글로벌 기업 “코로나19 이후 사이버 공격 대응 투자 부족”

(사진= EY한영)

코로나19 사태 이후 사이버 공격이 급증했지만 각 기업이 사이버 공격에 대응할 예산을 충분히 확보하지 못한 것으로 나타났다.

4일 글로벌 회계ㆍ컨설팅 법인 EY한영은 한국을 포함한 전 세계 기업 정보보호최고책임자(CISO) 등 사이버 보안 리더 1000여 명을 대상으로 설문조사를 실시해 주요 결과를 담은 ‘2021 EY 글로벌 정보보안 설문조사(GISS, Global Information Security Survey 2021)’를 발표했다.

설문조사에 따르면 올해 GISS에 따르면 기업 56%는 재택근무 또는 유연근무와 같은 새로운 유형의 근무환경을 빠르게 마련하면서 상대적으로 사이버 보안이 소홀해졌으며, 이와 동시에 지난해 대비 18%포인트가 늘어난 응답자 77%는 지난 12개월 동안 랜섬웨어와 같은 위협적인 사이버 공격이 증가했고, 43%는 그 어느 때보다도 사이버 공격 대응에 대한 우려가 크다고 답했다.

사이버 공격이 급증하고 있음에도 불구하고, 사이버 보안 예산은 전체 IT 지출에 비해 현저히 낮은 수준인 것으로 나타났다. 응답 기업은 지난 회계연도 평균 매출액이 110억 달러인 반면, 사이버 보안에 대한 지출은 528만 달러에 불과해, 매출액의 0.05% 정도에 그쳤다.

응답자 10명 중 4명(39%)은 지난 12개월 동안 새롭게 발생한 공격 대응에 필요한 예산보다 보안 예산이 부족하고, IT 공급망 전환과 같은 전략적 투자 비용에 사이버 보안 비용이 적절히 반영되지 않는다고 응답했다. 응답자 중 36%는 적절한 투자로 대응이 충분히 가능한 사이버 공격에도 대규모 피해를 입는 것은 시간문제라고 경고했다.

또한 팬데믹 사태 이후 조직 내 사이버 보안 부서와 영업, 제품개발, 마케팅 등 타부서와의 관계가 악화된 것으로 나타났다. 기업 중 81%가 신사업 계획 단계에서 보안 절차를 생략하거나 사이버 보안 부서와 논의하지 않았다고 답했다.

2020년 신사업 계획 단계에서 참여하였다는 사이버 보안 부서 응답 비율은 36%이었던 반면, 올해는 19%만이 신사업 계획에 참여하고 있다고 응답했다. 또한 사이버 보안 부서가 비즈니스를 이해한다고 응답한 임원급은 25%에 불과했고, 이는 사이버 보안 부서의 조직 내 역할 다변화의 필요성을 보여주고 있다.

김상우 EY컨설팅 사이버보안 리더는 “지난 1년간 기업들이 치열해진 생존경쟁에서 살아남기 위해 발 빠르게 전환한 것이 오히려 보안 측면에선 독이 됐다”며 “포스트 코로나 시대에 현재 근무환경의 일부를 유지할 경우 사이버 보안은 매우 현실적이고 시급한 문제가 될 것이다. 최근 발생한 랜섬웨어 공격은 즉각적인 대응이 얼마나 중요한지 보여준다”라고 강조했다.

이어 “막대한 피해가 빈번해지고 정교해짐에 따라 투자 부족과 예산 제한의 영향이 크게 다가올 것”이라며 “안전과 보안이 제품개발 과정에서 필수인 것과 같이 디지털 제품 또는 서비스에 보안을 도입하지 않는다면 사이버보안 피해가 급증할 것”이라고 덧붙였다.