아직도 VPN을 사용하지 않으시나요? 비즈니스에 좋지 않습니다 - Proton VPN

대부분의 중소기업(SMB)에서 이제 “사무실”은 가정용 WiFi 네트워크, 카페 핫스팟, 공유 업무공간, 클라우드 기반 SaaS 도구의 집합체입니다.

그럼에도 불구하고 업무가 계속 더 분산되고 있는 가운데, 많은 기업이 네트워크 제어를 도입하지 못했습니다. Proton의 새로운 연구에 따르면 SMB의 절반 미만만이 네트워크에 대한 접근을 보호하기 위해 VPN을 사용합니다.

동시에 보안 사고는 증가하고 있습니다. SMB 4곳 중 1곳이 지난 1년 동안 사이버 공격 또는 보안 사고를 경험했습니다.

그렇다면 하이브리드 근무로의 전환이 사실상 영구화된 것처럼 보이는 상황에서도, 왜 VPN 도입은 이렇게 일관되지 않을까요? 그리고 이것이 최근의 많은 보안 사고의 원인일까요?

저희 SMB Cybersecurity Report 2026은 이 질문에 대한 통찰을 제공합니다. 독점 연구를 위해 저희는 전 세계 수천 명의 비즈니스 리더를 대상으로 보안 관행에 관한 수십 개의 질문을 조사했습니다. 귀하의 비즈니스를 위한 4가지 핵심 인사이트와 5가지 권장 사항을 얻으시려면 무료 사이버 보안 보고서를 다운로드하실 수 있습니다.

무료 보고서 다운로드

공격자가 SMB를 노리는 이유

수년 동안 사이버 범죄자들은 주로 대기업을 표적으로 삼았습니다. 그러나 기업의 방어가 개선되면서 공격자들은 다음과 같은 이유로 점점 더 SMB를 표적으로 삼고 있습니다(새 창):

제한된 리소스: 소규모 팀에는 전담 보안 인력과 공식적인 보안 정책이 없는 경우가 많습니다.

분산된 네트워크: 직원들은 가정용 WiFi, 공유 업무공간, 공용 핫스팟에서 연결하므로 공격자의 진입 지점이 더 많아집니다.

가치가 높은 데이터: SMB는 고객 정보, 재무 기록, 지적 재산을 포함해 대기업과 동일한 민감한 데이터를 저장(새 창)할 수 있지만, 보호 조치는 더 적을 수 있습니다.

도입 격차: SMB는 VPN을 소홀히 하고 있습니다

Proton SMB Cybersecurity Report 2026은 중소기업 사이에서 두 가지 격차를 드러냈습니다:

도입 격차: SMB의 절반도 안 되는 수가 엔드포인트를 보호(새 창)하기 위해 VPN을 사용합니다.
실행 격차: VPN을 도입한 기업 사이에서도 보안 관행은 일관되지 않습니다.

먼저 도입 격차부터 살펴보겠습니다.

서비스형 소프트웨어의 확산은 중소기업 사이에서 잘못된 보안 인식을 만들어냈습니다. 대부분의 SaaS 플랫폼은 전송 중 트래픽을 보호하기 위해 강력한 암호화(예: TLS(새 창))를 사용하고, Proton Mail이나 Proton Drive와 같은 일부 서비스는 저장 시 종단 간 암호화(새 창)도 사용하지만, 직원이 로그인하기 위해 거치는 경로까지 보호해 주지는 않습니다.

예를 들어, 귀하의 조직은 메시지 내용을 보호하기 위해 암호화된 이메일 서비스(새 창)를 사용할 수 있지만, VPN이 없으면 플랫폼에 누가 로그인할 수 있는지 제어하기 위한 IP 기반 제한을 강제할 수 없습니다. 따라서 유출된 자격 증명을 확보한 공격자는 로그인하여 귀하의 네트워크를 침해할 수 있습니다.

하이브리드 근무로의 전환은 전 세계적인 현상이지만, 이에 수반되는 보안 적응은 고르지 않았습니다. 저희 연구에서 미국만이 SMB의 과반수가 VPN을 사용하는 유일한 국가였습니다. 다른 모든 시장에서는 도입률이 50% 미만입니다. 이 격차는 보안이 하이브리드 근무 전환 속도를 따라가지 못한 기술 부문 밖에서 더욱 두드러집니다.

실행 격차: 진정한 보안은 VPN을 넘어섭니다

VPN을 사용하는 SMB의 52%는 공격을 견뎌낼 수 있는 능력에 대해 매우 또는 완전히 자신 있다고 말합니다. 그러나 저희 데이터에 따르면 이 그룹에서도 26%가 지난 12개월 동안 보안 사고를 경험했습니다. 기업이 이미 네트워크를 보호하고 있다면, 어떻게 이런 일이 여전히 일어날 수 있을까요?

문제는 VPN 자체가 아니라 주변 통제와 인적 오류의 만연입니다. 저희 연구에서 VPN 도입 기업 중 2단계 인증(새 창)(2FA)을 강제하는 곳은 56%에 불과했습니다. 거의 절반의 기업이 비밀번호에만 의존할 때, 부실한 자격 증명 관리로 위험은 더 커집니다. 일관되게 비즈니스 비밀번호 관리자(새 창)를 사용하는 대신:

여전히 31,5%가 이메일로 자격 증명을 공유합니다
33,4%는 공유 문서를 통해 공유합니다
28%는 로그인 정보를 공유하기 위해 메시징 앱에 의존합니다
24,6%는 여전히 비밀번호를 적어 둡니다

저희 데이터는 많은 기업이 일관되게 실행되는 보안 정책 없이, 보안을 응집력 있는 시스템이 아니라 개별 제품에 대한 단편적 투자로 취급하고 있음을 시사합니다.

사후 대응이 아닌 인프라로서의 보안

이 연구는 또 다른 가치 있는 통찰을 드러냈습니다. 보안은 수익 동인이라는 점입니다.

저희 보고서에서 기업의 66%는 안전한 데이터 처리를 입증하는 것이 신규 비즈니스를 확보하는 데 “매우” 또는 “매우 중요하게” 중요하다고 답했습니다. 엔드포인트 보안을 위한 VPN은 잠재 고객에게 이러한 주장을 입증할 수 있는 인프라와 가시성을 제공합니다.

정의된 네트워크 경계가 없으면 진입 지점은 늘어나고 가시성은 줄어들며 접근 제어는 타사 플랫폼 전반에 흩어집니다. 이 모든 것은 공격 표면을 확대하고 의심스러운 행동을 탐지하거나, 사고를 억제하거나, 고객 및 파트너에게 통제력을 입증하기 어렵게 만듭니다. VPN은 경계를 복원하고 직원이 어디에서 일하든 제어 가능한 경계를 구축합니다.

귀하의 비즈니스에 이 교훈을 적용하는 방법은 다음과 같습니다:

IP 또는 국가별로 접근 제한: 승인된 기기 또는 네트워크에서만 내부 도구에 접근하도록 허용하세요.
완전한 네트워크 가시성 확보: 로그인이 귀하의 VPN에서만 허용되면, 리소스로 향하는 트래픽을 모니터링하고 잠재적 공격을 포착할 수 있습니다.
일관된 정책 강제: 타사의 약속에 의존하지 말고, 귀하의 네트워크에서 보안 규칙을 적용하세요.

VPN이 없으면 원격 트래픽은 중앙 집중식 제어 없이 공용 네트워크를 통해 이동하므로 노출이 증가합니다. 진정한 보안은 네트워크 계층과 신원 계층이 하나의 강화된 시스템으로 작동할 것을 요구합니다.