IBM, 세계 550개 기업과 조직 대상 조사, “사건 1년 후 많이 발생”
데이터 복구비․몸값 외에도 추락한 기업 평판과 가치 회복에 더 많은 비용
[애플경제 김향자 기자] 각국의 기업이나 조직 등이 최근 1년 동안 데이터 침해로 인해 손해를 본 비용이 한 곳당 평균 400만 달러(한화 약 52억원)를 초과하는 것으로 나타났다. 최근 IBM 보안조직(IBM Security)이 세계 550개 조직과 기업을 대상으로 약 3,600건의 인터뷰를 통해 조사한 결 이같이 집계되었다.
IBM Security가 시장조사기관 ‘Ponemon Institute’과 함께 펴낸 ‘데이터 침해 비용 보고서 2022’에 따르면 2021년 3월부터 2022년 3월까지 데이터 침해로 인해 피해를 입은 기업들은 사이버 공격 또는 데이터 침해를 당한 후 당장 쏟아부은 복구비나 몸값 이외에도 전체 비용의 거의 절반이 사고 후 1년이 지난 후에 발생한 것으로 나타났다.
데이터 침해나 유출이 생기면, 단순히 데이터 손실 뿐 아니라, 이를 복구하기 위한 시간이나 비용이 들고, 기업에 대한 평판이나 가치 등이 하락하면서 이를 만회하기 위한 유․무형의 기회비용이 든다는 얘기다. 또한 피해를 보지 않아도, 사전에 사이버 공격을 탐지하거나, 데이터 유출의 정도를 완화하고 사후 수습하는 데 드는 비용도 엄청나다. 이는 “짧게는 몇 달 또는 길게는 몇 년 동안 기업을 괴롭힐 수 있는 비용 부담”이다.
이번 조사 대상이 된 기업과 조직 중 85%는 조사 기간인 12개월 동안 두 번 이상 데이터 침해 사고를 당하기도 했다. 데이터 침해로 인한 평균 비용은 올해 435만 달러(한화 약 56억원)로 사상 최고치를 기록했으며 2021년에 비해 2.6%, 2020년에 비해 12.7% 증가했다. 특히 미국 기업들은 평균 944만 달러(한화 약 123억원)으로, 세계에서 가장 많은 액수를 기록했다.
조사 대상이 된 기업들이 데이터 침해로 지불한 비용의 50% 가까운 돈은 사건이 발행한 후 1년 이상 지난 뒤에야 추가로 지출된 것으로 나타났다. 이는 특히 소비자들에게 그 부담이 전가되고 있어 더욱 우려를 자아내고 있다. 데이터 침해로 피해를 본 조직의 약 60%가 자사 제품 가격을 올림으로써 고객에게 그 피해 부다을 전가하곤 했다. 결국 기업에 대한 사이버 공격이나 데이터 침해는 궁극적으론 소비자가 그 피해 부담을 떠안게 되는 셈이다.
데이터 침해를 당한 기업들의 경위와 이유를 살펴보면, 전체의 45%가 클라우드 기반이었고, 19%는 비즈니스 파트너가 (데이터 침해를 당해) 손상되었기 때문에 발생했으며, 나머지 19%는 도난 또는 손상된 자격 증명, 16%는 피싱 공격에 의해 유발되었다.
이에 IBM Security는 ‘비즈니스 리더가 데이터 침해 방지를 위해 할 수 있는 일’을 별도로 제시하고 있어 눈길을 끈다. 이에 따르면 무엇보다 ‘제로 트러스트 보안’이 중요하다. 즉, 원격이나 하이브리드 작업 환경과 멀티 클라우드 환경에서 제로 트러스트는 액세스를 제한하여 중요한 데이터나 기타 자산을 보호할 수 있다. 이를 위해 기업이나 조직의 구성원들은 서로 다른 시스템 간에 정보를 공유하고, 보안 작업을 중앙 집중화할 수 있는 보안 도구를 사용하는게 바람직하다는 권고다.
특정 정책이나 암호화를 사용하여 클라우드 내 데이터를 보호하는 방안도 제시되고 있다. 즉, 조직의 클라우드 호스팅 데이터베이스를 보호하려면 우선 데이터 분류 체계와 보존 프로그램을 적극 활용할 것을 권한다. 그러면 IT 부서가 외부 침해에 취약한 중요 데이터의 양을 보다 쉽게 확인하고 줄일 수 있게 된다. 중요한 파일을 보호하려면 데이터 암호화와 동형 암호화를 모두 사용하는게 좋다. 또한 “감사 항목에 내부 프레임워크를 사용하면 사용자가 보안 위험을 측정하고, 컴플라이언스 표준을 더 잘 준수하며, 회사의 데이터 침해 탐지 및 억제 능력을 향상시킬 수 있다.”고 주문하기도 했다.
자동화된 보안 툴로 전환하는 것도 좋은 방법으로 제시되고 있다. 즉, 보안 조정, 자동화 및 대응(SOAR), SIEM(보안 정보 및 이벤트 관리) 소프트웨어, XDR(확장 감지 및 응답) 등 세 가지 보안 툴을 자동화나 기존 보안 제품과 통합하는 방식이다. 그럴 경우 “IT 부서에서 보안 사고에 보다 신속하게 대응할 수 있도록 지원하고, XDR은 데이터 침해 비용을 절감할 수도 있다”는 얘기다..
도구를 사용하여 원격 엔드포인트를 보호하는 것도 중요하다는 주문이다. 데이터 침해가 가장 빈발한 것은 원격 작업이다. 따라서 UEM(Unified Endpoint Management), EDR(Endpoint Detection and Response), IAM(Identity and Access Management)과 같은 툴을 사용하면 기업 본사나 조직에서 직접 관리하지 않는 원격 장치와 엔드포인트에서 의심스러운 활동을 보다 명확하게 파악할 수 있다는 논리다.
IBM Security는 또 “인시던트 대응 조치를 만들어 보안 방어를 개선할 것”을 주문하고 있다. 이에 따르면 데이터 침해 비용을 억제하는 효과적인 방법 중 하나는 사고 대응 팀을 구성한 다음 대응 계획을 수립하고 테스트하는 것이다. 침해 사고에 신속히 대응하기 위해 시뮬레이션된 환경을 사용하여 테이블 상판 연습이나 침해 상황의 시나리오를 재현, 정기적으로 연습할 필요가 있다는 얘기다.