사이버 및 데이터 보안은 여러 분야에서 뜨거운 주제입니다. 끊임없이 진화하는 위협으로 인해 기업은 잠재적인 공격으로 인한 피해를 최소화하기 위해 방어와 준비 상태를 지속적으로 살펴보아야 합니다. 그리고 사이버 공격 준비태세에 대해 기업이 밝히는 공개적 입장은 종종 실제 방어 역량 수준을 과장하곤 합니다.
기업들이 주의를 기울기고 있지만 사이버 보안은 많은 투자자들에게 우선적으로 고려되고 있지는 않습니다. 바로 이런 부분이 허점이라고 생각합니다. 특히 거버넌스 문제는 ESG(환경, 사회 및 거버넌스)에 중점을 둔 중요한 구성 요소이기 때문입니다. 준비되지 않은 기업은 비즈니스, 브랜드를 훼손하고 주식 또는 채권의 잠재적인 수익을 손상시킬 수 있는 재정적 손실, 벌금 및 평판 손상의 위험이 있습니다. 저희는 여러 분야의 사이버 보안 전문가들과 대화하고 규제 환경을 검토하여 사이버 위험 관리 평가에 대한 투자자 지침을 제공했습니다.
증가하고 있는 사이버 공격에 따른 복구 비용은?
사이버 공격은 많은 비용을 발생합니다. 사이버 보안 업체인 소닉월(SonicWall)에 따르면 2022년 상반기에 전 세계적으로 최소 28억 건의 맬웨어(악성 소프트웨어) 공격이 기록되었으며 이는 12개월 전 대비 11% 증가한 수치입니다.
포네몬연구소(Ponemon Institute)와 IBM 시큐리티(IBM Security)의 연구에 따르면 데이터 유출에 따르는 복구 비용은 2022년 전 세계적으로 건당 평균 440만 달러에 달했습니다. 복구 비용은 기업시스템의 정교함과 원격 작업이 비용을 증가시키는 요인인지 여부에 따라 다릅니다.
일부 산업은 다른 산업보다 더 위험한 상황에 놓여 있습니다 (하단 그래프). 그러나 온라인상에서는 어떤 기업도 안전하지 않습니다. 위험이 증가함에 따라 규제가 강화되었습니다. 미국에서만 지난 1년간 SEC 사이버 보안 규칙, 중요 인프라에 대한 사이버 사고 신고법(Cyber Incident Reporting for Critical Infrastructure Act, CIRA), 2021년 랜섬웨어금융안정화법(Ransomware and Financial Stability Act) 등 세 가지 새로운 규제가 발표되었습니다. 다른 한편으로 러시아-우크라이나 전쟁이 시작되면서 국가 차원의 사이버 공격이 급증했고 이에 각국 정부는 바짝 긴장하고 있습니다. 이렇게 변화하는 환경에서 기업은 사이버 보안에 대한 문제를 무시할 수 없습니다.
기업에게 가장 큰 위협은 무엇일까?
많은 기업들이 온프레미스(on-prmise, 사내 구축형) 데이터 센터와 보안을 클라우드 기반 솔루션으로 전환하여 위험을 해결하고 있습니다. 상대적으로 작은 클라우드 스토리지 용량을 가진 기업이 시스템을 통일하기 위해 전환함에 따라 속도는 빨라지고 있습니다. 그러나 클라우드 기반 보안은 새로운 문제를 야기합니다. 이에 대해 사이버 보안 전문가로부터 몇 가지 공통된 주제를 찾을 수 있었습니다.
인프라 구축: 기업은 두 가지 주요 딜레마에 직면해 있습니다. 바로 수많은 보안 제공업체와 판매업체들을 살펴본 뒤 적당한 업체를 선정하고, 이를 관리하는 것입니다. 다양한 클라우드 보안 플랫폼을 설치하는 한 공급업체는 엔드포인트 보호에서 클라우드 시스템 매개변수 솔루션에 이르는 다양한 솔루션의 네트워크를 관리하기 위해 단일 대시보드를 만드는 것이 일반적인 문제라고 말합니다. 사용 가능한 유사한 옵션이 너무 많기 때문에 일부 기업은 난감한 상황에 처하고는 합니다. 시간이 지남에 따라 업데이트할 초기 인프라를 구축하는 것 대신 완벽한 업체를 찾는 것은 더욱 많은 시간을 필요로 합니다.
시스템 모니터링, 교육 및 거버넌스: 인프라를 완성한 후 기업은 시스템을 모니터링하고 실행하기 위해 적절하게 훈련된 직원과 시스템을 오류 없이 유지하기 위한 거버넌스 구조가 필요합니다. 다양한 내부 시스템과 보안 공급업체 제품을 합리화하려면 시간과 자원이 필요하며, 많은 주요 보안 제공업체가 소규모 기업을 적극적으로 인수하고 있어 제품이 일치되지 않을 수 있기 때문에 문제는 더욱 복잡해집니다. 이는 시스템의 동기화를 방해할 수 있기 때문입니다.
강력한 사이버 보안 거버넌스 구조를 정의하는 것은 무엇일까요? 첫째, 사이버 전문 분야가 익숙치 않은 이사회 임원들에게 전문용어를 사용하지 않으면서 한눈에 들어오는 보고서를 작성하는 것은 필수적이라고 생각합니다. 마찬가지로 "높음, 중간, 낮음" 위험을 분류하는 간단한 매트릭스와 완화 조치 및 위협 분류에 대한 보고서가 도움이 됩니다. 법률 고문, 이사회 및 비즈니스 관리자는 거버넌스가 자리잡음에 따라 정보 보안 팀과 더 자주 상호 작용해야 합니다. 시스템을 실행하고 모니터링하는 직원까지 관리 감독의 범위를 확대해야 합니다. 그리고 기업은 자신이 선택한 공급업체가 중요하다는 사실을 인식해야 합니다. 보다 일반적인 서비스에는 시스템을 실행할 수 있는 더 많은 전문가가 있습니다.
구현/자원 비용 증가: 다수의 최고정보관리책임자(Chief Information Officer, CIO)는 비용 문제로 어려움을 겪고 있다고 말했습니다. 경우에 따라 엔지니어는 한 서버에서 하나의 변경만을 적용해 시간이 지남에 따라 전체 시스템의 전체 비용을 크게 증가시킬 수 있습니다. 게다가 많은 공급업체가 강력한 사이버 보안 인프라를 모니터링하고 유지 관리하는 데 드는 비용 증가에 대해 명확하게 설명하지 않습니다. 직원 충원 검토 및 미래 지향적인 인프라 비용 모델은 특히 전용 사이버 자원이 적은 기업에서 이러한 위험을 피하는 데 도움이 될 수 있습니다. 사이버 보험 비용은 또 다른 요소입니다. 신규 사업자 추가, 시스템 업데이트, 보장범위 축소 시 보험혜택이 축소될 수 있습니다. 예를 들어, 국제적 보험업자 협회인 런던로이즈(Lloyd’s of London)은 최근 정부가 지원하는 사이버 공격에 대한 보험 판매를 중단하겠다고 발표했습니다.
투자자는 사이버 위험 관리를 어떻게 평가할 수 있을까?
투자자는 올바른 질문을 하고 예산에 집중하여 기업의 사이버 전략과 조치를 측정해야 합니다. 사이버 문제는 이사회에 어떻게 보고되는가? 리스크는 어떻게 확대되며 모니터링되고 있는가? 어떤 유형의 시스템 테스트 및 대응 계획이 구현되고 있는가? 직원들은 공격에 대비하고 있는가? 등이 그러한 질문들의 예입니다.
이사 및 경영진과의 논의를 통해 사이버 능력에 대한 중요한 증거를 얻을 수 있습니다. 최근 기업들과의 대화에서 우리는 위험에 대한 강한 인식을 가진 기업이 주제에 대해 더 기꺼이 논의하고 거버넌스, 보고 및 교육에 대한 세부 정보를 제공한다는 사실을 발견했습니다. 모호하거나 표준적인 응답은 기업이 위협에 대한 준비가 덜 되어 있고 다른 기업보다 뒤떨어져 있으며 공격에 더 취약하다는 것을 나타냅니다. 사이버 예산은 전략과 행동에 대한 중요한 통찰력을 제공합니다. 사이버 보험, 자원 조달, 벤더 또는 사내 구축 관련 지출에 대한 투명성은 전체적인 그림을 완성하는 데 도움이 됩니다.
복잡한 위협에는 일관된 전술이 필요함
위협이 증가함에 따라 기업은 사이버 공격에 대처하고 데이터와 시스템을 보호하기 위한 노력을 강화해야 합니다. 중소기업은 상대적으로 사이버 보안이 초기 단계에 있고 시스템에 공격을 유발할 수 있는 공백이 있기 때문에 더 큰 위험에 직면할 수 있습니다.
모든 규모의 기업에 대해 투자자는 사이버 시스템을 면밀히 조사하고 보안에 대한 거버넌스, 자원 조달 및 보고를 더 깊이 파고들어야 합니다. 각 영역에서 일관된 전략을 통해 기업은 사이버 공격을 예방하고 대응할 준비가 더 잘 될 것입니다. 이러한 문제에 대해 경영진과 정기적으로 소통함으로써 투자자는 기업의 사이버 보안 프로필을 포트폴리오 후보 및 보유 자산에 대한 보다 광범위한 위험 평가에 통합할 수 있습니다.
상기 견해는 AB 내 모든 운용팀의 견해를 나타내는 것은 아니며 추후 수정될 수 있습니다. 본 자료는 정보 제공만을 목적으로 하고 있으며, 특정 증권 및 상품의 매수∙매도 권유, 투자 조언 또는 추천으로 해석되어서는 안 됩니다. 본 자료에 제시된 견해 및 의견은 AB의 내부적 예측에 기초하며, 미래 시장 성과에 대한 지표로 삼을 수 없습니다. 이 자료에서 언급한 어떤 전망이나 견해도 실현된다는 보장은 없습니다.