글로벌 보안업체, “사이버 전략 수립도 어렵고, 실행은 더 힘들어”
“내부 전략의 부재, 보안강화 위해 외부 전문 보안업체 의존 많아”
[중소기업투데이 이상영 기자] 국내외를 막론하고, 중소기업들은 사이버보안에 취약할 수 밖에 없다. 체계적인 사이버 보안 전략 계획을 수립하는 것도 쉽지않고, 이를 실행하는 것은 더욱 어렵다.
이는 전세계적으로도 공통된 현상이다. 실제로 글로벌 보안업체 카스퍼스키랩의 분석에 따르면, 평균적으로 중소기업의 3분의 2 이상은 완벽하게 실행할 수 있는 사이버 보안 전략을 갖추지 못한 것으로 나타났다. 그나마 중소기업들 나름대로 폭증하는 보안 위협에 대처하기 위한 이론적 계획은 수립했지만, 이를 구체적으로 실현하는 것은 매우 힘들다는 지적이다.
카스퍼스키랩은 “현실이 그렇다보니, 날로 사이버 공격은 심해지는 환경에서 많은 중소기업들이 더욱 공격 위험에 많이 노출될 수 밖에 없다”고 경고했다.
특히 카스퍼스키랩는 “사이버 보안은 이론에만 그쳐서는 안 된다”고 했다. 이 회사 연구 결과에 따르면 많은 중소기업들은 최대한 보안 전략을 구축하려고 하지만, 그 마저도 대부분 서류상으로만 존재하는 것으로 나타났다.
이는 중소기업 안팎의 환경요인이나 기업문화가 바람직한 사이버 보안 전략을 구축하는데 적절하지 못한 경우가 많기 때문이다. 무엇보다 사이버 보안의 중요성에 대한 내부 구성원들의 인식 차이다. 대표이사를 비롯한 임원진 등과 실제 현장의 전산 파트나 IT 부서 간에 ‘사이버위협에 대한 경각심’이 큰 차이가 있다는 지적이다. 경영진은 대체로 이에 대한 인식이 희박한 경우가 많다는 지적이다.
그 결과 IT 부서와 책임자들 상당수가 불만이 높다. 경영진들이 사이버 보안의 전략적 중요성을 제대로 이해하지 못한다는 것이다. 이로 인해 사내 전체를 대상으로 한 효과적이고 체계적인 보안 시스템을 강화하는데 한계가 있다는 지적이다.
이에 중소기업들은 흔히 외부 전문 업체(IT업체 등)에 사이버보안을 의존하고 있는 경우가 많다는 지적이다. 실제로 카스퍼스키랩이 조사한 중소기업들의 3분의 1 이상이 외부 사이버 보안 파트너와 협력하고 있는 실정이다.
외부 전문업체에 의존, 장기적으로 지속 가능한 보안 전략을 수립하는 경우가 많다. 이런 ‘매니지드 서비스업체’들의 경우 해당 업체들은 특히 ‘피싱’과 같은 위협을 방어하고, 회사를 보호하기 위해 지속적으로 교육을 제공하는게 중요하다. 또 사고가 발생할 경우 이에 대응할 수 있는 파트너십 또한 중요하다.
그럼에도 불구하고, 일부 IT 부서에선 자체적인 내부 전략 수립을 추진하고 있다. 그러나 이런 일이 많은 기업들에게 말처럼 쉽지만은 않다. 카스퍼스키는 “특히 IT 책임자들이 일상 업무에 쉽게 통합될 수 있는 ‘실용적이고 측정 가능한’ 보안 관행을 구현하는 데 주력해야 한다”고 강조했다. 카스퍼스키는 또한 “그러기 위해선 처음엔 소규모로 시작해 점진적으로 확장하는 방식이 탄탄한 장기 전략을 구축하는 최선의 방법”이라며 “직원을 위한 사이버 인식 교육이나 훈련에 대한 투자 또한 중요하다”고 강조했다.