IT 의사 결정 90%가 비즈니스 사안을 위해 보안과 타협한다고 응답해
[ 매드타임스 김신엽 기자] 사이버 보안 솔루션의 글로벌 리더인 트렌드마이크로(지사장 김진광)가 IT 및 비즈니스 의사 결정자들의 보안 인식을 조사한 ‘글로벌 위협 보고서’(A Global Study: BUSINESS FRICTION IS EXPOSING ORGANISATIONS TO CYBER THREATS)를 발표했다.
본 보고서는 트렌드마이크로가 사피오 리서치(Sapio Research)에 의뢰해 26개국 250명 이상 기업의 IT 및 비즈니스 의사 결정권자 5,321명을 인터뷰한 내용으로 작성됐다. 보고서에 따르면 IT 의사 결정권자의 90%는 비즈니스가 디지털 혁신, 생산성 또는 기타 목표를 위해 사이버 보안에 대해 타협할 의향이 있다고 밝혔다. 또한, 82%는 이사회에 대한 사이버 위험의 심각성을 경시해야 한다는 압박을 느낀 적이 있다고 답했다.
바라트 미스트리(Bharat Mistry) 트렌드마이크로 영국 기술 책임자는 "IT 리더들은 보안 이슈에 있어 이사회에 반복적이거나 부정적으로 보일 것을 우려해 자기 검열을 하고 있으며, 그중 약 3분의 1은 지속적인 압박을 느낀 것으로 나타났다. 그러나 이러한 현상은 최고 경영진이 위험 노출의 실체를 모르는 상태를 지속시키는 악순환일 뿐이다”라며, “위험에 대해 논의할 때 사이버 보안을 비즈니스 성장의 근본적인 동력으로 바라봐야 한다. 사이버 보안은 실제로 동일한 원인을 위해 싸우고 있는 IT 및 비즈니스 리더를 결집하는 데 도움이 된다"라고 말했다.
필 고프(Phil Gough) 너필드 헬스(Nuffield Health) 정보보안 책임자는 “IT 의사 결정자들은 기업의 이사회와 사이버 보안의 심각성을 정확히 알려야 한다. 양쪽이 서로를 소통하고 이해할 수 있는 커뮤니케이션을 해야 한다”라며, “원활한 의사소통은 비즈니스-사이버 보안 전략을 계획하기 위해 매우 중요한 첫 번째 단계이다. 사이버 위험을 비즈니스 용어로 명확하게 표현하면 관심을 얻을 수 있을 뿐만 아니라 보안이 혁신에 대한 장애물이 아닌 성장 동력으로 인식하는 데 도움이 된다”라고 말했다.
이번 보고서에 따르면 IT 리더의 50%와 비즈니스 의사 결정권자의 38%만이 최고 경영진이 사이버 위험에 대해 완전히 이해하고 있다고 생각하는 것으로 드러났다. 일부는 그 이유를 주제가 복잡하고 끊임없이 변하기 때문이라고 생각하는 한편, 대부분은 최고 경영진이 충분히 노력하지 않거나(26%) 이해하기를 원하지 않기 때문(20%)이라고 생각하는 것으로 나타났다.
이번 보고서는 IT 리더와 비즈니스 리더 간에 위험 관리 및 완화에 대한 책임 소재에 있어 의견 차이가 있음을 보여준다. 조사 결과, IT 리더는 비즈니스 리더보다 위험 관리 및 완화에 대한 책임이 IT 팀과 정보보안 최고 책임자(CISO)에 있다고 지목할 가능성이 약 2배 더 높았다. 또한, 응답자의 49%는 사이버 위험이 여전히 비즈니스 위험이 아닌 IT 문제로 취급되고 있다고 답했다.
IT 및 비즈니스 리더 간의 의견 마찰은 잠재적으로 심각한 문제를 발생시키고 있다. 응답자의 52%는 사이버 위험에 대한 조직의 태도가 일관성이 없으며 매달 다르다고 밝혔다. 그러나 응답자의 31%는 사이버 보안이 오늘날 가장 큰 비즈니스 위험이라고 생각했으며, 66%는 사이버 보안이 비즈니스 위험 중 비용에 가장 큰 영향을 미친다고 응답했다. 이는 보안에 대한 전반적인 타협 의지를 고려할 때 상충하는 의견이다.
최고 경영진이 사이버 위험에 대해 주의를 기울이게 만들기 위한 방법으로 응답자들이 가장 많이 생각한 주요 답변에는 조직이 침해당하는 것(62%), 사이버 위협의 비즈니스 위험에 대해 더 잘 보고하고 더 쉽게 설명하는 것(62%), 고객이 보다 정교한 보안 자격 증명을 요구하는 것(61%)이 있다.
마크 왈쉬(Marc Walsh) 퀼트(Coillte) 엔터프라이즈 보안 설계자는 "사이버 보안을 이사회 차원에서 다루기 위해서는 최고 경영진이 사이버 보안을 진정한 비즈니스 동력으로 인식해야 한다"라며, "이를 통해 IT 및 보안 리더는 비즈니스 용어로 이사회에 자신들의 과제를 명확히 설명할 수 있다. 또한 이를 위해서는 침해에 따른 임시적인 응급처치 대응을 넘어 이사회의 주도 아래 우선순위를 지정하고 사전 예방적 투자를 하는 것이 필요하다”고 말했다.
