프루프포인트, 2024 Voice of the CISO 보고서 발표... CISO 81%가 인적 오류를 주요 사이버 보안 리스크로 인식

VOTC-PR-Banner

CISO 86%는 인적 오류 감소·지능형 사이버 위협 차단 등

인적 취약성 영역 완화에AI 기술 의존

(서울, 2024 5 21) 글로벌 사이버 보안 및 컴플라이언스 기업 프루프포인트(Proofpoint, Inc.)가 글로벌 정보보호최고책임자(CISO)들의 핵심 과제와 기대치, 우선순위를 분석한 연례 CISO의 목소리 보고서(Voice of the CISO report)를 발표했다.

올해 2024년 보고서에서는 최근 사이버 보안 업계의 큰 변화에 주목했는데, 이는 바로 사이버 공격이 지속 증가하고 있는 반면 CISO 들은 보안 위협 방어에 강한 자신감을 보이고 있는 추세다. 설문에 응한 CISO 2/3가 넘는 70%가 향후 12개월간 중대 사이버 공격에 직면할 리스크가 있다고 느끼고 있다고 답했다. 2023년에는 68%, 2022년에는 45%를 기록한 바 있다. 최근 CISO들이 사이버 공격 리스크를 우려하고 있기는 하지만, 보안 방어에 대한 자신감도 커지고 있다. 응답자 중 43%만이 지능형 사이버 공격에 대비할 준비가 되어 있지 않다고 답했다. 2023 61%, 2022 50% 대비 비율이 현저히 낮아졌다

인적 오류는 지속적으로 사이버 보안의 아킬레스 건으로 인식되고 있다. CISO 중 약 3/4 수준인 74%가 인적 오류를 최대 보안 취약 요인으로 평가했다. 내부자 위협과 사용자로 인한 데이터 손실이 증가하고 있는 올해에는 인적 리스크, 특히 직원의 부주의를 향후 2년간 지속될 핵심 사이버 보안 리스크로 전망한 CISO 비율이 역대 최고치인 80%를 기록했다. 그러나 인적 리스크 완화 방안으로 AI 솔루션에 대한 기대감(optimism) 역시 높아지고 있는 것으로 나타났는데, 이는 보안 업계 내 기술 중심 보안 방어로의 전략적 전환을 의미한다.

올해 보고서는 다양한 산업의 직원 수 1,000명 이상 조직의 CISO 1,600명을 대상으로 실시한 글로벌 서드파티 설문조사 결과를 분석했다. 보고서 준비를 위해 지난 1분기 동안 16개국의 각 시장에서 CISO 100여 명과 인터뷰를 진행했다. 대상 국가에는 미국, 캐나다, 영국, 프랑스, 독일, 이탈리아, 스페인, 스웨덴, 네덜란드, 아랍에미리트, 사우디아라비아, 호주, 일본, 싱가포르, 한국, 브라질이 포함되었다.

본 보고서는 사람 및 데이터 보호 최전선에 있는 보안 업계 관점에서 사이버 보안 현황에 관한 중대한 관점을 제시해 주고 있으며, 기업이 경기 하락기에도 사이버 보안을 견고하게 구축 유지해야 할 필요성과 사이버 보안에서 인적 요인이 차지하는 중요도를 강조하고 있다. 설문조사에서는 CISO와 기업 이사회의 의견 일치도 변화 측정을 통해 양측의 관계가 보안 우선과제에 미치는 영향을 살펴보았다.  

패트릭 조이스(Patrick Joyce) 프루프포인트 글로벌 정보보호최고책임자(Global Resident CISO)사이버 보안 동향이 인간 중심 위협으로 인해 계속 변화하고 있으며, 올해 CISO의 목소리 보고서는 글로벌 CISO들의 회복력, 대응 태세, 자신감을 키우기 위한 중대한 전환이 무엇인지를 강조하고 있다면서올해 분석 결과는 교육 강화, 기술 도입, 생성형 AI(GenAI) 등 급부상하고 있는 위협 요인에 맞춘 대응(adaptive approach) 등 전략적 방어에 대한 조직적 대응 필요성에 주목했다고 말했다.

2024년도 CISO의 목소리 보고서에서 도출한 한국 시장 조사 결과는 다음과 같다.

  • 인적 오류가 취약성을 노린 사이버 위협의 최대 요인으로 남아있으나, CISO들이AI 솔루션을 통해 대응하는 추세다. 올해, 인적 오류를 조직 내 최대 사이버 취약 요인으로 평가한 CISO 수가 급증한 것을 알 수 있다. 지난해 설문 조사에서는 해당 CISO 비율이 34%에 그쳤으나 올해는 81%를 기록했다. 그런데 CISO 86%가 직원들이 기업 조직을 보호하는 데 있어 자신의 역할을 인지하고 있다고 생각한다고 답했다. 2023 50% 기록에 비해 보안 자신감이 한층 높아진 것으로, 설문에 참여한 CISO 86% AI 기반 보안 기능을 통해 인적 오류 및 인적 요인에 따른 지능형 사이버 위협에 대응하려는 의지와 연관된 것으로 볼 수 있다
  • 사이버 공격을 우려하는 CISO 수가 증가한 가운데, 대응 준비가 미흡하다고 느끼는 CISO 수도 증가했다. 2024 CISO 91%가 향후 중대 사이버 공격에 직면할 리스크가 있다고 느끼고 있는데, 2023년에는 75%를 기록한 바 있다. 또한 CISO 69%는 소속 조직이 지능형 사이버 공격에 대응할 준비가 미흡하다고 답했는데, 이는 2023 47%에 비해 높아진 비율이다.
  • 직원 이직 우려가 여전히 큰 가운데, CISO들의 보안에 대한 신뢰도는 높은 편이다. 2024 CISO 77%는 지난 12개월간 심각한 민감 데이터 유출 사고를 처리한 바 있고, 이 중 94%는 퇴사 직원들이 유출 사고의 원인이었다고 응답했다. 이러한 데이터 유출 사고에도 불구하고, CISO 73%는 조직 내 적절한 데이터 보호 체계가 구축되어 있다고 생각하고 있는 것으로 나타났다.
  • CISO 대다수는 데이터 손실 보호(DLP) 기술을 채택하고 보안 교육에 대한 투자를 확대했다. 올해 설문에 응한 CISO 53% DLP 기술을 도입한 것으로 나타났다. 2023년에는 불과 28%를 기록한 바 있다. 데이터 보안 모범사례 등 직원 보안 교육에 대한 투자 관련해서는 지난해에는 CISO 35%가 투자했다고 응답한 반면, 올해는 더 높은 40%로 나타났다.
  • 랜섬웨어 및 내부자 위협이 CISO 최대 사이버 보안 위협 요인으로 부상했다. 특히 랜섬웨어 공격(40%), 내부자 위협(부주의, 우발적, 고의 범죄)(34%), 공급망 공격(32%) 순으로 비율이 높았다. 이는 지난해 선정된 최대 위협 요인과 다소 상이하다. 지난해에는 랜섬웨어 공격, 이메일 사기, 분산 서비스 거부(DDoS) 공격, 내부자 위협(부주의, 우연, 고의 범죄) 순이었다.
  • CISO들의 랜섬 결제 관련 사이버 보험 의존도가 높아졌다. 2024 CISO 79%
    (
    지난해 45%)가 향후 12개월간 소속 조직이 랜섬웨어 공격을 받으면 시스템 복구 및 데이터 유출 방지 관련 비용을 지불할 것으로 전망했다. CISO 82%(지난해 45%)가 사이버 보험을 청구하여 추정 손실을 복구할 것이라고 답했다.
  • 생성형 AI CISO가 꼽은 최대 보안 위협으로 부상했다. 2024 CISO 75% GenAI가 조직 보안을 위협하는 최대 리스크라고 답했다. 해당 CISO들은 조직 내 리스크 발생 경로를 액티브 디렉토리(AD)(46%), GPT 및 기타 생성형 AI(42%), 경계 네트워크 장치(perimeter network device)(40%) 순으로 꼽았다.
  • 기업 이사회와 CISO의 관계가 크게 개선되었다. 2024 CISO 83%가 이사회 구성원들이 사이버 보안 이슈 관련 견해를 같이 하고 있다고 답했는데, 2023 45% 대비 비율이 대폭 상승했다.
  • CISO들의 심적 부담이 끊이지 않고 있다. 2024 CISO 72%(지난해 47%)가 번아웃을 느꼈다고 밝혔다. 또한 75%(지난해 36%)는 과도한 기대로 인해 부담을 느끼고 있다고 답했다. CISO에 대한 기대 수준을 계속 평가하고 있는데, 82%(지난해 48%)가 개인이 부담해야 할 책임을 우려했고, 76%(지난해 47%)임원배상책임보험(D&O) 혜택을 제공하지 않는 기업에는 입사하지 않겠다고 답했다. 또한, CISO 79%는 현재의 경기 둔화가 기업 경영에 중대한 투자를 저해했다는데 동의했다. 이들 중 71%는 인력 축소나 채용 지연(delay backfills), 보안 예산 감축을 요구받았다고 전했다

라이언 칼렘버(Ryan Kalember) 프루프포인트 최고전략책임자(Chief Strategy Officer)오늘날 복잡다단한 사이버 위협 환경을 극복하는 과정에서 CISO들이 전략·도구 관련 자신감을 얻고 있다는 사실은 상당히 고무적이다고 말하고다만, 직원 이직, 자원 절감 압박, 기업 이사회의 지속적 참여 필요성 등 현안 과제가 남아있는 만큼 조직의 사이버 보안 회복력은 의식적 경계(vigilance)과 적응(adaption)이 관건이라고 하겠다고 덧붙였다.

 

프루프포인트 2024 Voice of the CISO 보고서에 대한 자세한 내용은 아래 링크에서 확인 가능하다.

https://www.proofpoint.com/ko/resources/white-papers/voice-of-the-ciso-report

 

###

프루프포인트 소개

프루프포인트는 기업의 가장 큰 자산이자 가장 큰 위험인 ‘사람’을 보호하는 선도적인 사이버 보안 및 컴플라이언스 기업이다. 프루프포인트는 클라우드 기반 솔루션의 통합 제품 라인업을 통해 전 세계 기업이 표적 위협을 차단하고 데이터를 보호하며 사용자가 사이버 공격에 대해 보다 탄력적으로 대처할 수 있도록 지원한다. 포춘(Fortune) 100대 기업의 85%를 포함한 모든 규모의 선도기업은 프루프포인트의 보안 솔루션을 사용한다. 프루프포인트는 이메일, 클라우드, 소셜 미디어 및 웹 전반에 걸쳐 있는 위험을 완화하는 사람 중심의 보안 솔루션을 제공하고 있다. 자세한 내용은 프루프포인트 공식 홈페이지(www.proofpoint.com)에서 확인할 수 있다.

프루프포인트 소셜 미디어X | LinkedIn | Facebook | YouTube