클라우드, 원격 근무 등 달라진 업무 환경은 새로운 사이버 위협 문제를 만들었습니다. 진화하는 사이버 위협에 대응하려면 혁신적인 사이버 보안 전략을 구축해야 합니다.

EY 연구에 따르면 사이버 공격은 지난 5년 간 75% 증가했으며, 랜섬웨어 피해액은 2021년 200억 달러에서 2031년 2,650억 달러로 예상되는 등 지속해서 진화하고 있습니다.

In brief

• EY는 8개 산업, 25개 국가에서 500명의 사이버 보안 리더 대상으로 기업 내 사이버 보안 현황에 대한 글로벌 설문조사를 실시했습니다.
• 응답 기업은 사이버 보안 체계의 수준에 따라 ‘선제 대응 기업(Secure Creators)’과 보안 체계가 취약한 ‘후속 대처 기업(Prone Enterprises)’으로 나눠졌으며 두 집단은 주요 보안 관련 사안에 대해 상반된 특징을 가지고 있었습니다.

E

Y 조사 결과, 증가하는 사이버 위협에 대응하기 위해 기업들이 사이버 보안 투자를 지속해서 확대하고 있지만 어떤 전략과 원칙을 적용하는지에 따라 차이를 보이는 것으로 나타났습니다. 사이버 보안에 잘 대응하고 체계적으로 관리하는 기업들은 잠재적인 위협을 낮추고 새로운 가치를 만드는 반면, 효율적인 사이버 보안 시스템을 갖추지 못한 기업은 증가하는 사이버 위협을 대응하고 해결하는데 어려움을 겪고 있었습니다.

EY는 기업의 사이버 보안 현황 및 사이버 공격 추이와 관련해 ‘2023 EY 글로벌 사이버 보안 리더십 인사이트 연구(EY 2023 Global Cybersecurity Leadership Insights Study)’를 진행했습니다.

이 연구는 미주, 아시아 태평양, 유럽∙중동∙인도∙아프리카(EMEIA)를 아우르는 8개 산업군, 25개 국가에서 250명의 최고정보보안책임자(CISO)를 포함한 500명의 사이버 보안 리더를 대상으로 진행됐습니다. EY는 연구를 통해 기업들이 현재와 미래의 사이버 보안 위협에 대비하기 위한 보안 전략을 어떻게 추진하고 있는지 주요 내용을 확인하고 분석했습니다.

연구에 따르면 기업 대상 사이버 공격의 위험은 지속해서 증가하고 있으며 형태도 다양해지고 있습니다. 사이버 공격은 지난 5년 간 75% 증가했으며, 랜섬웨어 피해액은 2021년 200억 달러에서 2031년 2,650억 달러로 증가할 것으로 예상됩니다. 기업은 매년 44건의 주요 사이버 사고를 겪고 있으며, 대부분의 조직은 문제를 발견하고 대응하는 데 평균 6개월 이상이 소요됩니다. 해커들은 최신 기술을 활용해 공격 속도와 규모를 높이고 있어, 사이버 위협의 가능성과 영향이 커지고 있습니다.

EY는 연구 결과를 분석해 설문에 응답한 기업 중 효율적인 사이버 보안 시스템을 갖추고 높은 성과를 달성한 기업은 ‘선제 대응 기업(Secure Creators)’으로, 반면 보안이 취약한 기업은 ‘후속 대처 기업(Prone Enterprises)’으로 구분했습니다. 응답 기업 중 선제 대응 기업은 42%, 후속 대처 기업은 58%였습니다.

선제 대응 기업은 다음과 같은 특징을 가지고 있습니다.

• 새로운 기술을 신속하게 채택하고 자동화를 활용해 사이버 보안 기술을 조율하며, 프로세스를 단순명료화합니다.
• 클라우드, 온프레미스와 서드 파티(Third party) 전반에 걸쳐 복잡한 공격 표면(Attack Surface)을 관리할 수 있는 구체적인 전략을 확보하고 있습니다.
• 최고 경영진부터 전체 임직원, 사이버 보안팀 자체까지 조직의 세 가지 계층 모두에 사이버 보안을 연계했습니다.

선제 대응 기업과 후속 대처 기업은 사이버 보안과 관련한 주요 지표에서도 차이를 보였습니다. 사이버 공격을 탐지하고 대응에 걸리는 평균 시간을 살펴보면 선제 대응 기업은 5개월이 걸린 반면 후속 대처 기업은 11개월이 걸렸습니다. 이외에도 2022년 평균 사이버 사고 발생 건수는 32건 대 52건이었으며, 전반적인 사이버 보안 접근에 만족하는 비율은 51%와 36%, 조직이 위협에 잘 대비하고 있다는 것에 동의하는 비율은 53%와 41%로 나타났습니다.

‘2023 EY 글로벌 사이버 보안 리더십 인사이트 연구’는 사이버 공격 위협에 효과적으로 대응하는 조직을 분석했습니다.

효율적인 사이버 보안 조직은 ‘단순화를 통해 새로운 기술을 도입’하고, ‘사이버 공격 범위에 대한 커버리지를 미리 확보’하며, ‘사이버 보안에 유기적 비즈니스 시스템을 구축’한다는 특징을 보였습니다. 그리고 이러한 사이버 보안 강화는 단순히 기업의 보안 부문을 강화하는 것을 넘어서 궁극적으로 기업의 평판을 개선해 새로운 가치를 만드는 수준까지 끌어올리고 있었습니다.

결과적으로 높은 수준의 사이버 보안 체계를 구축한 기업은 고객과 공급업체 간 신뢰를 개선해 거래의 안정성을 확보할 수 있습니다. 또한 효과적인 사이버 보안은 명확한 가이드라인과 안전한 보호 장치를 통해 전사적인 자원을 위험 관리가 아닌 새로운 아이디어에 집중할 수 있도록 유도합니다.