경영진에 보고하지 않아 리스크 판단 혼란 가중

[보인뉴스 김형근 기자] 기업 사이버 보안 사고에 대한 보안 책임자들의 ‘은폐’가 심각한 수준에 달하는 것으로 나타났다.

사이버 보안 컨설팅 기업 바이킹클라우드(VikingCloud)가 최근 기업 보안책임자 대상으로 실시한 설문조사 결과, 보안 공격이 빈번하고 심각해지고 있음에도 많은 보안 책임자들이 사고 발생 사실을 경영진이나 이사회에 보고하지 않고 있다.

응답자의 거의 절반(48%)이 중대한 보안 침해 사고를 경영진에게 보고하지 않았다고 인정했으며, 이중 22%는 다섯 건 이상의 사고를 숨긴 것으로 조사됐다.

이러한 소극적 대처는 처벌에 대한 두려움이나 평판 및 규제에 대한 우려 때문인 것으로 바이킹클라우드는 분석했다. 이러한 보고 회피는 경영진이 기업의 실제 위험 노출 수준을 알지 못하고 잘못된 의사결정을 내리는 결과를 낳게 된다.


[자료: 바이킹클라우드]

또 보안 책임자의 80%가 특정 국가 지원 해킹 그룹의 표적이 될 것을 우려하고 있으며, 해커들은 AI를 이용해 공격을 대량 생산하면서 위협이 전례 없이 커지고 있다고 생각하는 것으로 나타났다.

해커들은 생성형 AI와 에이전트 AI를 활용해서 피싱, 사회 공학, 랜섬웨어 캠페인을 대규모로 확장하고 있다.

응답자 대부분은 작년에 겪은 해킹 공격에 AI가 사용됐을 거라고 의심하고 있다. 또 딥페이크나 음성 사기, AI 모델 대상의 프롬프트 인젝션 같은 새로운 공격 기법도 늘어나는 추세다.

사이버 공격에 대한 방어를 위해서도 AI를 도입하고 있지만, 책임자들 가운데 68%만이 “AI 기반 위협을 실시간으로 방어할 자신이 있다”고 대답했다.

회사 내부자의 악의적 행동이 전체 사고의 4분의 1 이상을 차지해, 여전히 커다란 과제로 남아 있다는 사실도 확인됐다.

기업들은 이 문제에 대응하기 위해 직원 대상 보안 교육을 확대하고 있지만, 공격 표면 자체가 넓어지면서 어려움을 겪고 있는 것으로 조사됐다.

최근 사이버 공격의 빈도가 급증하는 것도 보안 책임자들의 부담을 더하고 있다. 응답자의 71%가 작년에 비해 공격이 더 늘어났다고 답했다. 또 61%는 사고가 발생할 때 피해가 규모가 더 커졌다고 답했다.

이에 따라 많은 기업이 보안 예산을 늘리고, 외부 전문 기업에 보안을 의뢰하는 경향이 두 배로 증가하는 등 선제적 방어 태세로 전환하고 있는 것으로 조사됐다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>