글로벌 사이버 보안 기업인 포티넷 코리아는 2일 전세계 조직에 영향을 미치는 사이버 보안 기술 부족과 관련된 지속적인 문제를 조명한 '2024 글로벌 사이버 보안 기술 격차 보고서(2024 Global Cybersecurity Skills Gap Report)'를 발표했다.
이 설문조사는 기술(21%), 제조(15%), 금융 서비스(13%) 등 다양한 산업 분야에 종사하고 있는 29개 국가 및 지역의 1,850명 이상의 IT 및 사이버 보안 의사결정권자를 대상으로 진행되었다.
‘2024 글로벌 사이버 보안 기술 격차 보고서’의 주요 결과는 다음과 같다.
-기업들은 점점 더 사이버 기술 격차로 인한 보안 침해를 경험하고 있다.
-보안 침해는 지속적으로 기업에 큰 영향을 미치고 있으며, 보안 침해 발생 시 경영진이 불이익을 받는 경우가 증가하고 있다.
-고용주들은 사이버 보안 기술과 지식을 검증할 수 있는 자격증(Certifications)에 대해 지속적으로 높이 평가하고 있다.
-기술 부족 문제를 해결하기 위해 다양한 인재 풀에서의 채용 기회는 아직 많이 남아 있다.
사이버 기술 격차는 전세계 기업들에게 지속적으로 영향을 미치고 있다.
포티넷 측은 “증가하고 있는 사이버보안 인재 격차를 메우기 위해서는 약 400만 명의 전문가가 필요한 것으로 추정되고 있다”고 강조하기도 했다.
포티넷의 ‘2024 글로벌 사이버 보안 기술 격차 보고서(2024 Global Cybersecurity Skills Gap Report)’에 의하면 조직의 70%가 사이버 보안 기술 부족으로 인해 조직에 추가적인 위험이 발생하고 있다고 답했다. 기술 격차의 확대가 전세계 기업들에게 미치는 영향을 보여주는 다른 조사 결과는 다음과 같다:
>기업들은 사이버 기술 부족으로 인해 더 많은 침해 사고를 경험하고 있다.
지난해 조직 리더의 약 90%(한국 82%)가 사이버 기술 부족으로 인한 침해 사고를 경험했다고 답했는데, 이는 2023년 보고서의 84%, 전년도의 80%보다 증가한 수치이다.
>보안 침해는 재정적 문제부터 기업 명성에 이르기까지 기업에 상당한 영향을 미친다.
올해 조사에 의하면 사이버 사고에 대한 기업 리더의 책임이 점점 더 커지고 있으며, 응답자의 51%(한국 52%)는 사이버 공격으로 인해 경영진이나 디렉터가 벌금, 징역형, 직위 상실 또는 실직에 이르는 경우가 많다고 답했다. 또한, 응답자의 50%(한국 66%) 이상이 지난해 사이버 침해로 인해 조직이 100만 달러 이상의 매출 손실, 벌금 및 기타 비용을 지출했다고 답했는데, 이는 2023년 보고서의 48%, 전년도의 38%보다 증가한 수치이다.
>이사회는 사이버 보안을 비즈니스의 필수 요소로 간주하고 있다.
경영진과 이사회는 사이버 보안을 점점 더 우선시하고 있으며, 응답자의 72%(한국 50%)는 이사회가 2023년에 전년도보다 보안에 더 중점을 두었다고 답했다. 또한, 응답자의 97%는 이사회가 사이버 보안을 비즈니스 우선 순위로 보고 있다고 답했다.
채용 관리자, 지속적인 학습과 자격증 중시
비즈니스 리더들은 자격증(certification)을 사이버 보안 지식을 검증하는데 사용하며, 자격증을 보유하고 있거나, 자격증의 명확한 이점을 알고 있는 이들과 협력하고 있다. 올해 설문조사에서도 이러한 사실을 확인할 수 있었다:
>자격증(certification)을 보유한 지원자가 돋보인다.
응답자의 90% 이상(한국 100%)이 자격증 소지자를 채용하는 것을 선호한다고 답했다.
>리더들은 자격증(certification)이 보안 태세를 향상시킨다고 믿고 있다.
응답자의 89%(한국 92%)가 직원의 사이버 보안 자격증 취득을 위해 비용을 지불할 의향이 있다고 답할 정도로 자격증에 높은 가치를 부여하고 있다.
>자격증을 보유한 지원자를 찾는 것은 쉽지 않다.
응답자의 70%(한국 84%) 이상이 기술 중심 자격증을 보유한 지원자를 찾기가 어렵다고 답했다.
사이버 보안 인재를 위해 채용 기준을 확대하는 기업 증가
사이버 인력 부족이 지속됨에 따라 일부 조직에서는 새로운 인재를 채용하고 공석을 메우기 위해 사이버 보안 또는 관련 분야에서의 4년제 학위와 같이 전통적인 조건을 벗어나, 자격증을 가진 지원자를 포함시키고자 채용 풀을 다양화하고 있다. 이러한 채용 요구사항을 바꾸면, 특히 조직이 인증 및 교육 비용을 기꺼이 지불할 의향이 있는 경우, 새로운 가능성을 맞이할 수 있다. 보고서는 다음과 같은 사실을 강조했다.
>조직들은 다양한 인재 풀에서 채용하기 위한 프로그램을 지속적으로 운영하고 있다.
응답자의 83%(한국 82%)는 조직에서 향후 몇 년간 다양성 채용 목표를 수립했다고 답했는데, 이는 작년 보고서와 비슷하지만 2021년 89%보다는 소폭 감소한 수치이다.
>다양성 채용은 해마다 달라진다.
지속적인 채용 목표에도 불구하고 여성 채용은 2022년 89%, 2021년 88%에서 85%로 감소했다(한국은 2022년 52%에서 2023년 34%로 대폭 감소). 소수자(minority) 그룹 채용은 68%로 변동이 없으며, 2021년 67%에서 소폭 증가했다(한국은 2022년 56%에서 2023년 50%로 감소). 제대군인(veteran) 채용은 2022년 47%에서 49%로 소폭 증가했으나, 2021년 53%보다는 감소한 수치이다(한국은 2022년 48%에서 2023년 44%로 감소).
>일부 조직에서는 여전히 전통적인 배경을 가진 지원자를 선호하는 것으로 나타났다.
많은 응답자들이 자격증을 중요하게 생각한다고 답했지만, 71%(한국 76%)의 조직은 여전히 4년제 학위를 요구하고 있으며, 66%(한국 66%)는 전통적인 교육 배경을 가진 지원자만 채용하고 있는 것으로 나타났다.
사이버 회복탄력성을 구축하기 위해 3가지 접근 방식을 취하는 조직들
고비용으로 이어지는 사이버 공격의 빈도가 증가하고, 사이버 공격이 이사회 멤버와 디렉터에게 심각한 개인적 피해를 입힐 가능성이 높아지면서 기업 전반에서 사이버 방어를 강화해야 한다는 요구가 더욱 커지고 있다. 이에 따라 기업들은 교육, 인식, 기술을 결합한 사이버 보안에 대한 3가지 접근 방식에 집중하고 있다:
>IT 및 보안 팀이 목표를 달성하는데 필요한 교육 및 인증에 투자하여 중요한 보안 기술을 습득할 수 있도록 지원하라.
>일차 방어선으로서 조직의 보안을 강화하는데 기여할 수 있는 사이버 인식을 갖춘 일선 직원을 양성하라.
>효과적인 보안 솔루션을 사용하여 강력한 보안 태세를 유지하라.
포티넷은 기업들이 이러한 목표를 달성할 수 있도록 포티넷 보안 패브릭 플랫폼(Fortinet Security Fabric)을 통해 50개 이상의 엔터프라이즈급 제품으로 구성된 최대 규모의 통합 포트폴리오를 제공하고 있다.
포티넷 최고마케팅책임자(CMO)인 존 매디슨(John Maddison) 수석 부사장은 “이번 ‘글로벌 사이버 보안 기술 격차 보고서’는 기술 격차를 해소하기 위한 협력적이고 다각적인 접근 방식의 필요성을 강조하고 있다”며 “오늘날의 복잡한 위협에 대응하고 리스크를 효과적으로 완화하기 위해 기업들은 최적의 보안 기술을 활용하고, 교육 및 인증을 통해 기존 보안 전문가의 역량을 강화하며, 사이버 인식 인력을 양성하는 전략적 조합을 적용해야 한다”고 전했다.
한편 '2024 글로벌 사이버 보안 기술 격차 보고서(2024 Global Cybersecurity Skills Gap Report)' 전문은 웹사이트에서 다운받을 수 있다.
