SINGAPORE, July 11, 2017 (GLOBE NEWSWIRE) -- 수많은 글로벌 비즈니스 의사 결정권자들이 곧 발효될 일반개인정보보호규정(GDPR)뿐만 아니라 PCI-DSS 및 ISO27001/2와 같은 기타 준법감시 규정이 미칠 영향을 인식하지 못하고 있는 것으로 밝혀졌다. 아울러 기업 중역 5명 중 1명은 자사 조직에 어떤 규정이 적용되는지 알지 못하고 있는 것으로 나타났다. 이러한 조사 결과는 NTT 그룹의 전문 보안 계열사인 NTT Security가 비즈니스 관련 리스크 및 정보보안 가치에 대한 기업의 태도를 조사하기 위해 의뢰한 2017년 Risk:Value(리스크:가치) 보고서에서 밝혀진 내용이다.
11개국의 비 IT 기업 임원 1,350명을 대상으로 실시한 이 설문조사에 따르면, 전 세계적으로 응답자 10명 중 단 4명 꼴로(40%) 유럽연합의 GDPR 규정이 자사에 적용될 것으로 믿고 있는 것으로 나타났다. 이번 조사에서 가장 우려되는 부분은 아마도 자사에 적용되는 준법감시 규정이 무엇인지 모른다고 인정한 중역이 5명 중 한 명(19%)에 이른다는 사실일 것이다. 영국에서는 응답자 중 단 39%만이 GDPR을 준법감시 사안으로 파악하고 있었으며, 20%는 모른다고 응답했으며, 유럽 외부 지역의 기업임원들의 인지도는 더욱 낮았다. 유럽 시민 관련 데이터를 보유하거나 수집하는 모든 비즈니스에 GDPR이 적용됨에도 불구하고, 미국의 비즈니스 의사결정권자 중 1/4, 호주의 경우 26%, 홍콩의 경우 29%만이 GDPR이 자사에 적용될 것으로 믿고 있었다.
이 법안은 2018년 5월 25일에 발효될 예정이므로, 기업들이 데이터 프라이버시 및 보안에 관한 이 엄격한 새 규정을 준수하는 데 필요한 준비를 갖출 시간이 1년도 채 남지 않았으며, 규정 위반 시 최대 2천만 유로 또는 연간 글로벌 매출액의 4% 중 더 큰 금액의 벌금에 처할 수 있다.
데이터 관리 및 저장이 GDPR의 핵심 구성요소인 가운데, 리스크:가치 보고서는 응답자의 1/3이 자사의 데이터가 저장되는 위치를 알지 못하며, 겨우 47%만이 자사의 모든 중대한 데이터가 안전하게 저장되고 있다고 응답했다는 조사 결과도 밝혔다. 자사의 데이터가 저장된 위치를 알고 있다고 대답한 응답자 중, 이 새로운 규정이 자사의 데이터 저장 방식에 어떤 영향을 미칠지 '확실히 인지하고 있다'고 밝힌 응답자는 절반 미만(45%)에 불과했다. 금융서비스 및 은행, 컴퓨터서비스 및 기술 업계 중역들이 자사의 데이터가 저장되는 위치와 자사에 적용되는 준법감시 규정을 가장 잘 알고 있었다.
"불확실한 세상에서 한 가지 확실한 것이 있는데, 그것은 2018년 5월 25일을 자신의 캘린더에 표시해둬야 한다는 것입니다"라고 NTT Security의 보안전략 및 동맹 담당 SVP Garry Sidaway는 언급했다. "GDPR은 유럽의 데이터 보호 규정이지만, 이 규정은 유럽에 거주하는 개인으로부터 개인적으로 식별 가능한 데이터를 수집하거나 보관하는 전 세계 모든 기업에 직접적인 영향을 미칠 것입니다. 당사의 보고서는 상당수가 아직 GDPR을 인지하지 못하고 있거나 무시하고 있음을 명백히 보여주고 있습니다. 유감스럽게도 다수 기업이 준법감시 업무를 가치는 적거나 아예 없으면서 비용만 많이 드는 사안으로 간주합니다. 하지만 규정을 준수하지 않을 경우, 비즈니스를 잃거나, 규제당국에 거액의 벌금을 지불하는 상황이 발생할 수 있습니다"라고 덧붙였다."
위협의 정량화 – 평판, 매출 및 사임
- 8명의 응답자 중 1명은 취약한 정보보안이 사업에 대한 '가장 큰 단일 리스크'라고 생각한다고 응답했다. 응답자들이 가장 많이 언급한 리스크는 '경쟁사가 시장점유율을 빼앗는 것'(28%)으로 나타났다.
- 리스크:가치 보고서에 따르면 의사결정권자의 57%는 어느 시점에서는 데이터 유출이 불가피하다고 생각하는 것으로 나타났다.
- 데이터 유출 사고가 미치는 영향은 이중적일 것으로 예상했다. 응답자들은 데이터 유출 사고가 자사의 장기적 사업 역량에 영향을 미치는 동시에, 단기적인 재정 손실을 수반할 것으로 예상했다. 응답자 중 절반 이상(55%)이 고객 신뢰도 훼손, 기업 평판 훼손(51%), 재정 손실(43%)을 언급했고, 13%는 직원 이탈, 9%는 고위 중역의 사임에 따른 영향을 받을 것이라고 인정했다.
- 이러한 손실을 회복하는 데 필요한 평균 예상비용은 2015년 90만7천 달러에서 2017년 135만 달러로 증가했다.
- 매출에 미치는 영향은 2015년의 추정치 12.51%에서 감소했지만, 여전히 상당한 수준인 9.95%인 것으로 나타났다.
- 의사결정권자 중 겨우 절반을 넘는 응답자(56%)가 보안 공격 예방을 정기적인 이사회 의제로 다루고 있다고 밝혀, 이사회 차원에서 경각심을 높이려면 더 많은 노력이 필요함을 이 보고서는 시사하고 있다.
- 비록 2015년의 13%와 2014년의 10%에 비해 증가한 수치이기는 하지만, 응답자들은 평균적으로 자사의 IT 예산 중 단 15%만 정보보안에 지출되고 있는 것으로 추정했다. 응답자 다수는 R&D(31%), 영업(28%) 및 마케팅(27%) 비용에 비해 보안 지출이 적다고 응답했다.
보안 문화 견인의 필요성
- 비즈니스 의사결정권자 중 56%는 자신의 조직이 공식 정보보안 정책을 시행하고 있다고 응답하여, 2015년 52%에서 소폭 증가한 것으로 나타났다. 1/4이 약간 넘는(27%) 응답자가 현재 공식 정보보안 정책을 도입 중이라고 응답했으며, 1%는 그러한 정책이 없거나 도입할 계획이 없다고 응답했다.
- 하지만 대다수 응답자(79%)가 자사의 보안 정책이 내부에서 활발하게 소통되고 있다고 응답한 반면, 소수 응답자(39%)만이 자사 직원들이 그러한 정책을 완전히 파악하고 있다고 응답했다. 독일과 오스트리아(85%)는 미국(84%), 영국(83%)과 함께 직원과의 정책 소통에 있어 평균 이상의 수준을 보였다.
- 공식적인 정보 관련 정책을 갖춘 응답자의 비율은 국가별로 고르지 않은 분포를 보였다. 스웨덴의 경우 30%에 불과하지만, 영국에서는 72%가 공식적인 정보 관련 정책을 시행 중이라고 응답했다. 섹터별로는 헬스케어 기업 중 69%가 공식 정보보안 정책을 보유하고 있다고 응답해 1위를 기록했다. 금융 섹터가 약간 낮은 (66%)로 2위에 올랐다.
- 응답자의 31%가 사고 대응 계획을 수립 중이지만, 사고 대응 계획을 보유하고 있는 조직은 절반 미만(48%)이었다. 그러나 의사결정권자 응답자 중 단 47%만이 사고 대응 계획에 어떤 조치가 포함되는지 완전히 인지하고 있었다.
2017년 리스크:가치 보고서 다운로드: www.nttsecurity.com/RiskValue2017.
리스크:가치 관련 추가 자료: https://www.nttcomsecurity.com/en/templates/WideangleLandingPage.aspx?p=2875&pv=14629.
편집자 유의사항:
리서치 인구통계
NTT Security가 의뢰한 2017년 리스크:가치 리서치는 2017년 3월과 5월 사이, Vanson Bourne에 의해 진행되었음. 미국, 영국, 독일, 오스트리아, 스위스, 프랑스, 스웨덴, 노르웨이, 홍콩, 호주 및 싱가포르에서 1,350명의 비 IT 비즈니스 의사결정권자 (최고경영자급 결정권자 35%)를 상대로 설문조사를 실시하였음. 500명 이상의 직원을 보유한 조직을 대상으로 했으며, 여러 핵심 산업 섹터에 걸쳐 대상을 선정하였음. 전체 응답의 약 1/3이 금융서비스 섹터에서 수집되었음.
Vanson Bourne 소개
Vanson Bourne은 기술 섹터에 특화된 독립적인 시장 리서치 전문 기업입니다. 강력하고 신뢰도 높은 당사의 리서치 기반 분석에 대한 높은 평판은 엄격한 리서치 원칙, 그리고 다양한 기술 및 비즈니스 직능 전반에 걸쳐, 모든 비즈니스 섹터와 주요 시장에서 활동하는 고위 의사결정권자들의 의견을 수집할 수 있는 당사의 역량에 그 토대를 두고 있습니다. 자세한 정보는www.vansonbourne.com 페이지를 참고하십시오.
NTT Security 소개
NTT Security는 NTT Group 산하의 특화된 보안 기업입니다. 임베디드 보안 기능을 갖춘 당사는 그룹 계열사(Dimension Data, NTT Communications 및 NTT DATA)를 통해, 고객의 디지털 전환 요건을 충족하는 탄력적인 비즈니스 솔루션을 제공합니다. NTT Security는 10개의 SOC(보안운영센터)와 7개의 R&D 센터, 그리고 1,500여 명의 보안 전문가를 보유하고 있으며, 6개 대륙에 걸쳐 매년 수십만 건의 보안 사고를 처리합니다.
NTT Security는 현지 자원과 당사의 글로벌 역량을 최대한 활용하여, NTT 그룹 회사들을 위하여 컨설팅과 매니지드 서비스(managed service)를 적절하게 조합하여 제공함으로써 자원을 효과적으로 활용합니다. NTT Security는 전 세계 최대 규모의 정보통신기업 중 하나인 NTT 그룹(Nippon Telegraph and Telephone Corporation)의 계열사입니다. 자세한 내용은 nttsecurity.com 페이지를 참고하십시오.