지난 2년 동안 브라질 기업들은 디지털 전환 과정을 강화하여 클라우드 컴퓨팅, 인공지능(AI), 자동화와 같은 솔루션을 도입하여 효율성과 민첩성을 높이고 있습니다. 문제는 이러한 신기술을 도입함으로써 기업들이 새로운 취약점도 함께 다루게 된다는 점입니다. 최근 분기들에 브라질은 사이버 사고가 급증하는 것을 목격했습니다. 체크 포인트 리서치가 발표한 보고서에 따르면, 2024년 3분기 브라질 기업들은 평균 2,766건의 주간 공격을 받았으며, 이는 2023년 같은 기간에 비해 95% 증가한 수치입니다.
이 공격 급증은 혁신과 보안 간의 격차를 드러낸다. 많은 기업들이 팬데믹 및 팬데믹 이후에 클라우드 디지털 프로젝트를 가속화했지만, 모두가 같은 속도로 방어를 강화한 것은 아닙니다. 그 결과, 2023년에는 대기업의 83%가 적어도 한 번 이상의 심각한 사이버 공격을 받아 계획되지 않은 정지, 재정적 손실 및 데이터 유출이 발생했습니다.
기업 방어 강화 외에도, 우리는 아직 성숙한 거버넌스 프로세스를 갖추지 못했습니다. 데이터는 브라질에서 데이터 거버넌스가 없는 조직의 비율이 80%에 이를 수 있음을 보여줍니다.
혁신 대 안전: 우리는 우리의 취약성을 확대하고 있나요?
비록 사이버 보안 투자와 거버넌스 구조화가 여전히 조심스럽지만, 혁신을 향한 경쟁은 지난 해 IT 예산의 증가를 기록했습니다: 2023년에서 2024년으로, 브라질 IT 시장은 13.9% 성장했으며, 글로벌 평균을 넘어 586억 달러에 달했습니다. 투자 우선순위에는 클라우드 인프라 현대화, 비즈니스 프로세스 디지털화, 그리고 생성형 AI 도입이 포함되었습니다.
전통적인 분야인 은행업이 혁신 투자를 주도하고 있으며, 은행과 핀테크는 클라우드와 인공지능에 많은 투자를 하여 모바일 뱅킹과 디지털 결제를 제공하고 있습니다. 일반적으로 브라질 기업들은 2023년과 2024년에 그들의 수익의 약 9.4%를 정보통신기술(TIC)에 할당했습니다. 게뚜리오 바르가스 재단(FGV)은 이 비율이 앞으로 2~3년 내에 11%로 상승할 것으로 예상하며, 이는 조직들이 계속해서 혁신과 현대화에 투자하는 것에 달려 있다고 보고 있습니다.
반면, 이 나라는 12개월 동안 7억 건이 넘는 사이버 범죄 공격으로 세계에서 두 번째로 공격받는 나라가 되었으며, 분당 1,379건의 공격이 발생했습니다! 2024년에는 브라질 영토 내에서만 3,560억 건의 사이버 공격 시도가 있었으며, 이는 전 세계적으로 반복되는 경고적인 상황입니다.
전 세계적으로 공격이 기록적으로 증가하여 2024년에는 75% 이상 증가했으며, 이 현상은 일부 사이버 범죄자들이 인공지능을 사용하여 공격을 자동화하고 더욱 정교하게 만드는 것에 기인합니다. 개인화된 대량 피싱, 적응형 악성 소프트웨어 및 더 강력한 DDoS는 악의적인 인공지능에 의해 강화된 위협의 예입니다.
취약점도 새로운 형태로 증가하고 있습니다: 한 연구에 따르면 브라질 기업의 57%가 이미 인공지능을 사용하여 소프트웨어 코드를 생성하고 있으며, 이는 세계에서 세 번째로 높은 비율입니다. 역설적이게도, 이러한 조직의 44%는 인공지능이 생성한 코드가 주요 보안 우려 사항으로, 예상치 못한 오류나 자율 소프트웨어 생성으로 인한 취약점이 우려된다고 합니다. API – 시스템과 애플리케이션을 통합하는 데 필수적인 것 – 또 다른 맹점입니다: 브라질 기업의 절반 이상(52%)이 노출된 API에 대해 높은 위험을 인식하고 있습니다. 요약하면, DevOps 민첩성, 대규모 클라우드 이전, 광범위한 연결 장치 사용 및 AI 기반 개발과 같은 이니셔티브는 혁신을 증대시키는 동시에 공격 벡터와 환경 보호의 복잡성을 확대합니다.
문제는 혁신이 반드시 디지털 보안 강화와 함께 진행되지 않는다는 것이다. 비록 많은 기업들이 사이버 보안에서 더 혁신적이 되고 방어를 위한 솔루션을 늘리고 있지만, 그 단계는 아직 초기입니다. 작년에, 시장, 혁신 및 기술 연구소(MiTi)와 보안 설계 연구소(SDL)는 사이버 보안 분야의 업계 조사를 발표했으며, 이는 181개의 브라질 기업의 성숙도를 평가했습니다. 연구에 따르면, 개선에도 불구하고 사이버 보안의 평균 성숙도 수준은 53%로 여전히 보통 수준이며, 이는 작년의 49%에 비해 진전된 것이다.
이 숫자는 대부분의 기업이 여전히 권장되는 모범 사례보다 낮다는 것을 나타냅니다. 예를 들어, 53%의 기업은 로그인과 비밀번호만으로 중요한 시스템을 인증하며, 이는 구식 방법이고, 24%는 사이버 보안에 전용 예산이 없으며, 27%는 정기적인 침투 테스트를 수행하지 않습니다. 이 숫자들은 투자가 증가하고 있지만, 정책, 문화 및 거버넌스 측면에서 여전히 채워져야 할 중요한 격차가 있음을 보여줍니다.
거버넌스: 혁신과 함께 사이버 복원력을 높일 수 있습니다
거버넌스 및 컴플라이언스 성숙도와 기업이 사이버 사고에 저항하거나 성공적으로 혁신을 추진하는 능력 사이에는 명확한 상관관계가 있습니다. 데이터는 우수한 GRC(거버넌스, 위험 및 준수) 관행을 가진 조직이 더 적은 영향을 받고 디지털 전환 프로젝트에서 더 나은 성과를 얻는다는 것을 시사합니다.
예를 들어, MiTi와 SDL이 수행한 동일한 연구에 따르면 38%의 기업이 사고 대응 계획이 없고 46%는 재해 복구 계획이 없다고 합니다. 이 숫자들은 우려스럽습니다, 왜냐하면 효과적인 비상 계획의 부재는 공격이 발생할 때 피해를 더 오래 지속시키고 악화시키는 경향이 있기 때문입니다.
반면, 위험을 사전에 예측하고 안전에 투자하는 기업들은 실질적인 이익을 얻는다. PwC의 글로벌 연구에 따르면, 기업의 단 5%만이 혁신의 중심에 보안을 두고 CISO의 업무를 프로젝트 초기부터 통합하고 있습니다. 바로 이 회사들이 데이터 침해 사례가 적게 발생했고, 공격을 받을 때에도 비용이 적은 사고를 겪고 있습니다.
즉, 새로운 IT 이니셔티브의 구상 단계부터 거버넌스와 보안을 도입하면 새로운 프로젝트가 디지털 공격 표면을 늘리지 않고 기업을 더욱 취약하게 만들지 않으면서 운영에 들어갈 가능성이 높아집니다. 거버넌스 없이 빅데이터, 인공지능 또는 디지털 전환의 이니셔티브는 실패하거나 원치 않는 결과(정보 오용 또는 취약한 시스템과 같은)를 초래할 위험이 있습니다.
더 성숙한 거버넌스를 갖춘 기업은 고객과 규제 기관의 요구 사항을 더 쉽게 충족할 수 있어 새로운 시장 참여와 혁신 파트너십이 가능해집니다. 반면, 컴플라이언스 부족은 프로젝트를 지연시킬 수 있습니다 – 개인 데이터를 다루는 혁신적인 솔루션을 LGPD에 맞추지 않고 개발하는 것을 상상해 보세요: 프로젝트는 법적 및 평판상의 장애물에 직면하게 될 것입니다. 따라서 견고한 컴플라이언스 및 보안 구조는 이해관계자의 신뢰를 높이고 책임감 있고 회복력 있게 혁신이 꽃피울 수 있도록 합니다.
요약하면, 거버넌스와 보안은 혁신에 적대적이지 않으며, 오히려 지속 가능한 혁신의 토대 역할을 합니다. 위원회, 정책 및 대응 계획을 구축하는 기업은 사이버 예기치 못한 사건에 덜 영향을 받고 비즈니스 성장에 집중할 수 있습니다. 그 전략적 요소들을 무시하는 것들은 결국 더 많은 중단, 재정적 손실, 긴급 조치의 필요성에 노출되며, 이는 본질적으로 혁신에 투자될 수 있었던 투자를 지연시키거나 전환시키는 결과를 초래한다. 숫자들이 증명합니다: 거버넌스, 컴플라이언스 및 보안의 성숙도는 기술 사업에서 더 큰 회복력과 성공과 함께 손을 잡고 있습니다. 이러한 분야를 조율하는 기업들은 사고에 대한 더 나은 보호뿐만 아니라, 점점 더 디지털화되는 브라질 시장에서 자신감과 지속 가능성을 바탕으로 혁신하여 경쟁 우위를 확보할 수 있을 것입니다.
