[헤럴드경제=정태일 기자]유럽연합 개인정보보호법(GDPR)이 도입된 지 1년이 됐지만 여전히 기업들 절반 가까이는 관련 규정을 지키지 못하고 있는 것으로 조사됐다.
13일 IBM이 전 세계 3600명 이상 보안 및 IT 전문가를 대상으로 조사한 ‘2019년 기업 사이버공격 대응 실태’ 보고서에따르면, GDPR이 시행된 지 1주년이 됐지만 규정을 완벽하게 준수하지 못하고 있다고 답한 기업의 비율은 46%에 달했다.
GDPR은 지난해 5월 25일부터 EU 각 회원국에서 시행됐다. EU 시민의 데이터를 활용하는 경우 GDPR을 준수해야 한다.
GDPR의 주요 항목은 ▷사용자가 본인의 데이터 처리 관련 사항을 제공 받을 권리 ▷열람 요청 권리 ▷정정 요청 권리 ▷삭제 요청 권리 ▷처리 제한 요청 권리 ▷데이터 이동 권리 ▷처리 거부 요청 권리 ▷개인정보의 자동 프로파일링 및 활용에 대한 결정 권리 등이다.
구글은 지난 1월 프랑스에서 GDPR 위반으로 5000만유로(약 642억원)의 벌금을 부과받은 바 있다.
또 응답 기업 중 77%는 조직 전반에 걸쳐 일관되게 적용되는 사이버보안 사고 대응계획(CSIRP)을 보유하고 있지 않다고 답했다.
대응계획을 갖추고 있다고 답한 23%의 기업 중에도 절반 이상(54%)은 사고 대응 계획에 대한 테스트를 정기적으로 실시하고 있지 않다고 답했다.
IBM과 포네몬 연구소는 올해 처음으로 자동화가 기업의 사이버공격 대응 역량에 미치는 영향도 분석했다.
자동화를 활용하는 기업은 사이버공격 피해 탐지, 예방, 대응 그리고 공격 억제에 있어 높은 역량을 보유하는 것으로 나타났다.
사이버공격 탐지 및 예방 부문에서 자동화 미활용 기업 대비 25% 높은 역량을 갖춘 것으로 조사됐다.
하지만 조직 내에서 자동화를 활용하고 있다고 답한 기업의 비율은 23%에 그쳤다. 보통 혹은 미미한 수준으로 활용하거나 전혀 활용하지 않다고 답한 비율은 77%에 달했다.
이와 함께 응답자 중 70%가 사고 대응 계획을 적절하게 관리하고 테스트할 수 있는 인력이 필요한 수준보다 크게 부족하다고 답했다.
48%의 기업은 조직 내 사용하는 보안 툴의 수가 너무 많아 운영상 복잡성이 증가하고 전반적인 보안 상태에 대한 가시성이 저하됐다고 답했다.
홍성광 한국IBM 보안사업부 총괄 상무는 “IBM 조사 결과 기업이 30일 이내에 사이버공격에 대응하고 피해 확산을 방지한다면 평균 100만달러 이상의 비용을 절감할 수 있는 것으로 나타났다”고 설명했다.
killpass@heraldcorp.com
