트렌드마이크로가 IT와 비즈니스 의사 결정자들의 보안 인식을 조사한 ‘글로벌 위협 보고서’를 발표했다. 이번 보고서는 사피오리서치에 의뢰해 26개국 250명 이상 기업의 IT/비즈니스 의사결정권자 5,321명을 인터뷰한 내용으로 작성됐다. 

보고서에 따르면, IT 의사결정권자의 90%는 비즈니스가 디지털혁신, 생산성 또는 기타 목표를 위해 사이버보안에 대해 타협할 의향이 있다고 답했다. 82%는 이사회에 대한 사이버 위험의 심각성을 경시해야 한다는 압박을 느낀 적이 있다고 답했다.

바라트 미스트리 트렌드마이크로 영국 기술책임자는 “IT 리더들은 보안 이슈에 있어 이사회에 반복적이거나 부정적으로 보일 것을 우려해 자기 검열을 하고 있으며, 그중 약 3분의 1은 지속적인 압박을 느낀 것으로 나타났다. 이러한 현상은 최고경영진이 위험 노출의 실체를 모르는 상태를 지속시키는 악순환일 뿐”이라고 지적했다.

보고서에 따르면, IT리더의 50%, 비즈니스 의사결정권자의 38%만이 최고경영진이 사이버 위험에 대해 완전히 이해하고 있다고 생각하는 것으로 나타났다.

일부는 그 이유를 주제가 복잡하고 끊임없이 변하기 때문이라고 생각하는 한편, 대부분은 최고 경영진이 충분히 노력하지 않거나(26%) 이해하기를 원하지 않기 때문(20%)이라고 생각하는 것으로 나타났다.

이는 IT리더와 비즈니스리더 간 위험관리와 완화에 대한 책임소재에 있어 의견차가 있음을 나타낸다. 조사결과, IT리더는 비즈니스 리더보다 위험 관리와 완화에 대한 책임이 IT팀과 정보보안최고책임자(CISO)에 있다고 지목할 가능성이 약 2배 더 높았다.

응답자의 49%는 사이버 위험이 여전히 비즈니스 위험이 아닌 IT의 문제로 취급되고 있다고 답했다.

이같은 견해차이는 잠재적으로 심각한 문제를 발생시키고 있다. 응답자의 52%는 사이버 위험에 대한 조직의 태도가 일관성이 없으며 매달 다르다고 답했다. 그러나 31%는 사이버보안이 가장 큰 비즈니스 위험이라고 생각했으며, 66%는 사이버 보안이 비즈니스 위험 중 비용에 가장 큰 영향을 미친다고 응답했다. 

최고경영진이 사이버 위험에 대해 주의를 기울이게 만들기 위한 방법으로 응답자들이 가장 많이 생각한 주요 답변에는 조직이 침해당하는 것(62%), 사이버위협의 비즈니스 위험에 대해 더 잘 보고하고 더 쉽게 설명하는 것(62%), 고객이 보다 정교한 보안 자격 증명을 요구하는 것(61%)이 있다.

마크 왈쉬 퀼트엔터프라이즈 보안 설계자는 “사이버보안을 이사회 차원에서 다루기 위해서는 최고경영진이 사이버보안을 진정한 비즈니스 동력으로 인식해야 한다”며, “IT와 보안 리더는 비즈니스 용어로 이사회에 자신들의 과제를 명확히 설명할 수 있다. 이를 위해서는 침해에 따른 임시적인 응급처치 대응을 넘어 이사회의 주도 아래 우선순위를 지정하고 사전 예방적 투자를 하는 것이 필요하다”고 말했다.