사이버보안 위협이 갖고 있는 무게감은 충분히 인식 보안상태를 냉정하게 평가하는 시각이 미흡한 상황

 
[보안뉴스 주소형] 임원진들이 사이버보안 위협의 무게감을 인식했다. 경영을 할 때, 사이버보안을 최우선순위에 올려두는 곳이 늘고 있다. 그러나 아직까지 갈 길은 먼 것으로 보인다. 보안의 중요성은 인지했지만 자사의 보안상태를 냉정하게 평가하는 시각은 미흡한 상황이기 때문. 최근 포네몬(Ponemon)사가 IT 보안 임원진들을 대상으로 진행한 설문조사 결과에 따르면 그들은 현재 자사 보안환경이 충분히 안전하다는 과대평가를 하면서 결국 사이버리스크에 대한 현실을 제대로 직시하지 못하고 있다. 그야말로 하나만 알고 둘은 모르는 경우다. 다음은 그들이 그렇게 될 수밖에 없는 배경 4가지다.
 



 
1. 베이스라인 지식의 부재
임원진들이 사이버보안에 아무리 관심을 기울여도 기본적인 지식이 부족하다보니 해당 정보들을 정확히 판독하기에 한계가 있다. 보고서에 따르면 응답자의 33%가 스스로 사이버보안에 대해 매우 또는 충분히 알고 있다고 답했다. 게다가 70%는 직면한 보안 리스크에 대해 이해하고 있는 것으로 집계됐다. 그러나 정작 각사의 보안 실무자들이 ‘임원진들이 보안 실태를 제대로 파악하고 있다’고 답한 비율은 43%에 그쳤다. 즉 임원진들이 착각의 늪에 빠져있다는 것.
 

2. 임원진들의 고질병, 과잉확신
무식하면 용감하다는 말이 있는데 보안에 대한 지식이 부족하다보니 임원들은 자사 보안에 대해 상당히 긍정적인 평가다. 적어도 어떻게든 되겠지 식의 낙천적인 사고를 가지고 있다. 응답한 임원의 59%가 자사 보안 거버넌스가 매우 효율적이라고 자평한 가운데 보안 실무자들은 18%만이 이에 동감한다고 답한 것은 나타났다.

“임원진들이 갖고 있는 보안에 대한 현실과 이상의 괴리가 깊다. 특히 거버넌스와 같은 경우는 사이버공격 및 데이터 유출과 직결되는 문제임에도 불구하고 제대로 파악하지 못하고 있다는 것은 심각한 문제”라고 보고서는 우려했다.

 
3. 소통의 부재
임원진들과 보안실무자 간의 원활한 소통이 부족하다. 그렇다보니 보고가 누락되기도 한다. 이에 따라 회사의 정보가 유출이 됐는지조차 모르는 경우가 발생된다. 보고서에 따르면 최근 2년 사이 IT 보안전문가들의 절반 이상이 회사의 민감정보가 유출된 적이 있다고 답한 반면 임원진들의 23%만이 이를 파악하고 있었다. 심지어 유출사고 경험 유무에 대한 현황조차 모르는 경우가 태반인 것으로 파악됐다. 임원 5명중 1명이 최근 몇 년 사이 사이버공격으로 업무 및 IT 운영에 영향을 받은 적이 있었는지 모른다고 답했으며 유출사고 여부에 대해 잘 모른다고 답한 비율은 18%로 드러났다.
 

4. 보안척도의 부재
대부분의 임원진들은 사이버보안의 중요성을 인지하고 있다. 응답자의 무려 89%가 유출사고 및 보안사고가 발생했을 경우 회사에 얼마나 막대한 악영향을 미칠 수 있는지 알고 있는 것으로 집계됐다. 그러나 그들은 보안부서에게 충분한 정보를 묻지 않고 있다. 사실 무엇을 묻고 무엇을 들어야 하는지 모르고 있기 때문이다. 실제로 임원진 19%만이 현재 보안상태를 점검할 수 있는 조항들을 알고 있다고 답했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>