베리타스테크놀로지스는 전세계 기업·기관들이 비즈니스 리스크의 심각성을 과소평가하고 있다는 조사결과를 발표했다. 전세계 45% 기업이 위험 심각성을 과소평가했으며, 한국은 더 높은 65%가 위험을 과소평가하고 있다고 조사됐다. 

20일 베리타스 조사결과에 따르면, 높은 금리, 인플레이션 등의 경제적 요인 뿐 아니라 랜섬웨어 공격과 같은 사이버위협, 멀티클라우드 복잡성 등도 비즈니스를 위협하는 난제로 꼽혔다.

설문조사 응답자들에게 자신의 기업 혹은 기관이 보안 관련 위험에 노출돼 있는지 처음 질문했을 때 거의 절반(48%). 한국 응답자의 71%가 그렇지 않다고 응답했지만, 개별 위험 요인을 응답자들에게 제시했을 때에는 경영진과 실무진 위험 상황이라고 답했다. 이는 위험에 대한 인지가 잘 이뤄지지 않고 있음을 의미한다. 

전체 응답자 중 97%(한국 94%)는 그 중에서 어떤 요인이 자신의 기업 혹은 기관에 해당되는지 구체적으로 언급했는데, 응답자의 15%(한국 8%)가 속한 기업 혹은 기관이 향후 12개월 이내에 심각한 비즈니스 위기에 처할 수도 있다고 답변한 점도 눈에 띈다. 

경영진과 실제 보안 업무를 담당하는 실무진간 인식차이도 뚜렷하게 나타났다. 경영진의 경우, 23%가 소속 기업 및 기관이 내년 자신이 속한 기업 및 기관이 심각한 위기 상황에 처할 수도 있다고 예측한 반면, 분석이나 기술 업무 등을 담당하는 실무진은 단 6%만 동일한 답변을 내놓았다.

이러한 인식차는 직급간 소통 부재에서 비롯됐을 가능성이 있다고 베리타스는 지적했다. 

조사결과 기업·기관의 38%(한국 29%)가 데이터 복구 전략이 없거나 일부만 갖추고 있다고 답변했다. 전세계 기업의 48%(한국 38%)가 지난 2년간 데이터 유실을 경험한 것을 고려하면 데이터 복구 전략의 부재는 위험에 대한 과소평가를 단적으로 보여준다고 말할 수 있다. 

한편 응답자들은 자신이 속한 기업 혹은 기관이 직면한 가장 큰 위험 요인으로 ‘데이터 보안’(46%, 한국 36%), ‘경제적 불확실성’(38%, 한국 35%), 인공지능(AI) 등 ‘신기술’(36%, 한국 36%)을 꼽았다.

특히 국내 응답자들의 경우에는 ‘지속가능한 비즈니스 운영을 위한 조치 미흡’(35%)과 ‘컴플라이언스 실패’(29%) 또한 큰 위험 요인으로 꼽았다.

AI는 양날의 검이다. 최근 몇 달 동안 해커들이 AI를 활용해 기업 및 기관에 더욱 정교하고 체계적인 랜섬웨어 공격을 가하는 다양한 사례가 발견됐으며, 부적절한 생성AI 툴 사용 등 개인 정보 보호 규정 위반을 막을 수 있는 조치가 미비해 위험에 노출되기도 했다. 

물론 기업이 AI를 활용해 악의적 활동을 탐지하고 대응을 자동화해 잠재적 해커들에게 대항하기 위한 최선의 방안이 AI이기도 하다. 응답자들은 AI와 신기술을 보안의 최대 위험 요인으로 손꼽는 한편, AI/머신러닝을 통해 보안을 강화할 방법을 모색 중이라고 답변(68%, 한국 74%)했다.

또 응답자의 87%(한국 77%)는 평판 및 재정적 피해 등 위험 요인으로부터 실질적인 피해를 입었다고 답변했다. 기업과 기관에 실질적인 피해를 입힌 위험 요인으로는 ‘데이터 보안’이 40%(한국 28%)로 가장 높았으며, ‘경제적 불확실성’ 36%(한국 28%), ‘경쟁’ 35%(한국 28%), AI 등 ‘신기술’ 33%(한국 31%)이 뒤를 이었다.

아울러 상당수의 기업·기관(65%, 한국 50%)은 지난 2년 동안 최소 한 번 해커가 사내 시스템에 침투하는 등 랜섬웨어 공격을 받았다고 답했으며, 랜섬웨어 공격을 받은 기업·기관의 26% (한국 25%)는 이 사실을 보고하지 않았다고 답변했다.

이는 데이터 보안 규정 위반 시 심각성을 보여주는 수치로, 데이터 보안 규정을 준수하지 않은 데에 따른 벌금은 지난해 기준 평균적으로 33만6000달러(한국 20만4500 달러)에 달했다.

상당수의 응답자들이 데이터 보안 관련 위험도가 증가했다고 인식하고 있다는 점도 주목할 부분이다.

지난 12개월 동안 데이터 보안 위험도가 증가했다는 응답자(54%, 한국 36%)는 감소했다는 응답자(21%, 한국 35%)보다 많지만, 여전히 자신이 얼마나 위험에 노출돼 있는지에 대해서는 충분히 인지하지 못했다.

인지된 위험도와 실제 위험도 사이의 간극은 각 위험 수준을 어느 정도로 평가하는지에 대한 응답과 ‘위험 수준’ 척도를 기반으로 보안 관련 질문에 대한 답변을 평가한 결과를 대조한 것으로, 공공기관이 보안 위험에 가장 많이 노출된 상태로 나타났지만, 공공기관에서 근무하는 응답자의 48%만이 높은 취약성을 인지했으며, 석유/가스 업계에 근무하는 응답자 중 52%의 응답자만 취약성을 인지하고 있다고 답했다.