보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

‘생성형 AI는 보안 리스크다’... 전 세계 분야별 이사회 구성원 약 60%가 동의

입력 : 2023-09-07 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국, 캐나다, 영국, 프랑스, 독일 등 주요 12개국, 659명 응답한 설문 결과 분석
응답자의 73%는 사이버 공격에 대한 위기감 드러내... 지능형 공격 대응 미흡도 53% 공감
프루프포인트, ‘사이버시큐리티 : 2023년 이사회 전망 보고서’ 발표


[보안뉴스 김영명 기자] 전 세계 주요국의 시장별 이사회 구성원의 59%는 생성형 AI를 소속된 기업의 보안 리스크로 인식하고 있다는 분석이 나왔다. 이사회 구성원의 73%는 사이버 공격에 대해 위기감을 느끼고 있으며, 이는 2022년 65% 대비 크게 상승한 수치다. 또한, 53%는 지능형 공격에 대응할 준비가 미흡하다고 응답했는데, 2022년 47% 대비 6%p가 증가한 결과다.

[이미지=gettyimagesbank]


전년과 비교해 달라진 올해는 지속되는 지정학적 긴장 속에 랜섬웨어 공격 및 공급망 공격 증가 등 사이버 위협의 지속적 변동성이 반영된 결과다. 대화형 인공지능(AI) 서비스 챗GPT(ChatGPT) 등 AI 도구로 인한 리스크의 증가도 이사회의 심리적 변화에 영향을 미쳤다.

글로벌 사이버보안 및 컴플라이언스 기업 프루프포인트(Proofpoint)가 글로벌 사이버 위협 동향과 사이버보안 우선순위, 글로벌 정보보호최고책임자(CISO)와의 관계 등을 이사회 관점에서 분석한 두 번째 연례 ‘2023 이사회 관점에서 바라본 사이버보안 보고서(Cybersecurity : The 2023 Board Perspective report)(이하 보고서)’를 발표했다.

보고서의 핵심 내용은 △기업 이사회가 주목하고 있는 생성형 AI △사이버 리스크에 대한 기업 이사회의 우려 심화 △사이버보안 관련 인식 제고·재원 확보와 실제 대응 준비도의 격차 △최대 위협 요인에 대한 인식이 비슷한 이사회와 CISO △인적 리스크 및 데이터 보호 영역 관련 이사회 구성원과 CISO 의견 불일치 존재 △이사회의 3대 목표는 사이버보안 예산 확충·사이버 자원 확대·공격 정보력 개선 △이사회와 CISO의 상호 교류 및 관계 개선 △이사회·CISO 공통 우려사항은 개인적 책임 등 8개다.

먼저, ‘기업 이사회가 주목하고 있는 생성형 AI’에서는 설문 조사 응답자의 59%가 최근 주목받고 있는 챗GPT 등 AI 기반 도구 등 첨단 AI 기술을 기업 보안 리스크로 인식하고 있었다.

두 번째는 ‘사이버 리스크에 대한 기업 이사회의 우려 심화’다. 설문조사 응답자의 73%는 소속된 기업에 사이버 공격 리스크가 있다고 평가했으며, 2022년 65% 대비 상승한 비율이다.

세 번째는 ‘사이버보안 관련 인식 제고·재원 확보와 실제 대응 준비도의 격차’다. 이사회 구성원 중 73%는 사이버보안이 이사회 우선 과제라는데 이견이 없다. 응답자의 72%는 소속된 이사회가 사이버 리스크를 충분히 인식하고 있다고 봤다. 70%는 사이버보안 투자가 적절히 진행되고 있다고 봤으며, 84%는 사이버보안 예산이 향후 1년간 증가할 것으로 전망했다. 그러나 사이버보안 인식 개선과 예산 확보도 실행으로는 이어지지 못하고 있다. 응답자의 53%는 소속 기업이 향후 1년 내 발생할 사이버 공격에 대처할 준비가 미흡하다고 답했다.

네 번째는 ‘최대 위협 요인에 대한 인식이 비슷한 이사회와 CISO’다. 이사회 구성원 중 40%는 멀웨어를 최대 위협 요인으로 꼽았다. 뒤를 이어 △내부자 위협(36%) △클라우드 계정 침투(36%) 등이 있었다. CISO 역시 △이메일 사기(BEC)(33%) △내부자 위협(30%) △클라우드 계정 침투(29%) 순으로 우려하고 있어 이사회와 CISO의 우려사항이 비슷했다.

다섯 번째는 ‘인적 리스크 및 데이터 보호 영역 관련 이사회 구성원과 CISO 의견 불일치 존재’다. 이사회 구성원 63%와 CISO 60%가 인적 오류를 최대 리스크로 인식하고 있다. 하지만 소속 기업의 데이터 보호 역량에서는 이사회 구성원 75%가, CISO는 60% 수준이었다.

여섯 번째로 ‘이사회의 3대 목표는 사이버보안 예산 확충, 사이버 자원 확대, 공격 정보력 개선’이다. 사이버보안과 관련해 기업 이사회 구성원의 37%는 예산 확충이 관건이라고 답했다. 사이버 자원 확대와 공격 정보력 개선을 원하는 비율도 각각 35%로 나타났다.

일곱 번째로 ‘이사회와 CISO의 상호 교류 및 관계 개선’이다. 이사회 구성원의 53%는 보안 책임자인 CISO와 정기적으로 교류하고 있다고 응답했다. 지난해 47%에 비해 비율이 증가했지만, 이사회 절반가량은 CISO들과의 유대관계가 돈독하지 못하다. 이사회 구성원과 CISO가 교류할 때는 의견 일치를 보는 편인데도, 설문조사 결과에서는 의견이 일치한다고 응답한 이사회 구성원 비율이 65%, CISO의 비율이 62%에 그쳤다.

마지막으로 ‘이사회·CISO 공통 우려사항은 개인적 책임’이다. 이사회 구성원 중 72%와 CISO 중 62%가 소속된 조직에서 사이버보안 사고가 발생할 경우 부담해야 할 개인적 책임을 우려하고 있는 것으로 나타났다.

이와 같은 결과 속에서도 설문조사 결과 73%는 ‘사이버보안’을 우선순위에 뒀으며, 72%는 소속된 이사회가 사이버 리스크를 명확히 인지하고 있고, 70%는 현재의 사이버보안 관련 투자가 적절하다고 응답했다.

이번 보고서는 다양한 산업의 직원 수 5,000명 이상 규모의 기업 내 이사회에 속한 659명을 대상으로 진행한 글로벌 서드파티 설문조사 결과를 분석했다. 올해 6월 전 세계 시장별 이사회 구성원 50여명이 응답했으며, 대상 국가에는 미국, 캐나다, 영국, 프랑스, 독일, 이탈리아, 스페인, 호주, 싱가포르, 일본, 브라질, 멕시코 등 12개국이 포함됐다.

올해 보고서가 집중적으로 분석한 3대 영역은 △이사회가 직면한 사이버 위협 및 리스크 △위협 방어 대책 준비 상황 △프루프포인트 2023 CISO의 목소리(2023 Voice of the CISO) 보고서에서 도출한 CISO와의 심리적 공통점 등이다. 분석 결과에 따르면, 보안 리스크와 대응 상황에 대해 리스크를 느끼는 CISO 수가 이사회 내부와 유사한 수준으로 전년대비 증가했으며, 이사회 구성원들과 보안 책임자들의 견해차가 좁혀진 것으로 나타났다.

프루프포인트 라이언 칼렘버(Ryan Kalember) 사이버보안 전략 담당 부사장(executive vice president)은 “이번 보고서에서는 기업 이사회와 CISO 간에 사이버 리스크와 대응 준비도에 관한 견해차를 좁혔다는 사실을 새로 도출했다. 이 같은 결과는 양측 협력관계의 진전을 의미하기에 분명 긍정적 신호라고 할 수 있다. 그러나 이사회가 리스크 대응을 위해 충분히 투자하고 있다고 느끼고 있는 시간 및 자원에 비해, 아직은 사이버보안 관련 CISO와의 유대관계 개선이 큰 힘을 발휘하지 못하고 있다”고 말했다. 그는 이어 “향후 수개월에 걸쳐 이사회와 CISO의 관계를 발전시켜 유의미한 대화를 나누고 우선 과제에 투자해야 한다”고 덧붙였다.

프루프포인트 이베트 레진스(Yvette Lejins) 아시아지역 담당 정보보호최고책임자(Resident CISO for APJ)는 “이사회 구성원들이 사이버보안 문제를 진지하게 인식하고 있으며, 이는 그들이 인적 리스크 및 사이버 위협이 경영실적에 미치는 영향도 간과하지 않음을 의미한다. 그들은 CISO와 긴밀한 관계를 구축하기 위해 노력하며, 견고한 파트너십이 중요한다는 사실도 알고 있다”고 말했다. 그는 이어 “다만, 기업 이사회는 보안 대응 준비와 조직 회복력 구축에 투자를 대폭 확대해야 한다. 이사회는 CISO와 실질적이고 건설적인 대화를 진행하고, 올바른 정보를 토대로 전략적인 결정을 내리고, 긍정적인 성과를 도출해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)