사이버 보안 분야에서 변함없는 사실은 새로운 위협이 끊임없이 등장한다는 것입니다. 기업 시스템의 사이버 보안을 책임지는 CISO(최고 정보 보안 책임자)들은 그 어느 때보다 더 많은 사이버 위협에 직면하고 있습니다. 최근 Proofpoint는 CISO들이 직면한 여러 사이버 보안 문제를dent하는 연례 보고서를 발표했습니다.
지난 몇 년 동안 CISO들은 여러 가지 새로운 도전에 직면해 왔습니다. 첫째, 세계적인 팬데믹으로 인해 기업들은 원격 근무에 적응해야 했고, 둘째, 클라우드 기반 시스템의 도입이 증가하면서 사이버 위협에 대한 노출 위험이 크게 높아졌습니다.
프루프포인트(Proofpoint Inc.)는 사이버 보안 및 규정 준수 전문 기업입니다. 이 회사의 연례 CISO 의견 보고서(Voice of the CISO)는 CISO가 직면한 여러 가지 과제와 더불어 그들의 우선순위 및 기대치를 파악dent.
관련 기사: AI 모델 서비스(Model-as-a-Service)는 새로운 앱에 어떤 이점을 제공할까요?
기업들은 사이버 공격을 두려워한다
프루프포인트는 보고서에서 인적 오류가 여러 사이버 보안 위험 요소 중에서도 가장 큰 비중을 차지한다고 지적했습니다. 조사 대상 CISO의 거의 74%가 향후 1년 동안 소속 조직이 사이버 공격을 받을 위험이 높다고 응답했습니다. 이러한 우려는 작년의 68%에서 소폭 증가했으며, 2022년의 48%와 비교하면 상당히 높은 수치입니다.
프루프포인트의 글로벌 상주dent 인 패트릭 조이스는 다음과 같이 말했습니다.
"사이버 보안 환경은 인간 중심적 위협이 증가함에 따라 계속해서 진화하고 있지만, 2024년 CISO 의견 보고서는 전 세계 CISO들 사이에서 회복력, 대비 태세 및 자신감을 강화하는 중요한 변화가 나타나고 있음을 보여줍니다."
프루프포인트는 2024년 보고서에서 사이버 공격이 증가했음에도 불구하고 CISO들이 이러한 위협에 대응하는 데 더 큰dent 갖게 되었다고 지적하며, 이는 사이버 보안 분야의 변화를 보여준다고 언급했습니다.
다음 글도 읽어보세요: 사이버 보안에 생성형 AI를 도입하는 것이 AI 위협에 대한 최선의 해결책이 될 수 있습니다
CISO의 업무 특성상 항상 경계 태세를 유지해야 합니다. 조사에 따르면, 표적 사이버 공격에 대비하지 못했다고 느끼는 CISO는 43%에 불과합니다. 이러한 취약성 인식은 작년 61%에 비해 크게 감소했습니다.
인적 오류가 사이버 보안 문제의 최우선 과제로 떠올랐습니다
앞서 언급했듯이, 인적 오류는 CISO들이 가장 우려하는 사항이며 올해 다른 모든 사이버 보안 취약점을 제치고 가장 큰 문제로 떠올랐습니다. 보고서에 따르면 내부자 위협이 지난 한 해 동안 증가했으며, CISO의 80%는 특히 부주의한 직원으로 인한 인적 위험을 주요 사이버 보안 위협으로 인식하고 있습니다.
하지만 CISO의 86%는 대부분의 직원이 조직 보안에 있어 자신의 역할과 책임을 이해하고 있다고 생각합니다. 이러한 확신은 작년의 60%에서 상당히 증가한 수치입니다. 프루프포인트는 이러한 긍정적인 변화가 AI 기반 솔루션 덕분일 수 있다고 분석하며, 조사 대상 CISO의 87%가 고도화된 인간 중심 사이버 위협으로부터 조직을 보호하기 위해 AI 기반 솔루션을 도입하고 싶다고 밝혔습니다.
설문조사에 따르면, CISO의 54%가 생성형 AI를 새로운 우려 사항으로 인식하고 있습니다. 이들은 생성형 AI가 조직에 중대한 위험 요소가 될 수 있다고 생각하며, 위험을 초래할 수 있는 가장 우려스러운 시스템으로 ChatGPT 또는 유사 도구, Slack, Teams, Zoom 또는 유사 협업 도구, 그리고 Microsoft 365 Copilot을 꼽았습니다.
조이스는 "올해 조사 결과는 교육 강화, 기술 도입, 생성형 AI와 같은 새로운 위협에 대한 적응적 접근 방식을 포함한 전략적 방어를 향한 공동의 움직임을 보여줍니다."라고 말했습니다.
올해 보안 책임자 중 46%가 조직 데이터의 상당한 손실을 경험했다고 보고했으며, 73%는 퇴사하는 직원이 손실에 연루되었을 가능성이 있다고 인정했습니다. 그러나 대부분의 CISO(약 81%)는 여전히 조직 데이터를 보호하기 위한 충분한 통제 시스템을 갖추고 있다고 답했습니다.
관련 기사: 사이버 보안 기관들이 아키라 랜섬웨어 위협에 맞서 힘을 합치다
대부분의 CISO는 데이터 손실 방지 기술을 도입했으며, 53%는 직원들에게 최적의 데이터 보안 관행에 대한 교육을 제공했습니다. 랜섬웨어, 멀웨어, 이메일 사기는 주요 관심사이며, CISO의 62%는 향후 1년 내에 공격을 받을 경우 시스템 복구 및 데이터 유출 방지를 위해 비용을 지불할 의향이 있다고 밝혔습니다.
이번 설문조사 결과는 다른 조사 결과들과 일치합니다
Proofpoint의 조사 결과는 Metomic의 "2024 CISO 설문조사: 핵심 비즈니스 데이터를 안전하게 보호하는 보안 책임자들의 통찰력" 보고서와 일치합니다. Metomic은 인공지능(GenAI), SaaS 및 클라우드 애플리케이션 전문 데이터 보안 솔루션 제공업체이며, 해당 보고서는 4월 말에 발표되었습니다.
하지만 설문조사 표본 크기는 미국과 영국의 CISO 400명으로 비교적 작았습니다. 설문조사에 따르면 데이터 유출이 가장 큰 우려 사항이었으며, CISO의 84%가 보안 운영에 집중할 계획이라고 밝혔습니다. 또한 작년에 기업들은 3,205건의 데이터 유출dent를 경험했으며, 단 한 건의 데이터 유출 사고로 인한 평균 손실액은 94억 8천만 달러에 달했습니다.
메토믹의 보고서는dent, 많은 전문가들도 GenAI를 같은 맥락으로 보고 있습니다. 예를 들어, 인터뷰 반타의 CISO인 제이디 핸슨은 다음과 같이 말했습니다.
두 번째 위험은 기업들이 인공지능에게 너무 많은 일을 너무 일찍 맡기는 경우입니다. 인공지능이 우리 일상 활동 전반에 걸쳐 효율성을 높이는 데 큰 역할을 하고 있다는 것은 잘 알고 있습니다. 하지만 인공지능이 실수를 저지르는 경우도 있다는 것을 우리는 모두 목격해 왔습니다
프루프포인트는 'CISO의 목소리' 보고서를 위해 다양한 업종에 걸쳐 최소 1,000명 이상의 직원을 보유한 기업의 CISO 1,600명의 응답을 분석했다고 밝혔습니다. 이 응답들은 전 세계 제3자 설문조사를 통해 수집되었습니다.
이번 조사를 위해 2024년 1분기 동안 각 부문별 CISO 100명을 대상으로 인터뷰를 진행했습니다. 인터뷰 대상에는 미국, 캐나다, 일본, 싱가포르, 한국, 영국, 프랑스, 독일, 이탈리아, 스페인, 스웨덴, 네덜란드, UAE, 사우디아라비아, 호주, 브라질 등 16개국 전문가들이 포함되었습니다.
메토믹의 보고서에 따르면 CISO의 80%가 업무 수행에 필요한 리소스에 접근할 수 있다고 답했으며, 프루프포인트의 보고서에서는 CISO의 84%가 회사 이사회 구성원들이 사이버 보안 문제에 대해 동일한 견해와 이해를 공유한다고 믿는다고 밝혔습니다.
아미르 셰이크의 Cryptopolitan 보도
