검색

메뉴보기

글로벌 기업 10곳 가운데 7곳, 사이버 공격에 '무방비'

글로벌 기업 대부분 '사이버 공격'에 대한 대비를 제대로 갖추고 있지 않은 것으로 나타났다. 10개 기업 가운데 7개 기업 이상이 사이버보안 사고 대응계획(CSIRP)을 보유하지 않았다.

IBM이 발표한 '2019년 기업 사이버공격 대응 실태' 보고서에 따르면 조사대상 77%는 조직 전반에 걸쳐 일관된 CSIRP를 보유하지 않고 있다고 답했다. 대응 계획을 갖추고 있다고 답한 23%기업 가운데 절반이상(45%)은 사고 대응 계획에 대한 테스트를 정기 실시하지 않았다. 유럽개인정보보호법(EU GDPR)규정을 완벽하게 준수하지 못하고 있다고 답한 기업도 46%에 달했다.

GettyImages
<GettyImages>

기업 내 부족한 보안 인력이 기업 사이버공격 대응 역량을 저해하는 것으로 나타났다. 응답자 중 70%가 사고 대응 계획을 적절하게 관리·테스트하는 인력이 부족하다고 답했다. 48% 기업은 조직 내 사용하는 보안 도구 수가 너무 많아 운영 복잡성이 증가하고 전반 보안 상태에 대한 가시성이 저하됐다고 답했다.

자동화가 기업 사이버공격 대응 역량에 긍정적 효과를 미치는 것으로 나타났다. 자동화를 활용하는 기업은 사이버공격 피해 탐지, 예방, 대응, 공격 억제에 높은 역량을 보유했다. 사이버공격 탐지·예방 부문에서 자동화 미활용 기업 대비 25% 가량 높은 역량을 갖췄다. 반면 조직 내 자동화를 활용하고 있다고 답한 기업 비율은 23%에 그쳤다.

홍성광 한국IBM 보안사업부 총괄 상무는 “IBM은 조사를 통해 기업이 30일 이내 사이버공격에 대응하고 피해 확산을 방지한다면 평균 100만 달러 이상 비용을 절감할 수 있다는 결과를 얻었다”면서 “이를 위해 기업이 사전 사고 대응 계획을 철저히 세우는 것이 중요하며 정기적 모의 테스트와 충분한 인력, 프로세스, 기술을 확보해야 한다”고 말했다.

이번 조사는 세계 3600명 이상 보안, IT 전문가를 대상으로 글로벌 보안컨설팅 전문업체 포네몬 연구소와 공동 진행했다.

이미경 기자 lmk@boan.com

위방향 화살표