21일 포티넷코리아(지사장 조원균)는 ‘2017년 포티넷 글로벌 기업 보안 서베이(Fortinet Global Enterprise Security Survey)’ 중 한국 기업들의 보안 인식에 대한 후속 결과를 발표하며 이같이 밝혔다.

이 조사는 시장조사 기업인 라우드하우스(Loudhouse)가 진행했으며, 지난 7, 8월 두 달간 보안에 대한 기업들의 인식에 대해 한국을 포함한 전세계 16개국에서 IT 보안을 책임지고 있는 IT 의사결정권자 1,801명을 대상으로 조사했다. 참여자들은 보고서의 목적이나 후원업체를 모르는 상태에서 온라인 설문에 참여했다.

이번 조사에 의하면, 직원 수 250명 이상 기업에 속한 국내 IT 의사결정권자는 78%는 경쟁사보다 사이버 보안을 더 잘하고 있다고 답변했으며, 단 8%만이 뒤쳐져 있다고 답변했다. 이번 조사 결과는 사이버 공격 방어에서 안일한 태도의 위험성과 사이버보안 베스트 프랙티스 및 기본 원칙을 지키는 것이 얼마나 중요한지 다시 한 번 강조하고 있는 것이라는 게 포티넷코리아 측 설명이다.

응답자들은 지난 2년간 겪은 침해 사고의 24%가 소셜 엔지니어링, 랜섬웨어, 이메일 피싱의 결과라고 보았다. 한국 기업의 53%는 내년에 IT 보안에 대한 직원 교육 프로그램을 계획하고 있으며, 이는 침해 사고가 직원들의 부주의함이나 무지로 인해 발생된다는 인식이 커지고 있음을 나타냈다.

조직의 또 다른 관심사는 네트워크에 대한 액세스를 보호하는 것이었다. 국내 IT 의사결정권자의 28%는 네트워크 액세스가 가능한 모든 장치를 완벽하게 파악 및 제어할 수 있다고 답변해 네트워크 가시성에 대한 확신이 부족하다는 점을 보여주며, 조직에서 이를 중요한 관심사로 다뤄야 한다는 점을 시사하고 있다. 그러나 내년에 네트워크 분할과 같은 기본적인 보안 조치를 계획하고 있는 국내 기업은 23%에 불과했다.

국내 IT 의사결정권자의 32%는 보안 침해 사고 방지를 위해 직원들의 보안 인식 교육에 더 많은 투자가 이뤄지기를 원했다. 사용자 교육은 사이버 보안 사슬에서 가장 취약한 링크인 ‘직원’들을 타깃으로 하는 침입 시도를 줄일 수 있다.

국내 IT 의사결정권자들은 사이버 보안 투자로 ▲새로운 보안 솔루션 및 서비스(34%) ▲보안 정책 및 프로세스 구현(30%) ▲보안 솔루션 업그레이드(25%) ▲직원 교육(8%) ▲감사 및 평가(2%) 등의 순서로 중요하다고 응답했다.

기업들은 지속적인 기술 투자를 통해 포괄적인 보안 솔루션을 구축해 악의적인 공격에 대응하고 있다. 업그레이드된 새로운 보안 솔루션에 대한 투자는 2018년에도 지속될 것이나, 한국 응답자의 37%는 직원 교육에 대한 투자가 3대 투자 우선순위 중 하나가 될 것이라고 전망했다.

파트리스 페르쉐(Patrice Perche) 포티넷 월드와이드 세일즈 및 지원 총괄 수석 부사장은 “IT 의사결정권자는 사이버 보안 공격에 대응하기 위해 보안 솔루션의 유지보수 및 업그레이드에 우선순위를 두고 있다”며, “그러나 주목해야 할 점은 다른 부분의 중요성을 여전히 놓치고 있다는 점으로, 특히 자동화, 통합, 전략적 분할 등을 활용하는 보안 접근법을 구현하거나 보안 인식 강화를 위해 직원들을 교육하는 것 등이 시급한 과제”라고 말했다.