사이버 공격, ‘글로벌 경제 위협’ 수준으로 성장
사이버 보안 역량, 주식 가치에도 반영
전문 인력 육성 및 경영진 관심 ‘시급’

더 이코노미(The Economy) 및 산하 전문지들의 [Deep] 섹션은 해외 유수의 금융/기술/정책 전문지들에서 전하는 업계 전문가들의 의견을 담았습니다. 본사인 글로벌AI협회(GIAI)에서 번역본에 대해 콘텐츠 제휴가 진행 중입니다.

사이버 공격 위험이 글로벌 경제를 위협하는 수준으로 성장했는데 아직도 사이버 보안을 IT 부서의 업무쯤으로 생각하는 기업들이 많다. 하지만 사이버 보안 역량이 낮은 기업들의 주식 가치는 그렇지 않은 기업과 비교해 지속적으로 낮은 것으로 나타났다. 사이버 보안상의 취약성이 기업 가치와 직접 연결된다는 얘기다. 이러한 사이버 취약성은 전문 인력 부족과 경영진의 부주의 때문이라고 한다.

사이버 보안 역량, 기업 가치와 연결

작년 한 해 사이버 범죄로 인한 글로벌 경제 피해액은 9조 5천억 달러(약 1경3,900조원)에 이르는 것으로 추정된다. 그럼에도 글로벌 대기업을 포함한 다수의 기업이 사이버 범죄 위험에 그대로 노출된 것은 물론 사이버 보안이 기업 실적에 미치는 영향도 제대로 이해하지 못하고 있다. 아래는 연구진이 사이버 보안에 취약한 기업들을 가려내기 위해 사용한 측정 방법이다.

연구 결과를 통해 드러난 사실 중 가장 특기할 점은 사이버 위험에 노출된 기업의 주식 시장 성과가 그렇지 아닌 기업들보다 상대적으로 낮다는 것이다. 구체적으로 사이버 위험에 더 많이 노출된 기업의 월평균 초과 수익률(excess return, 무위험 수익률을 초과하는 수익률)이 0.42% 더 낮았다.

또한 기업의 시장 가치를 반영한 가중 평균 포트폴리오(value-weighted average portfolio) 기준으로는 0.59% 차이가 났다. 기업 규모가 큰데 사이버 보안이 허술한 기업일수록 시장에서 저평가돼 있다는 얘기다. 이를 1년으로 산정하면 주주 가치 5%의 하락을 의미하고 평균적인 포춘 글로벌 500대 기업(Fortune 500 company)의 경우라면 금전적 가치가 8,700만 달러(약 1,276억원)에 이른다.

전문 인력 부족과 경영진 무관심이 문제 키워

재무적 피해 외에도 이들 회사는 사이버 공격을 통한 데이터 유출 사실이 언론에 공개되며 평판이 무너지고 무형 자산상의 피해를 입기도 한다. 하지만 아직도 다수의 기업 경영진이 사이버 보안을 부차적 사안으로 여겨 문제를 방치하거나 키우고 있다.

사이버 보안 문제가 오랜 기간 해결되지 않는 것은 인력 부족과 경영진의 부주의, 투자자들의 무관심이 결합한 결과다. 먼저 사이버 보안 산업은 미국에서만 265,000명의 전문 인력이 부족하다고 추정될 정도로 인력난을 겪고 있다. 당연히 기업들이 사이버 위협에 효과적으로 대응할 수 있는 전문적 도움을 얻기가 어렵다. 전문가들은 올해 절반 이상의 사이버 사고가 전문 인력 부족에 기인할 것이라고 예상한다.

사이버 위협 이슈가 경영진의 우선순위에 포함되지 않는 것도 문제를 악화시키고 있다. 날로 증가하는 피해 규모와 빈도에도 불구하고 수많은 기업이 사이버 보안을 IT 부서 업무로 간주해 전략적 의미를 부여하지 않고 있다. 조사에 따르면 S&P 500 지수에 포함된 기업 중 88%가 사이버 보안 관련 전문성이 부족해 경영진에게 충분한 조언을 제공하지 못하는 것으로 드러났다.

금융 시장도 피투자 기업 사이버 보안 ‘정확히 파악 못 해’

투자 대상 기업들의 사이버 보안 문제를 기업 가치에 정확히 산정하지 못하고 있는 금융 시장도 원인에 포함된다. 일부 기관투자자들만 사이버 보안의 중요성을 인식하고 있을 뿐, 다수의 투자자가 투자 대상 기업들의 사이버 리스크를 제대로 파악하지 못하고 있는 것이다. 이는 부실한 사이버 보안 역량이 기업 가치에 제대로 반영되지 않는 비효율적인 금융 시장을 의미한다.

사이버 보안상의 취약성은 개별 기업을 넘어 전체 산업과 경제로 확산한다. 대부분의 산업이 디지털 공급망으로 연결된 상황에서 한 기업의 약점이 전체 네트워크를 손상할 수 있기 때문이다. 미국 국방성에 전문 서비스를 제공하는 업체가 사이버 공격에 뚫린다면 어떤 일이 일어나겠는가? 국가 안보는 물론 관련 산업 전체가 위기에 빠질 수 있는 것이다.

마찬가지로, 투자자들이 피투자 기업의 리스크와 대응 방안의 적절성을 평가할 수 있는 전문성을 갖고 있지 못한 현실도 전체 시장의 불안정성으로 이어질 수 있다. 실제 위험과 시장 인식의 괴리로 불확실성이 상존하는 비효율적 투자 환경이 조성되기 때문이다.

기업들 사이버 보안 현황 “공개해야”

따라서 정책 당국과 기업은 사이버 보안 역량 개선을 위한 과감한 조치에 나설 필요가 있다. 2023년 미국 증권거래위원회(US Securities and Exchange Commission, SEC)가 기업 운영에 상당한 영향을 주는 사이버 사고를 공개하도록 규정한 것은 투명성 증진을 위한 규제 조치의 대표적 사례라고 할 수 있다.

또한 기업들은 사이버 보안 문제를 전략적 위험 관리 체계에 통합해야 한다. 최근 최고 정보 보안 책임자(Chief Information Security Officer, CISO)를 둔 회사들이 늘어나고 있지만 의사 결정권이 없는 경우도 다수 존재한다. 사이버 위협 문제를 효과적으로 해결하려면 해당 이슈를 기업의 우선순위 목록에 포함해 경영진이 선제적으로 움직이도록 해야 한다.

경영진의 관심과 함께 사이버 보안 전문 인력 양성도 시급하다. 인력 육성에 대한 투자와 교육 과정의 확대, 전문 교육 기관과의 협력 강화 등을 통해 필요한 전문성이 기업에 공급될 수 있도록 해야 한다.

원문의 저자는 크리스토스 마크리디스(Christos Makridis) 애리조나 주립대학교(Arizona State University) 조교수 외 1명입니다. 영어 원문 기사는 Cybersecurity vulnerabilities and their financial impact | CEPR에 게재돼 있습니다.