“해킹 피해기업, 사고 발생 후 수익 73%나 감소”

데이터 침해 발생 다음 해, ‘신뢰 추락, 복구비, 과징금 등 복합적 피해“ 보안기업 엑스트라홉 조사, “주가도 폭락, 보안사고의 고통스런 후유증”

2023-08-07     전윤미 기자
사진은 유로시스 2019에 참가한 마이크로소프트 등 글로벌 기업들의 모습으로 본문 기사와 직접 관련은 없음.

[애플경제 전윤미 기자]해커나 랜섬웨어 등의 공격을 당한 기업들은 사고가 발생한 다음 해에 전체 수익이 73%나 줄어든다는 조사 결과가 나와 눈길을 끈다. 그 만큼 사이버공격의 폐해가 기업과 경제에 미치는 영향이 크다는 사실을 보여주는 대목이다.

해외 보안기업인 엑스트라홉은 최근 “(데이터 침해로 인해) 기업 신뢰의 잠식, 복구 비용, 잠재적인 규제 과징금 등으로 기업의 재정적 부담이 복합적으로 발생하기 때문”이라며 이같이 밝혔다.

이는 비단 해외뿐 아니라, 국내 기업들도 사정은 같을 것으로 예상되므로, 더욱 주목을 끈다. 이에 따르면 데이터 침해를 겪는 기업은 기본적인 관련 복구 비용 외에도 기업 매출과 수익이 크게 감소한 것으로 나타났다.

국내 기업들도 사정은 마찬가지?

엑스트라홉의 보고서에 따르면 특히 ‘공공 기업’들은 데이터 유출 사고를 공개한 첫 해에 평균 73%의 순이익 감소를 경험한 것으로 드러났다. 즉 “보안 사고의 고통스러운 후유증을 겪는 셈”이란 얘기다.

이 회사의 분석에 따르면 이같은 현상은 단순한 데이터 복구 비용 외의 각종 리스크와 비용 부담 때문이다. 즉, 보안 사고에 대한 규제와 벌금, 법적 합의, 수익 감소, 사이버 보험 비용 등 데이터 유실로 인한 잘 알려지지 않은 기회비용이 작용한 결과다.

보고서에 따르면 또한 “거의 모든 기업들은 데이터 유출 이후 분기별 수익이 감소하고, 주가도 크게 하락하는 것으로 나타났다”는 것이다.

실제로 엑스트라홉이 제시한 사례를 보면, 해킹 피해를 본 어는 기업의 주가는 그 사실이 공개된 다음 날 거의 21%나 하락했다. 특히 보안 사고가 발생한 분기에는 전년 동기에 비해 무려 27%나 감소했다.

엑스트라홉은 “피해 기업들은 보안 사고를 당한 이로 인해 각종 리스크와 추가 비용이 도미노 현상을 보이면서, 소득과 수익의 감소가 가중된다”고 분석했다.

앞서 엑스트라홉이 사례로 든 기업의 경우, 해당 기업의 손실은 10억 달러 이상의 복구 비용 외에 (사고에 대한) 규제와 처벌, 법률 비용, 그리고 “소비자, 기업, 지자체 등과의 다중 합의” 등을 포함한 것이다.

그래서 “분석 대상인 기업 5곳의 순이익은 각 기업이 보안사고 발생을 발표한 지 9개월에서 12개월 만에 평균 73%나 감소했다.”는 것이다.

또한 거의 모든 경우에 데이터 유출 이후 분기별 실적이 감소하고 주가가 크게 하락했다

‘평판 손상, 소비자 또는 고객 신뢰 상실’이 치명적

엑스트라홉은 결론적으로 “경제적 요인이나 사업적 요인도 실적 부진의 원인이 되었을 수 있지만, 보안사고가 회사 실적에 영향을 미쳤다는 것은 의심의 여지가 없다”고 지적했다.

엑스트라홉의 CEO 패트릭 데니스는 “이번 연구결과는 평판 손상과 소비자 또는 고객 신뢰 상실로 인해 보안 사건이 회사 재정에 미칠 수 있는 ‘파급 효과’가 얼마나 큰 것인지를 강조하고 있다”고 기술매체 IT프로포탈에 밝혔다.

그는 “데이터 유출이 발생하면 투자자와 고객 모두, 앞으로 수년간 해당 기업이 벌이는 사업에 대한 믿음을 잃고 만다”면서 “이에 기업의 리더들은 그들의 예산을 면밀히 살펴보고 리스크를 보다 효과적으로 관리하기 위해 필요한 사이버 보안 투자를 하는 것이 중요할 수 밖에 없다”고 했다.

IBM “영국 기업들, 평균 340만 파운드 비용”

한편 또 다른 조사에서 데이터 침해 비용은 사건 발생 후 피해 기업에 상당한 부담이 될 수 있다. IBM의 연구에 따르면 영국의 기업들은 보안 사건 발생 후 평균 340만 파운드를 지불하는 것으로 나타났다.

IBM 보고서는 이같은 데이터 침해의 잠재적인 재정적 영향을 강조하면서 “지난 달 발표된 2023년 수치는 평균 비용이 380만 파운드였던 2022년에 비해 감소했지만, 여전히 2020년 수치보다 9% 증가한 것”이라고 했다.

한편 이같은 데이터 침해사고로부터 소비자와 기업을 보호하기 위해 최근 유럽 등에선 강력한 규제 기준이 도입되었다. 특히 EU의 GDPR 법안이 대표적이다.

지난주 미국 증권거래위원회(SEC)도 보안사고가 발생한 공기업에 대해 훨씬 더 엄격한 신고 기준을 도입했다. SEC의 새로운 규칙은 기업들이 데이터 침해 또는 보안 사고를 “발생 후 4일 이내에 공개”하도록 요구하고 있다.