국내 기업 97% 인력 부족 호소, 예산은 여전히 제한적
AI·섀도AI·비인가 디바이스, 사이버 보안 사각지대 급증

 

시스코가 발표한 ‘2025 사이버보안 준비 지수(Cybersecurity Readiness Index)’에 따르면, 국내 기업 중 단 3%만이 사이버보안 ‘성숙(Mature)’ 단계에 도달한 것으로 나타났다. 이는 전년 대비 1%포인트 감소한 수치로, 초연결성과 인공지능(AI)의 확산 속에서도 기업의 보안 대비 수준이 여전히 정체되고 있음을 시사한다.

 

보고서에 따르면 전 세계 기업의 83%는 지난 1년간 AI 관련 보안 사고를 경험했다. 그러나 AI 기반 위협을 직원이 충분히 이해하고 있다고 응답한 비율은 30%, 악의적 공격자의 AI 활용 방식에 대해 팀이 제대로 파악하고 있다고 응답한 비율은 28%에 그쳤다. 전체 기업의 40%는 사이버 공격을 경험했고 다수의 포인트 솔루션으로 파편화된 보안 환경은 대응력을 저해하고 있다. 한국 기업의 46%는 향후 1~2년 내 사이버 사고로 인한 비즈니스 차질을 우려하고 있다고 응답했다.

 

 

보고서는 사용자 신원, 네트워크 회복탄력성, 머신 신뢰도, 클라우드 및 AI 보안 등 5개 영역, 총 31개 기술 항목을 기준으로 사이버보안 준비 수준을 평가했다. 조사 대상은 전 세계 30개국 8000여 명의 보안 및 비즈니스 리더였다. 시스코는 이를 기반으로 기업을 ‘초기’, ‘형성’, ‘발달’, ‘성숙’의 네 단계로 구분했다.

 

AI는 보안 전략 전반에 중요한 역할을 차지하고 있다. 전체 응답 기업 중 78%는 AI를 통해 위협을 더 잘 이해하고 있다고 응답했고, 83%는 위협 탐지에, 65%는 대응과 복구에 AI를 활용하고 있다고 밝혔다. 그러나 승인되지 않은 AI 도구 사용과 섀도 AI는 새로운 위험 요소로 부상하고 있다. 직원 중 49%는 서드파티 생성형 AI를 사용하고 있으며, 79%의 IT 팀은 이 사용 여부를 인지하지 못하고 있다. 83%는 비인가된 AI 배포 탐지에 자신이 없다고 답했다.

 

하이브리드 업무 환경에서는 관리되지 않는 디바이스로 인한 위협도 증가하고 있다. 전체 기업의 81%가 이에 따른 보안 위협을 경험했으며, 생성형 AI 도구의 무분별한 사용은 이 위험을 가중시키고 있다. 한국 기업의 93%는 IT 인프라 고도화를 계획 중이나 사이버보안에 IT 예산의 10% 이상을 배정한 곳은 33%에 불과했다. 또한, 97%는 숙련된 보안 인력이 부족하다고 응답했고, 34%는 10개 이상의 보안 관련 포지션이 공석인 상태였다.

 

지투 파텔 시스코 부회장은 “AI가 기업을 근본적으로 변화시키면서 우리는 전례 없는 규모의 완전히 새로운 유형의 위협에 직면해 있다”며 “이는 인프라와 보안 인력에 전례 없는 부담을 가중시키고 있다”고 말했다. 이어 “지금 보안 전략을 재정비하지 않으면 AI 시대에 도태될 수밖에 없다”고 강조했다.

 

최지희 시스코코리아 대표는 “이제는 단순 방어를 넘어 위협 발생 이후의 복구와 회복을 아우르는 보안 회복탄력성을 갖추는 것이 필수”라고 말하며 “AI 기반 위협 대응 역량을 강화하고 관리되지 않는 디바이스와 섀도 AI 등 새로운 리스크까지 포괄하는 전략적 보안 포트폴리오에 대한 투자가 그 어느 때보다 절실하다”고 전했다.

 

헬로티 구서경 기자 |