다고 응답했다. 현재는 관리상 문제가 없어 보이더라도 향후에는 예산이 턱없이 부족하다고 느낄 가능성이 있따 39%(글로벌 평균 58%)는 경기 침체로 조직의 보안 예산이 감축돼 왔다고 응답했다. 

• 인력 위험은 주요 위협요인으로 인식되지 않아

국내 CISO 중 34%(글로벌 평균 60%)만이 인적 오류를 조직의 최대 사이버 취약 요인으로 평가했다. 이는 조사 참여 국가 중 가장 낮은 비율이다. 또한 한국 CISO 중 50%(글로벌 평균 61%)는 직원들이 기업 보호 역할을 이해하고 있다고 응답했다.

• CISO와 기업 이사회의 의견 일치 적어

국내 CISO 중 45%(글로벌 평균 62%)는 사이버 보안 이슈에 대해 이사회의 의견이 일치한다고 밝혔다. 의견일치 정도는 업종별로 차이가 있었는데 소매, 제조 및 생산, 공공, IT 등 분야가 높게 나타났다.  

• CISO가 느끼는 압박감으로 직무 지속성 하락 

국내 CISO 중 36%(글로벌 평균 61%)는 업무 관련 기대치가 불합리할 정도로 높다고 응답했다. 48%(글로벌 평균 62%)가 자신의 역할에 있어서 개인의 책임을 우려하고 있고, 47%(글로벌 평균 60%)는 지난 12달간 업무상 번아웃을 경험했다고 응답했고, 이로 인해 삶의 질이 저하되고 있다고 답했다.

또한 대부분의 CISO(61%)는 사이버 공격으로 인한 재정적 책임으로부터 보호하기 위해 이사 및 임원 (D&O) 보험 또는 이와 유사한 것을 제공하지 않는 조직에 입사하지 않을 것이라고 말했다.

이베트 레진스 프루프포인트 아시아 지역 담당 CISO는 "실제로 인력 유출로 인한 데이터 유출은 가장 높은 비율을 차지한다. 따라서 기업 내부에서의 데이터 보호 관리가 더욱 중요해지고 있다. 직원들은 퇴사할 시 데이터를 자신의 자산하거나, 이직 시 경쟁력이라고 여거 유출하는 경우가 많다. 또한 외부에서 원격으로 일하는 직원들로 인한 유출도 많다. 대퇴사, 대해고 등 고용 문제로 인한 데이터 유출로 인한 기업들의 데이터 통제-관리가 중요해질 것으로 예상된다"라고 설명했다. 

또한 그는 최근 팬데믹이 완화되면서 하이브리드 근무가 끝이 났는데 보안 인식이 높아진 이유는 무엇인지에 대한 질문에는 "팬데민 초기에는 CISO들이 많은 스트레스를 받았다. 근무 형태의 변화로 인해 많은 취약점이 생겼기 때문이다. 하지만 팬데믹에 적응하면서 원격 근무 시의 보안 인식 수준이 높아졌다. 하지만 클라우드 도입 등 다양한 업무 환경 변화로 보안 환경은 계속 변화하고 있는 상황이라 CISO들이 우려해야 하는 보안 위협은 더 높아지고 있는 상황이다"라고 설명했다. 

이석호 프루프포인트 코리아 대표는 "프루프포인트는 피플 센트릭, 사람 중심의 보안 체계를 갖추고 있다. 임직원을 모니터링하고 통제하는 것에 초점을 두고 이를 위해 DLP(정보 유출 방지) 기술과 내부자 위협 관리 시스템을 갖추고 있다. 또한 데이터가 움직이는 경로를 모두 모니터링해서 관리자에게 보고하고 있다. 추가로 피싱이나 랜섬웨어, BEC 등 외부 위협에 대한 강력한 보안 솔루션도 갖추고 있다. 결국 보안의 시작과 끝은 사람이다. 인프로보다 먼저 사람을 공격하는 경우가 많다. 따라서 프루프포인트는 무엇보다 사람 중심적인 프로그램을 가져갈 때 허용 가능한 수준으로 가져갈 수 있다. 어떤 임직원이 공격을 받고 있는지, 왜 취약한지, 누가 민감한 데이터에 접근할 수 있는지가 중요하다. 이제는 위협 중심보다 사람 중심의 보안으로 나아가야 할 때다"라고 강조했다.