사이버보안 위협이 전세계에서 확산되고 있는 가운데, 국내 기업 중 이를 효과적으로 방어하는데 필요한 ‘성숙’ 단계의 준비상태를 갖춘 기업은 3%에 불과하다는 조사결과가 나왔다.

시스코는 보고서(2025 사이버보안 준비 지수)를 내고 이같이 밝히며 국내 기업들의 사이버보안 대비 수준에 대해 우려를 표했다.

초연결성과 인공지능(AI)의 발전으로 보안 환경이 복잡성을 더하고 있지만 국내 기업들의 사이버보안 대비 수준은 여전히 미흡했다. 지난해 조사에서 한국 기업의 4%가 성숙 단계로 분류됐는데, 올해는 이보다 1%p 더 하락한 3%에 그치면서 사이버보안에 대한 취약성을 보여줬다. 

AI는 보안 환경을 근본적으로 변화시키고 있으며 위협 수준 역시 높이고 있다. 실제로 한국 기업의 83%가 지난 1년간 AI와 관련된 보안 사고를 경험했다고 응답했다. 

보안 사고가 발생한 경험에도 불구하고 전체 응답자 가운데 AI 기반 위협을 자사 직원이 충분히 이해하고 있다고 답한 비율은 30%에 불과했으며, 악의적 공격자가 AI를 활용해 정교한 공격을 수행하는 방식에 대해 팀이 제대로 파악하고 있다고 응답한 비율은 28%에 그쳤다.

이러한 인식 부족은 기업을 치명적인 보안 취약점에 노출시킨다는 것이 시스코의 지적이다. 응답자(46%)들도 향후 1~2년 이내에 사이버보안 사고로 인해 비즈니스에 차질이 발생할 수 있다고 우려했다.

향후 전망과 관련해서도 응답자들은 악의적 해커나 국가 차원의 공격자 등의 외부 위협(62%)이 여타 내부 위협 요소들(39%)보다 훨씬 더 심각하며, 이는 외부 공격을 효과적으로 차단할 수 있는 통합적 방어 전략이 어느 때보다 절실하다고 보고서는 진단했다.

시스코의 ‘2025 사이버 보안 준비 지수’는 사용자 신원 신뢰도, 네트워크 회복탄력성, 머신 신뢰도, 클라우드 강화, AI 보안 강화 등 5개 핵심 영역에서 31개의 솔루션 및 기술을 기준으로 기업의 사이버보안 준비 수준을 평가했다. 기업의 사이버보안 준비 수준은 ▲초기 ▲형성 ▲발달 ▲성숙 등 4단계로 분류했다.

보고서에 따르면, 사이버보안에서 AI의 역할은 점차 커지고 있다. 78%의 기업이 보안 위협을 더 잘 이해하기 위해 AI를 활용했는데, 83%는 위협탐지에, 65%는 대응·복구에 AI를 사용하고 있다고 답했다. 

전체 직원 중 49%가 승인된 서드파티 도구를 사용할 정도로 생성AI 도구 사용이 확산되고 있지만, 보안 측면에서는 취약점이 발견됐다. 20%는 공개 생성AI에 제한 없이 접근할 수 있었으며, 79%의 IT팀은 직원들의 생성AI 사용 여부를 인지하지 못하는 등 관리 사각지대가 발견됐다.  

하이브리드 근무 환경에서 직원들이 관리되지 않는 디바이스로 네트워크에 접속하면서 81%의 기업은 보안 위험 증가를 겪고 있으며, 이는 미승인된 생성AI 도구의 사용으로 심화되고 있다.

83%의 기업은 비인가된 AI 배포, 즉 섀도 AI를 탐지하는 데 자신이 없다고 응답했으며, 이는 사이버보안·데이터 프라이버시 측면에서 중대한 위험 요소로 작용할 수 있다.