중견 시장 조사 기업 RSM US와 미국 상공회의소가 기업의 디지털 ID 전략 및 기타 예방 조치, 클라우드 마이그레이션 진행 상황을 공동으로 연구한 ‘제10회 연례 RSM US 중견 기업 경기 지수 특별 보고서: 사이버 보안 2025’를 발표했다.

설문 조사 데이터는 미국에서는 2025년 1월 6일부터 1월 27일까지, 캐나다에서는 1월 17일부터 1월 29일까지 수집되었으며, 설문 조사 패널은 약 1600명의 중견 기업 경영진으로 구성했으며 중견 시장의 상황을 반영하도록 설계됐다.

응답자에게는 공급 관리 연구소(Institute of Supply Management) 및 독립 사업 연맹(National Federation of Independent Businesses)의 설문 조사와 유사한 방식으로 총 20개의 질문이 제시된다.

20개의 질문은 매출, 이익, 자본 지출, 채용, 직원 보상, 지급 가격, 수취 가격 및 재고와 같은 다양한 비즈니스 측정 항목의 변화와 관련된다. 또한 경제 및 전망, 신용 가용성 및 차입과 관련된 질문도 있다.

10개의 질문에 대해 응답자는 이전 분기 대비 변화를 보고하도록 요청받고, 나머지 10개의 질문에 대해서는 동일한 지표의 6개월 후 예상 방향을 진술하도록 요청받았다.

침해 사례 감소했으나, 여전히 주의 기울여야

지난 한 해 동안 중견 기업의 거의 5분의 1(18%)이 데이터 유출을 경험했지만, 설문 조사에 참여한 경영진의 거의 전부(97%)는 현재의 보안 조치에 대해 확신을 느끼고 있다고 답했다.

보고서는 2024년 조사에서 사상 최고치인 28%까지 급증한 후 보고된 침해 사례가 감소했지만, 끊임없이 새롭고 진화하는 위협 환경 속에서 기업들은 사이버 보안 노력에 계속 주의를 기울여야 한다고 지적했다.

한편, 보고서는 중견 기업 시장을 형성하는 사이버 보안 동향, 전략 및 우려 사항을 제공하며, 소규모(매출 1천만 달러에서 5천만 달러 미만) 중견 기업과 대규모(매출 5천만 달러에서 10억 달러) 중견 기업 간의 차이점을 지적했다.

예를 들어, 지난 한 해 동안 대규모 기업이 소규모 기업보다 침해를 당할 가능성이 두 배 더 높았으며, 이 부문 응답자의 24%가 침해를 보고한 반면 소규모 기업 응답자는 12%였다. 또한 데이터에 따르면 소규모 중견 기업은 사이버 보안 예산 및 인력, ID 및 액세스 관리, 고급 AI 거버넌스 프로토콜 구현에서 대규모 기업에 비해 뒤처지는 것으로 보인다.

기업, 사업 연속성 및 복원력 전략에 지속적으로 투자

미국 내 402명의 중견 기업 경영진을 대상으로 한 설문 조사에 따르면, 응답자의 91%가 향후 조직의 사이버 보안 예산이 증가할 것으로 예상한다고 답한 것에서 알 수 있듯이 기업들은 사이버 보안을 우선시하고 있다.

RSM 보고서는 기업들이 더 낮은 비용으로 문제를 해결하기 위해 더 나은 엔지니어링으로 자동화를 추진하는 데 도움이 될 수 있는 컨설팅 리소스를 간과하지 않음으로써 사이버 보안 투자 전략의 효과를 보장할 것을 권고한다.

사이버 보험에 가입했다고 보고한 기업의 수도 보고서 역사상 최고치를 기록하여 1년 전 76%에서 82%로 증가했다. 이러한 증가에도 불구하고 정책 보장 범위에 대한 이해도는 2024년 데이터의 75%에서 69%로 감소했다. 이러한 감소는 소규모 기업에서 가장 두드러졌으며, 이 부문의 긍정적인 응답은 작년 66%에서 51%로 감소했다.

사이버 보험 외에도 기업들은 비즈니스 중단을 제한하기 위한 전략을 시행하고 있다. 응답자의 52%는 위기 또는 중단에 대한 커뮤니케이션 계획을 개발하고 있다고 답했고, 51%는 사업 연속성 계획을 개발 및 유지 관리하고 있다고 답했으며, 절반(50%)은 중요 시스템에 대한 재해 복구 계획을 구현하고 있다고 답했다.

기업 규모별로 분류했을 때 대규모 기업의 주요 연속성 전략은 위협을 탐지하고 사이버 사건에 대응하기 위해 기술을 활용하는 것(47%)이었다. 주목할 만한 점은 대규모 중견 기업의 46%와 소규모 중견 기업의 37%만이 조율된 복원력 계획을 위해 공급업체 및 규제 기관과 같은 외부 파트너와 협력했다고 보고했다는 것이다.

미국 상공회의소 사이버, 우주 및 국가 안보 정책 담당 수석 부사장 크리스토퍼 로버티(Christopher D. Roberti)는 “위험과 불확실성의 새로운 시대에 접어들면서, 미국 상공회의소는 공공-민간 파트너십과 업계 주도의 표준의 중요성을 강조하며 집단적 보안 및 복원력을 강화하기 위한 협력적 사이버 보안 접근 방식을 옹호하고 있다.”라고 말했다.

중견 시장, 랜섬웨어, 인력 확보 및 AI 거버넌스 문제에 직면

랜섬웨어는 중견 시장에 여전히 심각한 위협으로 남아 있다. 설문 조사에 참여한 경영진의 25%가 지난 12개월 동안 최소 한 번의 랜섬웨어 공격 또는 요구를 경험했다고 보고했다. 데이터에 따르면 대규모 중견 기업이 더 큰 위험에 처해 있으며, 이 부문 응답자의 35%가 최소 한 번의 공격 또는 요구를 보고한 반면, 소규모 중견 기업은 15%였다.

지난 한 해 동안 최소 한 번의 랜섬웨어 공격을 경험한 기업 중 31%는 기존 보안 조치가 실패했다고 답했고, 28%는 부분적으로 성공했다고 답했으며, 41%는 완전히 성공했다고 답했다. 설문 조사 데이터에 따르면 소규모 및 대규모 중견 기업 간의 랜섬웨어 방어 효과에는 미미한 차이만 있었다.

인력 확보는 자격을 갖춘 사이버 보안 인력을 유치하기 어렵고 유지하는 데 비용이 많이 들기 때문에 지속될 것으로 예상되는 또 다른 중요한 문제이다. 응답자의 33%는 데이터 보안 및 개인 정보 보호 담당 직원이 5명 이하라고 답했다.

소규모 기업의 대부분 응답자는 데이터 보안 및 개인 정보 보호에 집중하는 내부 인력이 0~5명이라고 답한 반면, 대규모 조직의 36%는 6~10명의 직원이 있다고 답했고, 또 다른 36%는 11~15명의 직원이 있다고 답했다.

이러한 격차를 메우기 위해 일부 중견 기업은 사이버 보안 기능을 아웃소싱하고 있으며, 51%는 사이버 보안 위험 및 규정 준수 관리를 아웃소싱했다고 답했다. 응답자들이 아웃소싱한 다른 주요 기능으로는 사이버 사고 대응 및 포렌식(46%), 보안 운영 센터(46%), 보안 인식 교육(44%) 및 취약점 관리(44%)가 있다.

설문 조사 데이터는 또한 AI 거버넌스가 중견 기업, 특히 소규모 조직의 취약점이 될 수 있음을 시사한다. 특히 소규모 중견 기업의 34%는 AI 거버넌스 단계가 아직 마련되지 않았다고 언급했는데, 이는 AI를 아직 사용하지 않거나 AI를 사용하는 경우 데이터가 더 높은 위험에 처할 가능성이 있음을 나타낸다.

캐나다 중견 기업, 보고된 차이점 거의 없어

올해 특별 보고서에는 설문 조사를 완료한 101명의 캐나다 중견 기업 경영진의 세분화된 결과도 포함되어 있다. 많은 결과가 미국과 유사했지만 몇 가지 주목할 만한 차이점이 확인되었다. 캐나다 기업은 미국 기업보다 사이버 보험에 가입할 가능성이 낮았다(68% 대 82%).

미국 응답자에 비해 AI 거버넌스를 갖추지 않았다고 답한 캐나다 기업의 비율이 더 적다(5% 대 20%). 이는 아마도 캐나다의 연방 차원의 AI 규제 노력 때문일 것이다. 평균적으로 캐나다 응답자는 미국 응답자보다 사이버 보안 팀 규모가 더 크며, 39%가 16명 이상의 직원을 보유하고 있다고 답한 반면, 미국은 11%였다.

RSM US LLP의 보안 및 개인 정보 보호 부문 전국 책임자인 타우시프 가지(Tauseef Ghazi)는 “올해 설문 조사 결과는 고무적이지만, 보고된 침해 사례 감소는 러시아-우크라이나 분쟁과 관련된 금융 네트워크 제재 및 혼란으로 인해 2024년에 급증한 이후 정상화된 데 기인할 수 있다.”라며 “공격의 복잡성이 증가함에 따라 일부 기업은 시스템 내 공격자의 존재를 식별하지 못했을 수도 있다. 이는 악의적인 활동을 지원하기 위해 AI가 강화됨에 따라 지속적인 경계가 필요하다는 것을 의미한다.”라고 말했다.