전세계에 걸쳐 사이버 보안 위협이 갈수록 높아지는 상황에서 ISACA/CMMI 연구소(ISACA/CMMI Institute)의 사이버 보안 문화 보고서(Cybersecurity Culture Report)가 기업 직원들을 대상으로 한 설문조사를 통해 단 5%의 직원들만이 대내외적인 사이버 위협에 대응하여 회사가 첨단의 사이버 보안 문화를 갖고 있다고 답변했다고 밝혔다.

2018년 6월 온라인을 통한 설문조사 대상자가 됐던 4800명에 달하는 비즈니스 및 기술 전문가들은 이 설문조사를 통해 자신들의 의견을 공유했다. 설문 결과는 오늘 라스베거스에서 열린 ISACA의 CSX 북미주 사이버 보안 컨퍼런스에서 공개됐다.

사이버 보안 문화는 보안 의식과 행동이 직원들의 일상적인 작업에 체화되어 있을 뿐만 아니라 임원들의 정책적 우선순위에서도 최고 위치를 점하는 직장문화를 가리킨다. 위협이 상존하는 상황에서 효과적인 사이버 보안 문화는 조직을 위협으로부터 지키고 고객들의 데이터를 보호하는데 있어 직원들이 자신들의 역할과 책임을 정확하게 이해하도록 하는데 중요한 기능을 한다. 그러나 설문조사 응답자들 중 34%만이 조직의 사이버 문화 속에서 자신들의 역할을 정확하게 이해하고 있다고 답변했다.

이 보고서는 기업들이 사이버 공격 위협에 대응하여 총력을 기울여야 한다고 조언했다.

CMMI 연구소의 사이버 보안 솔루션 담당 수석부사장인 더그 그라인드스태프(Doug Grindstaff II)는 “기업조직의 사이버 리스크를 줄이기 위해 전직원들이 나서는 것은 최근부터 일기 시작한 새로운 경향이다. 기업조직들이 직원 참여를 북돋기 위해 어떻게 해야 하는지에 대한 많은 피드백을 받아왔다. 이는 매우 어려운 일임에는 분명하지만 기업조직들은 갈수록 지능화되는 사이버 공격 앞에서 당연히 해야 하는 일이다”라고 말했다.

광범위한 직원 참여를 성공적으로 이룬 기업들은 많은 경우 사이버 보안 문화 부문에서 만족할만한 결과를 얻은 소수의 기업들에 속했다. 이들 조직의 직원들 중 92%가 최고경영자들이 직면한 문제를 정확하게 이해하고 있다고 대답했으며 그런 까닭에 직원들의 참여를 활성화할 수 있었을 것으로 추정된다. 한편 이들 조직의 직원들 중 84%가 사이버 보안에서 자신들의 역할이 무엇인지를 잘 이해하고 있다고 응답했다.

이 설문조사에서 밝혀진 다른 사항들은 다음과 같다.

· 대다수 기업조직들이 사이버 보안 문화에 대한 극히 중요한 첫 걸음을 띄지 못하고 있다. 설문조사에 응한 기업들 중 42%가 명시적인 사이버 보안 문화 관리플랜이나 정책을 갖고 있지 않은 것으로 나타났다.

· 전직원들을 조직의 사이버 보안 정책에 따르도록 하는 데는 상당한 자원이 소요된다. 사이버 보안 문화 분야에서 목표와 현재 수준 사이에 상당한 격차가 있는 조직들은 연간 사이버 보안 예산 중에서 단 19%만을 훈련과 관련 툴에 지출하고 있는 것으로 나타났다. 사이버 보안 문화가 목표 수준에 근접하는 것으로 평가되는 조직들은 그렇지 않은 경우에 비해 두 배 이상의 예산(43%)을 훈련과 관련 툴에 지출하고 있었다.

NACD 위원회 리더십 펠로우이자 ISACA 위원회 회장인 롭 클라이드(Rob Clyde)는 “기업조직들이 사이버 보안 문화에 투자를 망설이는 가장 큰 이유는 사이버 위협의 리스크를 제대로 인지하지 못하고 있고 그러한 공격 위협에 노출된 자산이 있는지도 모르기 때문이다. 그러나 개인들은 잠재적인 피해를 과소평가하고 기술이 그러한 사고를 막아줄 수 있다고 과잉 신뢰하는 경향이 있다. 그러나 그럴 경우 조직은 심각한 위험에 놓일 수밖에 없다”고 말했다.

김영석 다른기사 보기