“사이버 공격, 기업 실적 및 장기 재무 전망까지 영향 미친다” 코헤시티, 사이버 공격에 대한 글로벌 조사 결과 발표

AI 기반 데이터 보안 및 레질리언스 선도 기업 코헤시티(Cohesity)가 발표한 글로벌 조사 결과에 따르면, 사이버 공격으로 인한 재정적 영향이 이제 단순한 운영 차원을 넘어 이사회 의사결정, 재무계획 및 성장 전략 전반에까지 영향을 미치고 있는 것으로 나타났다.

조사 결과에 따르면 국내 응답 기업의 72%(글로벌 기업의 약 76%)가 사이버 공격으로 인해 ‘실질적인 피해’를 경험한 것으로 조사됐다. 여기서 정의한 ‘실질적인 피해’란 측정 가능한 재정적, 재무적, 평판적, 운영적 피해 혹은 고객 이탈을 초래한 사건을 의미한다.

구체적인 피해 양상은 다음과 같다.

• 국내 상장사 58%(글로벌 70%)는 공격 이후 실적 전망 또는 재무 가이던스를 수정 조치함
• 국내 기업의 58%(글로벌 68%)는 사이버 공격으로 인해 주가가 하락함
• 국내 비상장사 74%(글로벌 73%)는 공격의 여파로 혁신 및 성장 예산을 감축하여 복구와 보완 조치에 사용함
• 국내 기업의 95%(글로벌 92%)는 사이버 공격 이후 벌금, 소송 등 법적·규제적 제재를 경험함

산제이 푸넨 코헤시티 사장겸 최고경영자(CEO)는 “이번 조사 결과는 사이버 공격은 이제 조직의 모든 요소에 영향을 미치며 공격의 여파는 기술적으로 복구 가능한 수준 이상의 피해를 입히고 있음을 보여준다”며 “이제 기업은 이러한 공격으로 인해 실적 전망을 재고하고 시장 반응을 반영하거나 예산을 재조정해야 하는 상황인 만큼 사이버 레질리언스는 이제 단순한 기술 문제가 아니라 사업 및 재무 성과의 필수 요소가 되었다고 볼 수 있다”고 말했다.

이상훈 코헤시티 코리아 지사장은 “사이버공격은 최근 몇 년 새 거대한 재난이 되었다. 기업들이 이러한 사이버 공격에서 비즈니스를 유지하고 발전시키기 위해서는 레질리언스를 이해하고 성숙한 수준으로 끌어올려야 한다. 코헤시티의 이번 연구를 보면 국내 많은 기업들이 여전히 개발 수준이거나 발전 단계에 머물러 있다. 철저한 복구/복원 프로세스와 함께 예방적인 위험 관리가 장기적으로 강력한 방어책이 될 수 있다”고 밝혔다.

사이버 레질리언스, 새로운 재무관리 요소로 부상

사이버 사고 이후 실적 전망 변경을 공식적으로 공시한 상장사는 소수에 불과하지만, 이번 조사에 의하면 응답자들은 높은 비율로 실질적인 피해를 입히는 사이버 공격이 공시 자료에서 일반적으로 공표되는 범위를 넘어서는 더 광범위한 재정적 압박과 운영적 영향을 초래한다고 인지하고 있다.

이러한 시장의 인식과 업무를 수행하는 조직의 현실 상황 간의 괴리는 제한적인 공시 의무, 투자자들이 정의하는 협소한 ‘중대성(materiality)’의 기준, 그리고 브랜드 신뢰도, 고객 이탈, 생산성 저하 등 무형 손실을 과소평가하는 경향에 의해 영향을 받는 것으로 보인다.

이번 연구를 통해 글로벌 기업들이 사이버 리스크를 재정적으로 평가하는 방식이 변화하고 있음이 나타났다. 예방과 탐지는 여전히 중요하지만, 진정한 차별화 요소는 얼마나 신속하고 완전하게 대응·복구할 수 있는지, 그리고 리더십이 사후 시장, 규제기관, 고객에게 얼마나 효과적으로 신뢰를 회복시킬 수 있는지에 달려 있다. 국내 응답자의 절반에 가까운 49%(글로벌 47%)는 자사의 레질리언스 전략에 대해 “더 이상의 개선이 필요 없는 수준”이라고 답했으나, 사이버 공격은 여전히 가시적으로 재정적 혹은 운영적 피해를 초래하고 있는 상황이다.

생성형 AI, 리스크 감당 수준보다 빠른 속도로 도입

조사는 또 다른 도전 과제도 지적한다. 기업들이 다양한 형태의 AI를 일상 운영에 통합하면서, 많은 기업이 생성형 AI 도입 속도와 규모를 관리하는 데 어려움을 겪고 있다. 국내 응답자의 86%(글로벌 81%)는 “생성형 AI의 발전 속도가 자사 리스크 대응 능력을 앞서가고 있어 우려된다”고 답했다. 그러나 이와 동시에 대부분의 기업은 탐지, 대응, 복구 능력을 개선하는 데 있어 생성형 AI가 상당한 잠재력을 갖고 있음을 인식하고 있다.

산제이 푸넨 CEO는 “조직들은 AI 발전과 보안 사이의 역설에 직면하고 있다”며 “AI는 비즈니스 운영의 거의 모든 측면을 근본적으로 변화시킬 것이다. 그러나 이번 조사 결과는 대부분의 IT 리더들이 AI 도입 속도가 자사의 위험 감내 수준을 앞서가고 있다는 점을 우려하고 있음을 보여준다. 이러한 역설적 상황에서 앞으로 나아가기 위해서는 신뢰할 수 있고, 보호되며, 레질리언스를 갖춘 AI 대응형 데이터(AI-ready data)가 근간이 되어야 한다. 이는 책임 있는 AI를 구현하기 위한 인프라의 핵심 기반으로, 조직이 위험 노출을 확대하지 않으면서도 자신 있게 혁신을 추진할 수 있도록 한다”고 했다.

레질리언스, 기업 경쟁력으로 부상

코헤시티 조사에 의하면 기업의 재무 건전성과 리더십에 대한 신뢰가 점점 더 사이버 레질리언스에 의해 좌우되고 있다. 현재, 그리고 앞으로 경쟁에서 앞서는 기업은 불가피한 혼란이 발생했을 때 더 빠르게 복구하고, 데이터 무결성을 검증하며, 이해관계자의 신뢰를 유지할 수 있는 기업이 될 것이다.

이번 "리스크에 대비한 기업 vs. 리스크에 노출된 기업: 사이버 레질리언스 격차 (Risk-Ready or Risk-Exposed: The Cyber Resilience Divide) 리포트는 코헤시티에서 의뢰하여 밴슨 본(Vanson Bourne)에서 진행한 연구 결과를 바탕으로 작성되었다. 조사는 국내 약 200개 기업을 포함한 글로벌 3,200명의 IT 및 보안 분야 리더들을 대상으로 진행되었다. 각 응답자들은 대한민국, 미국, 브라질, 영국, 독일, 프랑스, UAE, 호주, 일본, 인도 및 싱가포르에 위치해 있으며 1,000명 이상의 직원을 가진 공공 및 민간 분야 조직을 대표하도록 선정되었다.

한편, 설문 시작시 응답자들에게는 다음과 같은 미국국립표준기술연구소(NIST)의 ‘사이버 레질리언스’ 정의가 제공되었다: “사이버 자원을 사용하거나 그에 의해 구동되는 시스템이 부정적인 조건, 스트레스, 공격, 또는 침해 상황에 직면했을 때 이를 예측하고, 견디며, 복구하고, 적응할 수 있는 능력을 말한다. 사이버 레질리언스는 사이버 환경이 위협받는 상황에서도 사이버 자원에 의존하는 임무 또는 비즈니스 목표를 달성할 수 있도록 하기 위한 것이다.”