글로벌 사이버 보안 전문 기업 포티넷(지사장 조원균)는 전세계 조직에 영향을 미치는 사이버 보안 기술 부족과 관련된 지속적인 문제를 조명한 '2024 글로벌 사이버 보안 기술 격차 보고서(2024 Global Cybersecurity Skills Gap Report)'를 2일 발표했다.

이 보고서는 기술(21%), 제조(15%), 금융 서비스(13%) 등 다양한 산업 분야에 종사하고 있는 29개 국가 및 지역의 1850명 이상의 IT 및 사이버 보안 의사결정권자 대상 설문 조사를 토대로 작성됐다.

보고서는 ▲사이버 기술 격차로 인한 보안 침해 경험 ▲보안 침해 발생 시 받는 경영진의 불이익 ▲고평가된 보안 자격증 ▲기술 문제를 해결하는 다양한 채용 기회 ▲사이버 회복 탄력성 전략 필요 등의 주제를 담았다.

사이버 기술 격차로 인한 보안 침해 경험

보고서에 의하면 조직의 70%가 사이버 보안 기술 부족으로 인해 조직에 추가적인 위험이 발생하고 있다고 답했다.

기업들은 사이버 기술 부족으로 인해 더 많은 침해 사고를 경험하고 있다. 2023년에 조직 리더의 약 90%(한국 82%)가 사이버 기술 부족으로 인한 침해 사고를 경험했다고 답했다. 이는 2023년 보고서의 84%, 전년도의 80%보다 증가한 수치이다.

보안 침해 발생 시 경영진 불이익 증가세

보안 침해는 재정적 문제부터 기업 명성에 이르기까지 기업에 상당한 영향을 미친다. 올해 조사에 의하면 사이버 사고에 대한 기업 리더의 책임이 점점 더 커지고 있으며, 응답자의 51%(한국 52%)는 사이버 공격으로 인해 경영진이나 디렉터가 벌금, 징역형, 직위 상실 또는 실직에 이르는 경우가 많다고 답했다.

또한, 응답자의 53%(한국 66%)가 2023년에 사이버 침해로 인해 조직이 100만 달러 이상의 매출 손실, 벌금 및 기타 비용을 지출했다고 답했는데, 이는 2022년 보고서의 48%, 2023년도의 38%보다 증가한 수치이다.

한편, 이사회는 사이버 보안을 비즈니스의 필수 요소로 간주하고 있다고 전했다. 응답자의 72%(한국 50%)는 이사회가 2023년에 전년도보다 보안에 더 중점을 두었다고 답했다. 또한, 응답자의 97%는 이사회가 사이버 보안을 비즈니스 우선 순위로 보고 있다고 답했다.

채용 관리자, 자격증 중시

비즈니스 리더들은 자격증을 사이버 보안 지식을 검증하는데 사용하며, 자격증을 보유하고 있거나, 자격증의 명확한 이점을 알고 있는 이들과 협력하고 있다. 설문 응답자의 90% 이상(한국 100%)이 자격증 소지자를 채용하는 것을 선호한다고 답했다.

리더들은 자격증이 보안 태세를 향상한다고 믿고 있다. 응답자의 89%(한국 92%)가 직원의 사이버 보안 자격증 취득을 위해 비용을 낼 의향이 있다고 답했다. 그러나 응답자의 70%(한국 84%) 이상이 기술 중심 자격증을 보유한 지원자를 찾기가 어렵다고 답했다.

채용 기준 확대하는 기업 증가

사이버 인력 부족이 지속됨에 따라 일부 조직에서는 새로운 인재를 채용하고 공석을 메우기 위해 사이버 보안 또는 관련 분야에서의 4년제 학위와 같이 전통적인 조건을 벗어나, 자격증을 가진 지원자를 포함시키고자 채용 풀을 다양화하고 있다.

채용 요구사항을 바꾸면, 특히 조직이 인증 및 교육 비용을 기꺼이 지불할 의향이 있는 경우, 새로운 가능성을 맞이할 수 있다. 보고서는 다음과 같은 사실을 강조했다.

조직들은 다양한 인재 풀에서 채용하기 위한 프로그램을 지속적으로 운영하고 있다. 응답자의 83%(한국 82%)는 조직에서 향후 몇 년간 다양성 채용 목표를 수립했다고 답했는데, 이는 작년 보고서와 비슷하지만 2021년 89%보다는 소폭 감소한 수치이다.

다양성 채용은 해마다 달라진다. 지속적인 채용 목표에도 불구하고 여성 채용은 2022년 89%, 2021년 88%에서 85%로 감소했다(한국은 2022년 52%에서 2023년 34%로 대폭 감소). 소수자(minority) 그룹 채용은 68%로 변동이 없으며, 2021년 67%에서 소폭 증가했다(한국은 2022년 56%에서 2023년 50%로 감소). 제대군인(veteran) 채용은 2022년 47%에서 49%로 소폭 증가했으나, 2021년 53%보다는 감소한 수치이다(한국은 2022년 48%에서 2023년 44%로 감소).

많은 채용 관리자들이 자격증을 중요하게 생각하지만, 일부 조직에서는 여전히 전통적인 배경을 가진 지원자를 선호하는 것으로 나타났다. 71%(한국 76%)의 조직은 여전히 4년제 학위를 요구하고 있으며, 66%(한국 66%)는 전통적인 교육 배경을 가진 지원자만 채용하고 있는 것으로 나타났다.

사이버 회복탄력성 구축이 최선

고비용으로 이어지는 사이버 공격의 빈도가 증가하고, 사이버 공격이 이사회 멤버와 디렉터에게 심각한 개인적 피해를 입힐 가능성도 높아져 기업 전반의 사이버 보안 강화가 필요해지고 있다.

이에 보고서는 기업들의 교육, 인식, 기술을 결합한 사이버 보안 전략에 대해 ▲IT 및 보안 팀이 목표를 달성하는데 필요한 교육 및 인증에 투자 ▲중요한 보안 기술을 습득할 수 있도록 지원 ▲ 일차 방어선으로서 조직의 보안을 강화하는데 기여할 수 있는 사이버 인식을 갖춘 일선 직원을 양성 총 3가지 방법을 제시했다.

존 매디슨(John Maddison) 포티넷 최고마케팅책임자(CMO) 및 수석 부사장은 “이번 ‘글로벌 사이버 보안 기술 격차 보고서’는 기술 격차를 해소하기 위한 협력적이고 다각적인 접근 방식의 필요성을 강조하고 있다. 오늘날의 복잡한 위협에 대응하고 리스크를 효과적으로 완화하기 위해 기업들은 최적의 보안 기술을 활용하고, 교육 및 인증을 통해 기존 보안 전문가의 역량을 강화하며, 사이버 인식 인력을 양성하는 전략적 조합을 적용해야 한다.”라고 말했다.