VM웨어 코리아(대표 전인호)는 지난 26일 본사 발표를 인용, 컨설팅 기업 딜로이트(Deloitte)에 의뢰해 아시아 태평양 지역(이하 아태지역) 12개 국가의 사이버 보안 위협과 준비 수준 등을 분석한 ‘사이버 스마트: 아시아태평양 지역 기업 보고서(VMware-Deloitte’s Cyber Smart: Enabling APAC businesses report)’를 발표했다.

이 보고서는 각 국가별 사이버 위협 노출 정도를 분석한 ‘사이버 보안 노출 인덱스(Cyber Exposure Index)’와 이같은 위협의 대비 수준을 평가한 ‘사이버 보안 준비 인덱스(Cyber Preparedness Index)’를 통해 증가하는 사이버 위협에 국가와 기업이 선제적으로 대비할 수 있는 통찰을 제공한다.

보고서에서 한국은 사이버 보안 노출 위험이 높은 국가 2위에 올라 사이버 공격에 상대적으로 취약한 것으로 드러났으며, 사이버 위협에 대한 준비 수준은 아태지역 국가의 평균으로 나타났다.

◆사이버 보안 노출 인덱스(Cyber Exposure Index) = 사이버 공격은 기업의 비즈니스 영위에 영향을 미치는 주요 위협 중 하나로 인식되고 있다.

보고서에 따르면, 아태지역 기업 중 50%가 지난 12개월 동안 보안 공격을 경험한 바 있으며, 63%가 보안 침해로 비즈니스 붕괴(business disruption)를 경험했다고 답했다.

아태 지역의 디지털 경제는 지속적으로 성장하고 있으며 사회 전반에서 다양한 기술이 도입되면서 사이버 공격에 영향을 미치는 요인 또한 다양해지고 있다.

사이버 보안 노출 인덱스는 크게 공격 노출 부분과 위협 가치 측면으로 나눠 평가했다.

공격 노출 부분의 경우 ICT 사용률과 가정 및 기업, 정부에서의 기술 활용을 기반으로 측정했으며, 위협 가치는 국가별 경제 규모와 산업 구조, 보안 전략 이슈 등을 고려했다.

사이버 보안 노출 인덱스에서 한국은 73점으로 싱가폴(75점)에 이어 2위를 기록하며 상대적으로 많은 보안 위협에 노출된 것으로 나타났다.

이는 한국의 높은 인터넷 사용률과 기업 및 정부 부문에서의 폭넓은 기술 사용이 오히려 사이버 공격에 취약한 환경을 조성했기 때문이라고 보고서는 평가했다.

이 외에 일본(72점), 호주(68점), 뉴질랜드(61점)가 높은 점수를 받은 반면, 스리랑카(50점), 베트남(50점), 인도네시아(46점)가 가장 낮은 순위를 기록해 기술 발전 수준이 높고 도입이 빠른 국가일수록 더 많은 사이버 보안 위협에 노출된 것을 알 수 있다.  

◆사이버 보안 준비 인덱스(Cyber Preparedness Index) = 사이버 보안 준비 인덱스는 사이버 공격에 대해 국가와 기업의 준비 수준을 분석했다.

사이버 보안 준비 인덱스 점수는 국가별 사이버 보안 관련 모범 사례를 기반으로 사이버 위협을 예방하고 대응하는 기업의 전략과 입법 환경의 정교함 정도에 의해 결정됐다.

보고서에 따르면, 싱가폴이 84점으로 1위를 기록했으며 일본이 2위(74점), 호주 3위(73점), 말레이시아 4위(72점), 뉴질랜드 5위(65점)에 각각 올랐다.

한국은 R&D 투자와 사이버 위협에 대한 빠른 대응을 인정받아 사이버보안 준비 인덱스에서 63점으로 6위에 오르며 12개 국가 중 중위권을 기록했다.

보고서는 한국 정부가 사이버 공격에 대한 심각성을 이해하고 사이버 보안 전략을 재평가하고 있으며, 국가사이버안전센터, 한국인터넷진흥원(KISA), 경찰청 사이버테러대응센터 등 기관을 통해 사이버 공격과 보안 위협을 식별하고 대응 및 예방하고 있다고 설명했다.

◆디지털 경제 성장을 위한 정부와 기업의 역할 = 디지털 경제가 발전하면서 사이버 공격으로 인한 기업의 피해 규모는 갈수록 증가하고 있다.

보고서에 따르면 한 건의 사이버 공격으로 직원 수 250명 이상 500명 이하 중소기업의 경우 최소 9만 6000달러(한화 약 1억 1600만원)의 손해를 입을 수 있으며, 500명 이상의 직원을 보유한 대기업은 피해액이 3000만 달러(한화 약 364억 5000만원) 이상으로 증가한다. 

사이버 공격에 따른 사회적 비용을 최소화하고 안전한 디지털 경제를 촉진하기 위해서는 공공 및 민간 부문에서의 역할과 책임이 요구된다.

보고서에 따르면, 아태 지역 12개 국가의 기업이 내재적 보안 전략 구축을 통해 비즈니스 연속성을 보장하고 신기술을 적극 도입할 시 전체 국내총생산(GDP)은 향후 10년 내 1450억 달러(한화 약 176조 1750억원) 규모로 성장할 것으로 예상된다. 

아울러 보고서는 국가 기관이 기업의 비즈니스를 안정적으로 보호할 수 있는 환경과 포괄적인 입법 프레임워크를 마련해 디지털 기술의 잠재력을 혁신하고 극대화할 수 있도록 지원해야 한다며 선도적인 사이버 전략 수립, 사이버 보안 인력 양성 등 정부의 역할을 강조했다.

특히, 기업이 비즈니스 연속성을 보장하는 동시에 빠르게 신기술을 도입하기 위해서는 내재적 보안 전략의 수립이 무엇보다 중요하다고 강조했다.

최근 기업의 애플리케이션이 다수의 클라우드 전반에서 배포되고 다양한 위치와 기기에서 접속되면서 보안을 탑재하는 기존 방식이 더 이상 유효하지 않게 됐다.

이에 기업은 최신 내재적 보안 전략을 수립해 위협을 추적하는 대신 공격 표면을 감소시켜 잠재적인 공격자에 대한 우위를 확보할 수 있다. 

이같은 보안 트렌드는 모든 애플리케이션, 모든 클라우드, 모든 기기 전반에서 보안을 제공하는 VM웨어의 내재적 보안 전략과 맥을 같이 한다.

VM웨어의 내재적 보안은 클라우드, 데이터 센터, 엔드유저 및 엔터프라이즈 엣지 전반에서 공격 표면을 축소, 크리티컬 애플리케이션, 민감한 데이터, 유저에 대한 위험을 낮춰 기업이 효과적인 사이버 보안 전략을 수립하도록 지원하며 국가의 디지털 경제의 성장을 도모한다.

던컨 휴엣(Duncan Hewett) VM웨어 수석 부사장 겸 아시아 태평양 지역 총괄 사장은 “한국을 포함한 아태지역에서 디지털 경제가 빠르게 성장하면서 모바일 인력에 대한 전례 없는 수요가 기업에 전환점이 되고 있다”며 “이같은 새로운 패러다임에서 기업은 내재적 보안 전략을 수립해 비즈니스 연속성을 보장할 수 있어야 한다”고 전했다.

휴엣 부사장은 “이를 위해 VM웨어는 기업의 주요 제어 포인트를 모두 포괄하는 선제적이고 자동화된 내재적 보안을 제공해 미래 기업이 디지털 혁신을 지속할 수 있도록 지원한다”고 덧붙였다.  

<김동기 기자>kdk@bikorea.net