관리형 탐지 및 대응(MDR) 사이버 보안 솔루션 글로벌 기업 크리티컬 스타트(Critical Start)는 ‘2023 사이버 위험 신뢰 지수’ 연구 결과를 공개했다. 이 연구는 연구 컨설팅 회사 센서와이드(Censuswide)와 협력하여 실시됐으며, 직원 수 2500~2만5000명에 이르는 기업의 미국 기반 IT 보안 의사 결정권자 501명을 대상으로 설문 조사를 수행했다.

보안 리더는 사이버 위험을 줄이기 위한 기존 접근 방식과 현재 전략이 조직의 위험 성향에 얼마나 잘 부합하는지 파악해야 한다. 연구 결과에 따르면 미국의 사이버 보안 리더 중 66%가 주요 사이버 위험을 평가하고 완화하기 위한 현재 전략의 효과에 대해 그다지 확신하지 못하는 것으로 나타났다.

전문가들은 사이버 범죄 비용이 2023년에 8조 달러에 달하고 2025년에는 10조 5000억 달러 로 증가할 것으로 예측한다. 그러나 연구에 따르면 IT 보안 리더의 83%는 회사가 위반 위험보다 보안 비용을 우선시한다고 말한다.

또한 조직의 67%는 기존의 위협 기반 탐지 및 대응 보안 솔루션을 갖추고 있음에도 불구하고 지난 2년 동안 침해를 당했다고 말했다. 또한 응답자의 61%는 조직의 사이버 보안 투자와 정량화할 수 있는 위험 감소 우선 순위가 완전히 일치하지 않는다고 주장한다.

이 연구에서는 보안 리더가 조직의 과제 및 우선 순위, 자원 제약, 잠재적 기술 솔루션과 관련하여 가장 큰 고충을 완화하는 데 도움이 되는 인식과 태도도 조사했다.

조사에서 많은 보안 문제가 도출됐다. 보고서에 따르면 진화하는 위협 환경의 정교함은 사이버 보안 리더가 직면하는 가장 빈번한 문제이다. 유사한 수준의 우려는 IT 및 사이버 보안 리더의 자원 부족(45%)에 기인하며 기업의 38%는 예산 압박이 문제라고 했다.

사이버 위험은 종종 한 사람의 책임으로 전가되곤 한다. 응답자의 90%는 자신의 조직에 사이버 위험 관리 및 감소를 담당하는 전담 리소스가 있다고 말하지만, 거의 절반의 상황(46%)에서 이는 단 한 사람으로 구성된다.

지속적인 위험 평가의 부족은 사이버 신뢰를 저해한다. 기업의 49% 만이 완전하고 포괄적인 사이버 보안 평가 및 위험 평가를 6개월에 한 번 이상 실행하고 있다.

자동화가 필수가 되고 있다. 응답자의 약 절반(45%)이 자동화를 사이버 보안 문제를 해결하기 위한 최상의 솔루션으로 간주한다. 실제로 응답자의 82%는 보안 벤더가 AI 기술을 활용하여 향후 12개월 내에 사이버 위험 역량을 강화할 것으로 예상하고 있다.

랜디 왓킨스(Randy Watkins) 크리티컬 스타트 최고 기술 책임자는 "정교하고 끊임없이 진화하는 위협 환경에서 보안 팀 부족에 이르기까지 오늘날 사이버 보안 리더가 직면한 수많은 어려운 문제를 고려할 때 우리 연구에서 밝혀진 자신감 부족은 놀라운 것일 수 있지만 완전히 예상치 못한 것은 아니다."라며, "우리가 수집한 데이터를 더 깊이 파고들면 더 많은 리소스와 보안 투자와 위험에 대한 조직의 욕구 사이의 더 나은 조정에 굶주린 보안 전문가에 대한 익숙한 이야기가 나타난다."고 말했다.