프루프포인트 코리아가 18일 2023 CISO의 목소리 보고서를 발표했다. [사진=이상우 기자]
코로나19 기간 중 이뤄진 대퇴직(Great Resignation)에 이어 경기 침체가 가져온 대해고가 기업 정보보안에 영향을 미친 것으로 나타났다. 또한, 내부 직원에 의한 악의적인 유출뿐만 아니라 직원을 대상으로 하는 피싱 이메일 등 사이버 공격 역시 데이터 유출 주요 경로로 조사됐다.
보안 기업 프루프포인트가 18일 '2023년 CISO의 목소리' 보고서를 발표했다. 이번 보고서는 프루프포인트가 한국을 포함한 전 세계 16개국의 CISO 1600명을 대상으로 진행한 설문조사 결과다.
보고서에 따르면 국내 정보보호최고책임자(CISO)의 42%(글로벌 평균 63%)가 지난 12개월 동안 심각한 민감 데이터 유출 사고를 처리한 바 있다. 이 중 83%는 퇴사 직원에 의한 유출이라고 답했다. 같은 기간 글로벌 평균은 82%로, 한국 기업이 피해를 경험한 것과 비교해 퇴사자를 통한 유출 비율이 높게 나타났다.
이러한 데이터 유출 사고에도 불구하고, 국내 CISO 중 38%만이 조직 내에서 적절한 데이터 보호 체계가 구축·운영되고 있다고 답했다. 글로벌 평균인 60% 대비 낮은 수치다.
국내 CISO가 가장 우려하는 공격 유형은 이메일 사기인 것으로 나타났다. 업무 이메일을 사칭한 피싱 메일을 통해 악성 링크나 악성 파일을 유포하고, 방심한 내부 직원을 통해 정보를 유출하거나 내부망에 침투하는 방식으로, BEC 공격이라고도 부른다. 응답자 중 33%(복수응답)가 이러한 유형의 공격이 가장 큰 위협으로 느꼈다.
향후 펼쳐질 공격에 대해 위기감을 느낀다는 국내 CISO도 75%로 나타났다. 이들은 향후 12개월 간 중대한 사이버 공격을 당할 가능성이 있다고 답했다. 자신의 조직이 지능형 사이버 공격에 대응할 준비가 미흡하다는 응답은 절반 이하인 47%로 나타났다.
CISO는 현재 기업에서의 역할에 압박감을 느끼며, 이로 인해 직무 지속성도 하락하고 있는 것으로 조사됐다. 국내 CISO 중 36%(글로벌 평균 61%)는 업무 관련 기대치가 불합리할 정도로 높다고 응답했다. 48%(글로벌 평균 62%)가 자신의 역할에 있어서 개인적 책임을 우려하고 있고, 47%(글로벌 평균 60%)는 지난 12개월간 업무상 번아웃을 경험했다고 답했다.
이석호 프루프포인트 코리아 대표는 "실제로 CISO를 만나보면 기업의 중요 민감 데이터, 지식재산과 특허 등을 퇴사자가 유출하는 경우가 많다. 사표를 내기 전 데이터를 조금씩 빼돌린다. 재직 중 생산한 데이터를 자기 것이라고 생각하는 경향이 있기 때문"이라고 설명했다.
또 "재택근무 역시 CISO의 고민이다. 사무실 내부에선 보안 정책을 따르지만, 외부에선 상대적으로 떨어진다. 이런 상황에서 직원의 이탈까지 이어지면서 기업 민감 데이터가 빠져나가고 있다"고 덧붙였다.
프루프포인트는 이러한 위협 환경에서 사람 중심의 보안이 중요하다고 강조했다. 사이버 공격이 발생하는 첫 번째 지점은 피싱 이메일 등을 통해 발생하는 내부 직원과의 접점이기 때문이다. 동시에 내부 직원의 데이터 접근 기록을 남기고 유출을 통제하면서 위협을 완화할 수 있다.
현재 프루프포인트는 정보유출 방지(DLP), 내부자 위협 관리, 이메일 보호 등을 통해 내부 직원과 데이터를 보호하고 피해를 예방하는 솔루션을 제공 중이다.
이 대표는 "사람 중심 보안을 통해 누가 공격받고 있는지, 공격받을 가능성이 큰지 파악할 수 있다. 이를 통해 교육과 정책을 강화하는 등 적절한 대비를 할 수 있다"고 밝혔다.
보안 기업 프루프포인트가 18일 '2023년 CISO의 목소리' 보고서를 발표했다. 이번 보고서는 프루프포인트가 한국을 포함한 전 세계 16개국의 CISO 1600명을 대상으로 진행한 설문조사 결과다.
보고서에 따르면 국내 정보보호최고책임자(CISO)의 42%(글로벌 평균 63%)가 지난 12개월 동안 심각한 민감 데이터 유출 사고를 처리한 바 있다. 이 중 83%는 퇴사 직원에 의한 유출이라고 답했다. 같은 기간 글로벌 평균은 82%로, 한국 기업이 피해를 경험한 것과 비교해 퇴사자를 통한 유출 비율이 높게 나타났다.
이러한 데이터 유출 사고에도 불구하고, 국내 CISO 중 38%만이 조직 내에서 적절한 데이터 보호 체계가 구축·운영되고 있다고 답했다. 글로벌 평균인 60% 대비 낮은 수치다.
국내 CISO가 가장 우려하는 공격 유형은 이메일 사기인 것으로 나타났다. 업무 이메일을 사칭한 피싱 메일을 통해 악성 링크나 악성 파일을 유포하고, 방심한 내부 직원을 통해 정보를 유출하거나 내부망에 침투하는 방식으로, BEC 공격이라고도 부른다. 응답자 중 33%(복수응답)가 이러한 유형의 공격이 가장 큰 위협으로 느꼈다.
향후 펼쳐질 공격에 대해 위기감을 느낀다는 국내 CISO도 75%로 나타났다. 이들은 향후 12개월 간 중대한 사이버 공격을 당할 가능성이 있다고 답했다. 자신의 조직이 지능형 사이버 공격에 대응할 준비가 미흡하다는 응답은 절반 이하인 47%로 나타났다.
CISO는 현재 기업에서의 역할에 압박감을 느끼며, 이로 인해 직무 지속성도 하락하고 있는 것으로 조사됐다. 국내 CISO 중 36%(글로벌 평균 61%)는 업무 관련 기대치가 불합리할 정도로 높다고 응답했다. 48%(글로벌 평균 62%)가 자신의 역할에 있어서 개인적 책임을 우려하고 있고, 47%(글로벌 평균 60%)는 지난 12개월간 업무상 번아웃을 경험했다고 답했다.
이석호 프루프포인트 코리아 대표는 "실제로 CISO를 만나보면 기업의 중요 민감 데이터, 지식재산과 특허 등을 퇴사자가 유출하는 경우가 많다. 사표를 내기 전 데이터를 조금씩 빼돌린다. 재직 중 생산한 데이터를 자기 것이라고 생각하는 경향이 있기 때문"이라고 설명했다.
또 "재택근무 역시 CISO의 고민이다. 사무실 내부에선 보안 정책을 따르지만, 외부에선 상대적으로 떨어진다. 이런 상황에서 직원의 이탈까지 이어지면서 기업 민감 데이터가 빠져나가고 있다"고 덧붙였다.
프루프포인트는 이러한 위협 환경에서 사람 중심의 보안이 중요하다고 강조했다. 사이버 공격이 발생하는 첫 번째 지점은 피싱 이메일 등을 통해 발생하는 내부 직원과의 접점이기 때문이다. 동시에 내부 직원의 데이터 접근 기록을 남기고 유출을 통제하면서 위협을 완화할 수 있다.
현재 프루프포인트는 정보유출 방지(DLP), 내부자 위협 관리, 이메일 보호 등을 통해 내부 직원과 데이터를 보호하고 피해를 예방하는 솔루션을 제공 중이다.
이 대표는 "사람 중심 보안을 통해 누가 공격받고 있는지, 공격받을 가능성이 큰지 파악할 수 있다. 이를 통해 교육과 정책을 강화하는 등 적절한 대비를 할 수 있다"고 밝혔다.
