CISO 위상 강화...CEO 보수와 사이버 리스크 성과 연동

[보안뉴스 김형근 기자] 글로벌 보험 및 자산운용 산업에서 사이버 리스크 관리가 핵심 우선순위로 떠올랐다. 리스크 관리 예산이 늘어나고 이사회 차원 감독도 대폭 강화된 것으로 나타났다.

신용평가사 무디스가 보험사, 보험 중개업체, 자산운용사 등 이 분야 1952개 기업을 대상으로 실시한 조사를 바탕으로 한 사이버시큐리티다이브 보도에 따르면, 사이버 리스크 관리는 이제 최고 경영진의 주요 관심사로 자리잡고 있다.

이 같은 추세는 CISO 위상 강화, 경영자 보수와 사이버 방어 성과 연동, 기업의 보안 태세 강화 노력 등으로 나타나고 있다.


[자료: 게티이미지뱅크]

CISO의 영향력 확대
- CISO 임명 확대: 전체 응답 기업의 약 70%가 기업 사이버 리스크를 총괄하는 최고 정보 보안 책임자(CISO)를 두고 있다. 10%는 최고 정보 책임자(CIO)가 업무를 겸임하고 있다.

- CEO 보고 의무화: 응답 기업의 95% 이상이 CISO가 적어도 연 2회 이상 CEO에게 직접 보고하도록 의무화했다. 이는 2023년 88% 대비 크게 증가한 수치다.

- 이사회 직접 보고: CISO가 기업 이사회에 직접 보고하는 기업 비율은 2023년 54%에서 70%로 급증해 사이버 안보가 전략적 리스크로 공식 인정받고 있음을 보여준다.

CEO 보수 연동 및 방어 예산 증가
기업들은 사이버 보안 성과를 재무관련 목표와 연결하기 시작했다.

- 성과 연동: 기업 중 40%는 CEO 보상을 회사의 사이버 보안 성과에 연동하고 있다. 이는 2023년 24%에 불과했던 것과 비교하면 매우 급격한 변화다.

- 예산 증액: 전체 IT 예산 중 사이버 보안에 8% 이상을 지출하는 기업 비율이 2023년 42%에서 47%로 증가, 방어에 대한 투자를 확대하고 있다.

- 실질적 대응 태세 확립
운영 및 대응 능력 또한 향상되었다.

- 사고 대응 테스트: 응답 기업의 98%가 사고 대응 계획을 최소한 연 1회 이상 테스트하며 비상 상황 대비를 철저히 하고 있다.

- 데이터 백업: 랜섬웨어 공격과 같은 치명적인 보안 사고에 대비해 80%의 기업이 매일 데이터 백업을 실행하여 핵심 데이터 사본을 확보하고 있다.

- 패치 관리: 응답 기업의 97%는 정기적인 패치 관리 및 취약점 관리 프로그램을 운영하고 있다.

- AI 거버넌스: 특히 새로운 위험 요소인 AI와 관련하여, 응답자의 84%가 AI 기반 도구 사용을 규제하는 공식 정책을 마련하고 있어 신기술 위험에 대한 경계심을 늦추지 않고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>