PwC, "사이버 보안 관리 2024년의 최우선 과제 돼야 " > 경제∙비즈니스

 

전 세계적으로 주요 데이터 유출 사고는 그 수와 규모가 증가하고 있을 뿐만 아니라 그 비용도 점점 더 커지고 있다.

 

PwC (PricewaterhouseCoopers)의 '2024 글로벌 디지털 신뢰 인사이트' 보고서에 따르면, 데이터 유출 사고로 인해 의료, 기술 미디어 및 통신, 금융 서비스, 에너지, 유틸리티 및 자원, 산업 및 자동차, 소매 및 소비자 부문의 기업에서 가장 비용이 많이 드는 순서대로 평균 150억 루피아의 비용이 발생하는 것으로 나타났다.

 

2023년 10월에 발간된 이 보고서는 전 세계 대기업의 3,876명 이상의 기업 및 기술 담당 임원을 대상으로 실시한 설문조사를 기반으로 한다.

 

이 보고서는 또한 지난 3년 동안 최악의 유출로 인해 100만 달러 이상의 비용이 발생했다고 보고한 기업의 비율이 2023년 27%에서 36%로 증가하면서 데이터 유출로 인한 비용 증가를 강조했다.

 

특히 내년에 2022년 인도네시아 개인정보 보호법(PDP)이 시행되면 인도네시아 기업에게 어떤 의미가 있을까?

 

자카르타포스트가 PwC 인도네시아의 최고 디지털 및 기술 책임자인 수비안또와 함께 PwC 보고서 조사 결과에 대해 논의하고, 인도네시아 기업들이 증가하는 사이버 보안 위협에 어떻게 대처하고 있는지에 대한 심층적인 인사이트를 제공할 수 있는 방법을 모색했다.

 

가장 취약한 분야

수비안또는 PwC 보고서의 조사 결과를 통해 인도네시아의 어떤 분야가 막대한 비용이 발생하는 데이터 유출에 가장 취약할 수 있는지를 알 수 있었다고 말했다.

 

약 47%가 의료부문에서 침해 발생이 보고됐고 평균 피해액은 약 800만 루피아에 해당한다. 그 다음으로 기술 미디어 및 통신 부문에서 43%의 침해 사고가 발생했으며, 각 침해 사고의 평균 피해액은 750억 루피아에 달했다. 침해 사고의 약 38%는 금융 서비스 부문에서 발생했으며, 침해 사고로 인한 평균 피해액은 780억 루피아에 달했다. 

수비안또는 의료서비스는 매우 개인적인 의료정보의 민감성을 고려해 더욱 신중하게 다뤄야하고, 해커들이 침입하기 쉬운 것이 항상 은행이나 금융 서비스만이 아니라며 지난 9~10개월 동안 인도네시아에서는 제조업 분야에 대한 공격이 증가하고 있다고 말했다.

 

인적 측면

그는 해커들이 악의적인 목적으로 인간적인 측면이나 사회 공학을 악용하는 경우가 많다는 점에서 인도네시아의 환경은 매우 독특하다고 덧붙였다.

 

가짜 청첩장, 메시징 앱을 통해 무작위로 전송되는 안드로이드 애플리케이션 패키지(APK) 파일 등은 인도네시아에서 자주 볼 수 있으며 업계 종사자들도 이를 잘 알고 있다고 말했다.

 

그렇기 때문에 특히 은행에서 사용자들에게 이러한 위협을 경계하고 선제적으로 인식하도록 알리는 교육 자료가 눈에 띄게 증가하는 것을 볼 수 있다고 수비안또는 말했다.

 

이러한 위협으로 인해 많은 인도네시아 기업들이 대규모 데이터 유출로 인해 기업이 겪을 수 있는 위험과 잠재적 손실을 고려하여 사이버 보안에 투자하고 있다.

 

수비안또는 사이버 보안 공격의 심각성에 대한 인식이 높아지고 있다며, 예를 들어, 점점 더 많은 은행이 소셜 미디어와 이메일 등 다양한 채널을 통해 사람들이 온라인 정보에 대해 더 주의를 기울이고 일회용 비밀번호(OTP) 등을 공유하지 않도록 교육을 제공하는 금융 부문에서 이를 확인할 수 있다고 말했다.

 

규제 당국의 대응

동시에 수비안또는 증가하는 위협에 대응하기 위해 규제 당국이 사이버 보안에 대한 규제를 강화하고 있다고 언급했다. 예를 들어, 금융 감독원(OJK)은 상업 은행의 사이버 보안 및 복원력에 관한 순환 서한 29/2022호를 발표하여 더욱 엄격한 요건을 부과했다.

 

은행은 이제 매년 사이버 보안 평가를 받고 있으며, 사고 관리를 포함한 효과적인 사이버 보안 위험 관리를 시행해야 한다. 그는 이 규정이 인도네시아 은행 업계가 전반적인 사이버 보안 성숙도를 향상시키는 데 도움이 될 것이라고 덧붙였다.

 

2024년 10월 개인정보보호(Perlindungan Data Pribadi, PDP)법의 2년 유예 기간이 끝나면 정부는 관리 대상인 개인 데이터를 보호하지 못하는 조직에 제재를 가할 수 있게 된다.

 

수비안또는 새 법에 따라 기업이 데이터 유출 등의 사고가 발생했을 때 사용자의 개인 데이터를 보호하지 못한 이유로 행정 제재를 받을 수 있으며, 이 벌금은 회사 매출의 최대 2%까지 부과될 수 있다고 말했다. 데이터 유출로 인한 개인 데이터 남용이 개인과 기업에 각각 최대 60억 루피아, 600억 루피아의 벌금을 부과할 수 있다고 덧붙였다.

 

인도네시아 PDP 법이 데이터 보호 규정의 표준으로 간주되는 EU 일반 데이터 보호 규정과 매우 유사하기 때문에 이는 일반적으로 전 세계의 데이터 보호 발전 추세와 일치한다고 수비안또는 말했다.

 

사이버 보안에 대한 투자

다양한 산업 분야에서 사이버 보안의 중요성에 대한 인식이 높아지면서 위협을 조기에 감지하고 기업 운영을 보호하기 위한 사이버 보안 기술에 대한 수요가 증가하고 있다.

 

PwC의 '2024 글로벌 디지털 신뢰 인사이트' 보고서에 따르면 사이버 보안은 세계 최대 기업의 운영에서 최우선 순위로 떠오르고 있다. 또한 정보 기술(IT), 운영 기술(OT), 자동화에 대한 예산에서 사이버 투자가 차지하는 비중도 커지고 있다. 연평균 성장률은 2023년 11%에서 2024년 14%로 증가할 것이다.

 

획기적인 신기술인 생성형 인공지능(Generative AI)의 출현은 내년에 기업에게 새로운 위협과 함께 새로운 방어 도구도 제공할 것이다.

 

하지만 수비안또는 사이버 보안 투자가 반드시 더 많은 기술을 확보하는 것을 의미하지는 않는다고 강조했다. 사이버 보안에 대한 투자는 사람, 프로세스, 기술을 모두 아우르는 것이다. 그는 인도네시아의 사이버 보안 투자가 전반적으로 증가하고 있지만, 중요한 것은 기술과 인력의 숙련도 향상이라고 말했다.

 

그는 특히 기업이 수집한 개인 데이터를 보호할 책임이 있는 2022년 PDP 법이 도입된 이후에는 사이버 보안 위협에 대처하는 데 있어 선제적인 조치가 중요하다고 말했다.

 

그는 PDP법이 개인 데이터 보호와 전체 데이터 라이프사이클을 포괄하지만, 이 법이 사이버 보안 조치에 대한 인식과 준수를 높일 것이라고 기대했. 이것이 결과적으로 인도네시아의 향후 사이버 보안 위험에 대처하는 방법을 향상시킬 것이라고 결론을 내렸다. [자카르타포스트/자카르타경제신문]