기술 도입 지연과 보안 교육 축소, 사이버 위험 키운다
기술 도입 지연과 보안 교육 축소, 사이버 위험 키운다
기술 업그레이드, 보안 교육, 비즈니스 이니셔티브를 지원하기 위한 보안 예산이 부족하면 비즈니스가 공격에 더 취약해진다는 조사 결과가 발표됐다. 보안 시각화 업체 스플렁크가 유럽, 미국,
www.itworld.co.kr
- 보안 예산 삭감의 주요 유형과 위험
- 기술 업그레이드 연기 시 62%의 사례에서 보안 침해 발생
- 보안 교육 축소 시 45%가 실제 공격 피해 경험
- 보안 인력 동결, 툴 제거보다 교육 및 기술 지연이 더 치명적임
- 비즈니스 이니셔티브 지원 실패 시 64%가 보안 침해 겪음
- 기술 업그레이드 지연의 부작용
- 최신 기능 부족으로 클라우드 전환 등 디지털화에 따른 취약점 증가
- 구식 시스템 의존으로 보안 부채 확대
- 실제 기업의 52%가 업그레이드 지연을 경험했으며, 이 중 절반 이상이 보안 사고 발생
- 보안 교육 축소의 위험성
- 직원 보안 인식 저하, 피싱 및 설정 오류에 취약
- 전체적인 보안 문화 약화
- 예산 부족으로 36%가 교육 축소, 이 중 45%가 보안 침해 경험
- 보안 지원 부재와 비즈니스 리스크
- AI 도입 등 빠른 디지털 이니셔티브 진행 시 보안 고려 부족
- 사후 보안 도입은 '보안 설계(Security by Design)'보다 더 낮은 효과
- 보안 없는 신기술 도입은 조직 전체를 위협에 노출시킴
- CISO와 이사회 간의 단절
- 보안 예산 충분하다고 생각하는 비율: 이사회 41%, CISO 29%
- 이사회는 보안을 전술적 항목으로 간주하는 경향
- CISO는 보안 ROI를 비즈니스 성과로 연결해 설명할 필요
- 전문가 조언 및 전략
- 사이버보안은 단순한 비용이 아닌 비즈니스 성장의 전략적 수단
- 고정 인력 운영은 번아웃과 탐지율 저하를 초래
- 자금 미지원 프로젝트는 새로운 위험 수용과 위원회 보고 필요
- 중복 솔루션 제거, 서드파티 리스크, 멀티 클라우드 구성 오류 등 장기 전략 수립 필요
- 보안 강화를 위한 기본 조치
- 훈련, 패치, 재해 복구, 사고 대응, 규정 준수 모니터링은 보안의 기본
- 단일 도구 구매보다 사람, 프로세스, 준비성에 대한 투자 수익이 큼
- 운영 탄력성과 위험 감소는 도구보다는 조직의 대응능력에서 비롯됨
- 결론
- 보안 예산 삭감 시 교육 및 기술 도입 축소는 가장 큰 위험 요소
- CISO는 기술적 언어가 아닌 경영적 언어로 보안의 가치를 설명해야 함
- 사이버 위험을 줄이기 위한 투자 정당화는 모든 보안 책임자의 핵심 과제
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 교통카드 이용 데이터 첫 개방과 개인정보 보호 조치 (0) | 2025.05.02 |
|---|---|
| 금보원, ‘금융권 AX’ 지원할 전문 인력 양성 (0) | 2025.05.02 |
| 브라우저 중간자 공격(BitM) 대응, FIDO2 인증이 핵심 (0) | 2025.05.02 |
| 악성 문서 기반 공격 급증…CDR 기술로 금융권 보안 강화 필요 (0) | 2025.05.02 |
| 북한 해킹조직, 스파이보다 금전 탈취 목적 강화…한국 제조업도 주요 표적 (1) | 2025.05.02 |