기업들의 사이버보안 투자가 지속 확대되고 있지만, 기술적 성숙도와 복원력 강화를 위한 전략적 실행은 여전히 부족한 상황이다. 글로벌 사이버보안 지출은 2024년 1839억 달러에서 2025년 2120억 달러로 15% 증가했으나, 위협의 진화 속도에 비해 대응 체계는 제대로 갖춰지지 않고 있다.
특히 자산 식별, 취약점 관리, 공급망 위험 모니터링 등 기본적인 보안 역량이 여전히 미흡하며, 공격자의 침투 경로로 작용할 수 있기 때문이다. 또한 문서화된 재해 복구 계획 및 비즈니스 연속성 계획을 갖추지 않은 기업은 절반 이상으로, 사이버 사고 발생 시 복원력 확보에도 취약한 실정이다. 따라서 단순 예산 확대보다 보안 전략 수립과 성숙도 기반 실행이 시급하다.
사이버 보안 기업 사이(CYE)가 자사 SaaS 플랫폼 하이브르(Hyver)를 통해 17개국 15개 산업의 보안 현황을 심층 분석한 '2025 사이버보안 성숙도 보고서'를 발표했다. 보고서는 NIST CSF 2.0의 6대 기능(식별, 보호, 탐지, 대응, 복구, 거버넌스)에 기반한 성과를 매핑했다.
보고서 주요 결과
이 과정에서 나타난 주요 결과는 다음과 같다.
① 자산과 노출에 대한 불완전한 가시성
많은 조직이 보유한 IT 자산과 그에 따른 보안 노출 상황을 완전히 파악하지 못하고 있다. 이는 보안 대응의 선제적 실행을 어렵게 하며, 위협을 방치하게 만드는 주요 요인이다. 실제로 반타(Vanta)에 따르면 전체 기업의 75% 이상이 IT 자산에 대한 가시성이 부족하다고 인정했다.
② 예산보다 전략이 중요한 보안 성숙도
국가 간 사이버보안 성숙도는 단순한 지출 규모가 아니라 전략적 접근에 의해 결정되는 경향이 뚜렷하다. 예를 들어, 일본과 노르웨이는 미국, 영국보다 작은 예산을 운용하면서도 높은 보안 대비 수준을 기록했다. 이는 정교한 국가 전략이 실제 사고 대응 성과로 이어짐을 시사한다.
③ 기본 보안 관행의 미비
복잡한 보안 체계 도입보다 기본 보안 수칙 이행이 더욱 시급한 상황이다. 조사 결과, 취약한 비밀번호 정책, 미적용된 보안 패치 등이 여전히 광범위하게 존재하며, 기업 침해의 약 81%가 도난되거나 약한 비밀번호와 연관돼 발생하고 있는 것으로 분석되었다.
④ 공급망 위험 관리의 공백
제3자에 의한 보안 침해가 늘고 있음에도 불구하고, 많은 조직이 외부 벤더와 공급업체로부터 발생할 수 있는 사이버 위험을 체계적으로 관리하지 못하고 있다. 버라이즌의 자료에 따르면, 제3자 개입에 의한 사고가 전체 침해의 30%에 달하고 있으며, 이는 전년 대비 두 배에 달하는 수치다.
⑤ 복구 계획 수립의 부족
조직의 절반 이상이 문서화된 비즈니스 연속성 계획(BCP)을 갖추지 못한 상태이며, 재해 복구 체계도 미흡한 수준에 머물러 있다. 복구 체계의 미비는 보안 사고 발생 시 조직의 회복 능력을 심각하게 저하시킬 수 있으며, 이는 사이버 복원력 확보를 어렵게 만든다.
공급망·복원력 관리 부재가 만드는 사이버 사각지대
보고서는 제3자 공급망 위험 관리의 불완전성도 심각한 문제로 진단했다. 버라이즌 조사에 따르면 공급망 침해가 전체 침해사고의 30%를 차지했지만, 많은 기업은 공급업체 위험 공식 전략을 갖추지 못했다. 또한, 절반 이상의 기업이 비즈니스 연속성 계획(BCP)을 마련하지 않았으며, 재해 복구 계획을 준비하지 않은 상태다. 이는 침해 시 복원력 확보와 서비스 지속 역량을 약화시키는 요인이다.
사이의 데이터·혁신 담당 부사장 님로드 파투시(Nimrod Vatvachi) 박사는 “기본적인 보안을 먼저 확립하고 업데이트해야 한다”고 강조했다. 그는 “성숙도 평가를 통해 핵심 개선 영역을 파악하고, 공격자의 위협 노출을 줄이는 실행 가능한 기반을 마련하는 것이 복원력의 출발점”이라고 말했다. 보고서는 기업들이 주기적으로 보안 성숙도를 점검하고, 다음 보고서까지 개선 사항 반영을 통해 복원력 향상 실행을 기대할 수 있도록 권고하고 있다.
사이반는 이번 보고서를 통해 사이버보안 전 영역에서의 성숙도 격차를 진단하고, 전략적 자산·위험 인텔리전스 기반 보안 방어 체계 마련의 중요성을 경고했다. 이는 단순한 예산 투입을 넘어, 전방위 이해와 실질적 대응 역량, 지속적 복원력 기반 구축이 없는 사이버 투자는 무의미하다는 사실을 여실히 보여준다.
관련기사
- AI 기반 정밀 공격 확산...다계층 보안 전략으로 랜섬웨어 대응 강화해야
- 공격 대응력 높이는 크라우드 소싱 기반 레드팀 서비스 'RTaaS' 부상
- 랜섬웨어 방지 솔루션 시장, “2031년 517억 1천만 달러”...연평균 13.3% 성장
- 美 보안 인증 CMMC 2.0 획득 돕는 ‘사이버보안 실습 랩’
- 카스퍼스키, 보안관제센터 성숙도 측정 지표 'SOC-CMM' 골드 서포트 파트너로 선정
- 사이버 위협 대응, 선제적 통합 관리가 핵심 전략으로 부상
- 폭증하는 AI 위협 해결사 ‘IBM 데이터 시큐리티 센터’...데이터 보안과 거버넌스 향상
- ‘보안 성숙도 기반 통합 사이버 노출 관리'로 보안태세·비즈니스 회복력 향상
- 5년 된 ‘美 국방 산업 거버넌스 CMMC’...“준비 부족으로 방위 기업 공급망 보안 우려”
- 2분기 사이버 보안 자금 투자 25% 증가...검증된 기업에 대규모 투자 집중
- 투자 유치 성공율 높이는 ‘AI 기반 투자 유치 평가 플랫폼’
- 사이버 위협 노출 줄이는 'AI 노출 관리 자동화' 솔루션...실시간 대응 및 정확도 향상
- 사이버 위험관리 적신호, “AI 확산·가시성 부족·제3자 위험관리 미흡”...자동화와 지속 모니터링 필수
- “사이버 위협 71% 직격, 기업 생존 좌우하는 복원력 전략 시급”
- “10분 복구 시대” 예측 가능한 재해 복구로 기업 다운타임 5배 단축
- 보안 SW 및 서비스 지출 급등...비용 효율·위험 대응 핵심 과제 부상
- AI 센서 기반 예측 유지보수...산업 설비 고장률 90% 줄여
- 데이터 기반 경비 최적화, 보안성과 비용 효율 모두 잡는다
- 매일 진화하는 사이버 리스크...사이버보안 성숙도 지표 없으면 대비도 없다