IBM시큐리티, ‘2022 데이터 유출 보고서’, 각국 평균 435만 달러
“글로벌 기업들 사상 최고치 경신…2018년부터 꾸준히 증가”
[애플경제 박문석 기자] 지난 1년간 전 세계 기업체 한 곳마다 평균 435만달러의 해킹 피해를 본 것으로 나타났다. 한국 기업 역시 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억3400만원 상당의 사상 최대 피해액을 기록했다. 보안업체인 IBM 시큐리티는 한국을 포함한 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 ‘2022 데이터 유출 비용 연구 보고서’에서 이같이 밝혔다. 글로벌 기업들의 평균 손실액은 이 회사가 지난 17년간 조사한 결과 가운데 최고 액수인 것으로 드러났다.
이번 보고서는 전 세계 550개 기업 및 조직이 경험한 실제 데이터 유출 사례를 심층 분석했다. 조사에 따르면 최근 2년간 보안 사고로 인한 관련 비용이 12.7% 늘어났다. 이에 보고서는 이러한 비용 상승이 최종 재화 및 서비스 가격 인상을 야기할 수 있다는 점을 지적했다. 실제로 조사에 참여한 기업의 60%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 답했다.
IBM시큐리티는 “데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다는 점을 조명했다.”면서 “조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 총비용 중 절반 가까운 금액은 사건 발생 1년 이후에 나타나는 등, 기업 비즈니스에 오랫동안 후유증을 남기는 것으로 드러났다”고 밝혔다.
특히 한국의 경우 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순이었다. 지난해에 이어 올해도 이들 3가지 분야의 산업체들이 데이터 보안 위협으로 인해 가장 큰 손실을 본 것으로 드러났다. 이에 따르면 국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았으며, ‘클라우드 구성 오류’와 ‘제3자 소프트웨어의 취약성 공격’이 뒤를 이었다.
해당 보고서는 또 “데이터 유출 피해 규모에는 기업의 보안 성숙도가 영향을 미쳤다.”고 결론 지어 눈길을 끌었다. 이에 따르면 ‘제로 트러스트’ 접근 방식을 도입하지 않은 국내 기업의 피해액은 약 50억원에 달한 반면, 이를 도입한 후 성숙기에 접어든 기업의 피해액은 약 38억원에 그친 것으로 나타났다. 즉 “선제적인 보안 투자가 실제 금전적인 피해 규모를 낮출 수 있었던 것”이란 설명이다. 다행히 “한국 기업 10 중 8곳 이상(81%)은 제로 트러스트 접근 방식의 성숙기에 도달했거나 과도기를 지나고 있어 대다수가 보안의 중요성을 인지하고 있다”는 분석이다.
이에 따르면 또 보안 인공지능(AI) 및 자동화로 수백만달러 비용 절감: 보안 AI 및 자동화를 완전히 구현했다고 답한 기업들은 그렇지 않은 기업들에 비해, 평균적으로 305만달러의 데이터 유출 비용을 절감한 것으로 밝혀졌다. 또 응답 기업 중 43%는 “클라우드 환경 전반에 걸쳐 보안 전략을 적용하지 않거나 이제 막 시작하는 단계”라고 응답했다. 이러한 기업은 클라우드 보안 전략을 채택한 기업에 비해 평균 66만달러나 큰 피해액을 기록했다.
기업들이 가장 많이 사용 중인 IT 인프라 모델은 하이브리드 클라우드 모델(45%)인 것으로 나타났다. 하이브리드 클라우드 인프라 모델을 채택한 기업의 피해액은 평균 380만달러인 반면, 단일 퍼블릭이나 프라이빗 클라우드를 활용하는 기업의 피해액은 각각 평균 502만달러, 424만달러에 달했다.
랜섬웨어 피해로 인해 공격자에 몸값을 지불하기로 결정한 기업의 피해액은 그렇지 않은 기업보다는 61만달러 적은 것으로 나타났다. “이 수치가 몸값 자체 금액을 포함하지 않은 점을 고려하면, 천문학적인 몸값까지 고려할 경우 단순히 몸값을 지불하는 것은 효과적인 전략이 아니라는 점을 시사한다.”는게 IBM시큐리티의 분석이다.
보고서는 결론적으로 “데이터 유출로 인한 재정적 영향을 최소화하기 위해 제로 트러스트 보안 모델 채택을 통해 민감한 데이터에 대한 무단 액세스를 방지할 것”을 주문하면서 “특히 보안 오케스트레이션·자동화·대응(SOAR) 및 확장된 탐지 및 대응(XDR)에 투자해 탐지 및 대응 시간을 개선할 것”을 권장했다.
(자료 : IBM시큐리티)