최고정보보호책임자 75% "생성형 AI는 조직 보안 위협 리스크"

프루프포인트 보고서…"사이버 공격 우려", "대응 미흡" 응답 증가
77%가 지난해 데이터 유출 사고 처리…인적 오류가 최대 요인

[서울=뉴시스]송혜리 기자 = 국내 정보보호최고책임자(CISO) 91%가 향후 12개월간 중대 사이버 공격에 직면할 가능성이 있다고 답했으며, 랜섬웨어·내부자 위협이 최대 걱정거리였다. 더불어 생성형 인공지능(AI)은 CISO가 꼽은 새로운 보안 위협으로 부상했는데, 국내 75%의 CISO가 생성형 AI를 가장 위협적인 서비스로 여겼다.

24일 글로벌 사이버 보안 및 컴플라이언스 기업 프루프포인트는 글로벌 정보보호최고책임자(CISO)들의 핵심 과제와 기대치·우선순위를 분석한 연례 CISO의 목소리 보고서(Voice of the CISO report)를 통해 이같은 결과를 공유했다.

올해 보고서는 다양한 산업의 직원 수 1000명 이상 조직의 CISO 1600명을 대상으로 실시한 글로벌 서드파티 설문조사 결과를 분석했다. 더불어 회사는 보고서 준비를 위해 지난 1분기 동안 16개국의 각 시장에서 CISO 100여명과 인터뷰를 진행했다. 대상 국가에는 미국, 캐나다, 영국, 프랑스, 독일, 이탈리아, 스페인, 스웨덴, 네덜란드, 아랍에미리트, 사우디아라비아, 호주, 일본, 싱가포르, 한국, 브라질이 포함됐다.

인적 오류가 조직 내 최대 사이버 취약 요인…생성형AI도 조직 보안 위협

보고서에 따르면 국내 CISO 중 77%는 지난 12개월간 심각한 민감 데이터 유출 사고를 처리한 바 있고, 이 중 94%는 퇴사 직원들이 유출 사고의 원인이었다고 응답했다.

때문에 CISO들은 랜섬웨어·내부자 위협이 현시점 최대 보안 위협 요인이라고 꼽았다. 특히 랜섬웨어 공격(40%), 내부자 위협(부주의, 우발적, 고의 범죄)(34%), 공급망 공격(32%) 순으로 비율이 높았다. 이는 지난해 선정된 위협 요인과 다소 상이하다. 지난해에는 랜섬웨어 공격, 이메일 사기, 분산 서비스 거부(DDoS) 공격, 내부자 위협(부주의, 우연, 고의 범죄) 순이었다.

이 가운데 생성형 AI는 국내 CISO가 꼽은 새로운 보안 위협으로 부상했다. CISO 중 75%가 생성형AI가 올해 조직 보안을 위협할 주요 시스템이라고 답했다. 해당 CISO들은 조직 내 리스크 발생 경로를 인증·권한 부여 등 기능을 제공하는 액티브 디렉토리(AD), 챗GPT 및 기타 생성형 AI, 경계 네트워크 장치 순으로 꼽았다.

프루프포인트 2024 Voice of the CISO 보고서(사진=프루프포인트) *재판매 및 DB 금지

사이버 공격 우려하는 CISO 증가…72% "번아웃 느꼈다"

국내 CISO 중 91%는 향후 중대 사이버 공격에 직면할 가능성이 있다고 느끼고 있었는데, 지난해 75%보다 대폭 증가한 수치다. 아울러 CISO 중 69%는 소속 조직이 지능형 사이버 공격에 대응할 준비가 미흡하다고 답했는데, 이 또한 지난해 47%에 비해 높아진 비율이다.

아울러 CISO 중 79%가 향후 12개월간 소속 조직이 랜섬웨어 공격을 받으면 시스템 복구·데이터 유출 방지 관련 비용을 지불할 것으로 전망했다. CISO 중 82%가 사이버 보험을 청구해 추정 손실을 복구할 것이라고 답했다.

국내 CISO들의 심적 부담이 끊이지 않고 있다. CISO 72%가 번아웃을 느꼈다고 밝혔다. 또 75%는 과도한 기대로 인해 부담을 느끼고 있다고 답했다.

82%가 개인이 부담해야 할 책임을 우려했고, 76%는 임원배상책임보험(D&O) 혜택을 제공하지 않는 기업에는 입사하지 않겠다고 답했다. 또 CISO 중 79%는 현재의 경기 둔화가 기업 경영에 중대한 투자를 저해했다는데 동의했다. 이들 중 71%는 인력 축소나 채용 지연, 보안 예산 감축을 요구받았다고 전했다.

패트릭 조이스 프루프포인트 글로벌 CISO는 "올해 분석 결과는 교육 강화, 기술 도입, 생성형 AI 등 급부상하고 있는 위협 요인에 맞춘 대응 등 전략적 방어에 대한 조직적 대응 필요성에 주목했다"고 말했다.

☞공감언론 뉴시스 chewoo@newsis.com