글로벌 IT 리더 기업인 IBM은 지난 18년간 매년 데이터 유출 비용 보고서를 통해 전 세계 사이버 보안 전문가들에게 인사이트를 제공하는 대표적인 보고서입니다. 이때 데이터 유출 비용(Data Breach Cost)은 정의하기 쉽지 않지만 IBM뿐 아니라 많은 기업과 분석가들이 해당 용어를 사용하고 있으며, 점점 더 많은 조직이 공격과 노출의 타겟이 되면서 사이버 공격에 대한 금전적 영향에 더욱 주목받고 있습니다.
데이터 유출 비용(Data Breach Cost): 데이터 유출로 인한 조직 및 기업이 지출하는 직접 및 간접적 비용
어떠한 형태와 규모를 가지든 현재 기업들에게 데이터 유출로 인한 금전적 영향은 상당합니다. IBM의 최신 데이터 유출 비용 보고서에 따르면 2023년 전 세계적으로 데이터 유출의 평균 비용은 사상 최고치인 445만 달러(약 58억 원)에 달했습니다. 이 수치는 전년 대비 2.3%, 2020년 대비 15.3% 증가한 수치입니다. 대한민국 기업 역시 2022년에 43억3400만원 상당의 사상 최고 피해액을 기록하였습니다.
사고 유형 및 심각도, 규제 기준, 회사 규모, 분야 및 지역과 같은 요인은 데이터 유출로 인해 비즈니스에 미칠 수 있는 비용이 달라질 수 있기 때문에, 어떠한 기업이든 데이터 유출로 인한 금전적 피해에 대해 신중하게 평가하고 대비해야 합니다.
데이터 유출 비용에 영향을 미치는 요인
IBM의 2023년 보고서는 데이터 유출 비용에 영향을 미치는 요인에 대해 다음과 같이 정리했습니다.
1) 산업분야
의료 분야의 평균 데이터 유출은 2023년에 증가하여 모든 산업에서 가장 비싼 1,093만 달러(약 142억 원)에 이르렀고, 금융 분야는 평균 590만 달러(약 77억 원)로 두 번째로 높은 비용을 기록했습니다. 또한 일반적으로 제약 회사의 데이터 유출 평균 비용은 482만 달러(약 62억 원)였습니다.
2) 국가 및 지역
데이터 유출 평균 비용이 가장 높은 상위 5개 국가 및 지역은 미국 948만 달러(약 123억 원), 중동 807만 달러(약 105억 원), 캐나다 513만 달러(약 67억 원), 독일 467만 달러(약 61억 원), 일본 452만 달러(약 59억 원)였습니다. 영국은 평균 비용이 작년보다 16.6% 감소한 421만 달러(약 55억 원)로 크게 감소하여 상위 5위권 밖에 위치했습니다.
3) 사이버 보안 접근 방식
2023년 연구는 또한 법 집행을 제외한 랜섬웨어 사건에서 보다 많은 비용이 발생하는 것으로 나타났습니다. 응답자의 63%가 법 집행 기관의 개입을 원한다고 답한 반면, 37%는 9.6%의 비용을 더 지불하지 않고 침해 라이프 사이클을 33일 더 길게 경험했습니다. 또한 보안 AI 및 자동화는 비용을 절감하고 침해를 식별하고 억제하는 시간을 최소화하기 위한 중요한 투자인 것으로 나타났습니다. 보안 AI 및 자동화에 투자하고 활용한 기업은 침해를 식별하고 억제하는 데 걸리는 시간이 평균 108일 단축되었습니다. 또한 해당 기능을 사용하지 않은 기업에 비해 데이터 유출 비용이 176만 달러(약 22억 원) 더 낮았다고 보고했습니다.
4) 시스템 환경
공격자가 클라우드 환경을 겨냥한 공격은 평균보다 높은 475만 달러(약 62억 원)의 비용이 발생했으며, 보안 시스템 복잡성이 낮거나 전혀 없다고 보고한 기업은 2023년에 평균 384만 달러(약 50억 원)의 데이터 유출 비용을 지불했습니다.
5) 사건 대응 계획 밑 테스트
사건 대응(IR) 계획 및 테스트는 데이터 유출 비용을 억제하기 위한 매우 효과적인 전략으로 밝혀졌습니다. IR 계획 및 테스트 수준이 높은 조직은 낮은 수준의 조직에 비해 149만 달러(약 19억 원)를 절약했다고 보고서는 밝혔습니다.
6) 직원 수
2023년에는 직원 수가 5,000명 이상인 조직의 평균 데이터 유출 비용이 2022년에 비해 감소했습니다. 반면 직원 수가 5,000명 이하인 조직에서는 데이터 유출의 평균 비용이 상당히 증가했습니다. 직원이 500명 미만인 조직은 데이터 유출의 평균 영향이 292만 달러(약 38억 원)에서 331만 달러(약 43억 원)로 13.4% 증가했다고 보고했습니다. 직원 수가 500~1,000명인 직원은 271만 달러(약 35억 원)에서 329만 달러(약 43억 원)로 21.4% 증가했습니다. 1,001~5,000명의 직원 범위에서 데이터 유출의 평균 비용은 406만 달러(약 53억 원)에서 487만 달러(약 63억 원)로 거의 20% 증가했습니다.
평판 손상은 여전히 데이터 유출의 가장 큰 비용 중 하나입니다
오래된 진부한 표현이지만 고객 신뢰에 돈을 걸 수는 없으며 평판 손상은 여전히 기업에 가장 중요한 데이터 유출 비용 중 하나라고 전문가들은 동의합니다. 궁극적으로 고객 신뢰는 깨지기 쉽고 구축하기는 매우 어렵습니다. 또한 상장 기업의 경우 평판이 주가 움직임에 반영됩니다.
데이터 유출 피해 기업에 계속해서 큰 영향을 미치는 특정 비용 중 하나는 지적 재산의 도난/분실입니다. 실제 데이터 유출 사고가 발생하면 언론 미디어는 고객 데이터 유출을 중점적으로 다루지만 실제 기업에 가장 악영향을 끼치는 것은 지적 재산으로 지적 재산을 잃으면 회사의 성장이 파괴될 수 있습니다. 특허, 엔지니어링 설계, 영업 비밀, 저작권, 투자 계획 및 기타 독점 및 기밀 정보를 도난당하면 경쟁 우위를 상실하고, 수익에서 손실이 발생하며 회사에 지속적이고 잠재적으로 돌이킬 수 없는 경제적 피해가 발생할 수 있기 때문입니다.
또한 기업이 데이터 유출 사고에 어떻게 대응하고 알리는지에 따라 기업 평판에 큰 영향을 미칠 수 있습니다. 그리고 이에 따른 재정적 손실이 발생할 수 있습니다. 이때, 고객과의 신뢰를 유지하기 위해서 특히 투명성을 구축하고 공감을 사용해야 합니다. 이는 실제 데이터 유출 사고 이후 고객이 기업을 인식하는 방식에 큰 차이를 만들 수 있는데요, 사고를 숨기려고 하면 굉장한 악영향을 끼칠 수 있으며, 해당 기업에 대한 고객의 신뢰도가 단지 데이터 유출로 인한 피해보다 훨씬 더 큰 영향을 끼칠 수 있습니다.
심각한 비즈니스 중단으로 인해 수백만 달러의 비용이 발생할 수 있습니다
CSO에게 업무 중단 시간은 중단 시간의 수준과 범위, 회사의 기술 의존도에 따라 데이터 유출 기업에 상당한 비용을 초래할 수 있습니다. 데이터 유출로 인해 회사가 완전히 중단되지는 않지만 중단된 시스템이 더욱 중요할수록 더 많은 비용이 발생합니다.
규제 및 소송으로 인해 데이터 유출 비용이 증가합니다
점점 더 엄격해지는 데이터 보호 및 개인 정보 보호법과 소송으로 인해 점점 더 많은 회사가 거액의 벌금을 부과하고 막대한 합의금을 지불하며 데이터 유출 및 규정 미준수에 따른 법적 비용을 부담하고 있습니다. 중국 기업 디디 글로벌(Didi Global)은 회사가 국가의 네트워크 보안, 데이터 보안 및 개인 정보 보호법을 위반했다고 판단한 후 중국 정부로부터 80억 2600만 위안(약 1,459억 원)의 벌금을 부과 받았습니다.
한편, 아마존은 GDPR 쿠키 규칙 위반으로 8억 7,700만 달러(약 1,139억 원)의 벌금을 부과 받았고, T-Mobile은 2021년 초 데이터 위반에 따른 통합 집단 소송을 해결하기 위해 3억 5,000만 달러(약 454억 원)를 지불하기로 합의했으며, Google은 호주 사용자에게 위치 데이터를 얻기 위한 가이드를 잘못 제공한 것에 대해 벌금으로 6,000만 달러(약 78억 원)를 지불하기로 합의했습니다.
IBM의 2023년 보고서는 규정 위반의 수준에 따라 데이터 유출 비용에서 104만 달러(23%)(약 13억 원)의 차이를 언급했습니다. 따라서 데이터 보호 규정에 따라 처벌을 받거나, 개인 또는 그룹이 제기한 집단 소송을 해결하거나, 법률 대리인/일반 고문을 요청하는 등 현실적으로 모든 기업은 데이터 위반과 관련된 잠재적인 규제 및 소송 지출에 대비해야 합니다.
점점 더 많은 기업들이 랜섬웨어 몸값 비용을 지불하고 있습니다
랜섬웨어 사고 대응의 일환으로 몸값을 지불하는 데 있어 점점 더 많은 기업들이 개방적이 되어가고 있으며 심지어 이를 우해 수백만 달러를 지불하고 있습니다. 공격자들은 랜섬웨어로 기업의 중요 데이터를 암호화한 뒤 기업이 운영을 재개하기 위해 몸값을 지불하라고 요구합니다. 최근 연구에 따르면 2022년 랜섬웨어 공격을 받은 기업의 83%가 적어도 한 번은 몸값을 지불하기로 결정했다고 밝혀졌습니다.
IBM의 2023년 보고서에 따르면 랜섬웨어 공격 중에 몸값을 지불한 기업은 평균 506만 달러(약 65억 원)를 지불했으며, 이는 랜섬웨어 공격으로 인한 피해 액수인 517만 달러(약 67억 원)에 비해 2.2% 정도의 미세한 차이만 있었습니다. 그러나 이 계산에는 몸값 자체의 비용이 포함되지 않으며, 대부분의 랜섬웨어에 대한 몸값이 높다는 점을 감안할 때 몸값을 지불한 조직은 그렇지 않은 조직보다 전반적으로 더 많은 지출을 했을 가능성이 높습니다. 결국 랜섬웨어에 대한 몸값을 지불하는 것이 반적으로 점점 더 불리해지고 있음을 나타냅니다.
보안 인력 부족으로 데이터 유출 비용이 증가하고 있습니다
IBM의 최신 보고서에 따르면 보안 기술 부족은 가장 큰 데이터 유출 비용 증가의 원인 중 하나이며 보안 기술 부족 수준이 높은 기업의 평균 유출 비용은 536만 달러(약 69억 원)였습니다. 이러한 이유 때문에 데이터 유출 비용이 증가한다면 기업은 제대로 처리되지 않은 데이터 유출이 직원에게 미칠 수 있는 영향 또한 고려해야 하는데요. 보안 침해가 발생한 경우 기업이 자신이나 고객을 보호할 수 없다고 느끼거나 유출 사고에 대해 직원을 비난하는 경우 다른 곳에서 일자리를 찾기 시작할 가능성이 높습니다. 그렇다면 기업은 보안 인력이 부족할 뿐만 아니라 신규 직원 채용 및 온 보딩과 관련된 비용을 분담해야 합니다. 따라서 기업이 유출에 대한 책임을 받아들이고 직원과 고객 모두를 보호해야 한다는 것을 인식하는 것이 매우 중요합니다.
보안 사고에 대한 철저한 대비는 데이터 유출 비용 관리의 핵심입니다
전문가들은 궁극적으로 보안 사고에 대한 철저한 대비가 데이터 유출의 금전적 영향을 관리하는 데 중요합니다. 빠른 사고 대응은 계속해서 위반 비용을 낮출 수 있습니다. 보안 사고를 오랜 시간 동안 감지하지 못하거나 느리거나 비효율적으로 대응을 하는 것이 큰 손실을 초래합니다.
여러분 기업의 분야 및 규모 등 여러분 기업에 초맞춤형으로 보안 시스템을
비용효과적으로 구축하여 데이터 유출로 인한 모든 피해 비용을 예방할 수 있습니다
Total ICT・지능형 보안 서비스 전문 플랫폼 혁신기업, 위드네트웍스
위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.
또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 특히 여러분 기업에 최적화된 지능형 아이덴티티 보안 체계를 하고자 하시거나 이에 대한 문의 사항이 있으시다면 아래의 제품 문의를 통해 자유롭게 문의 주시기 바랍니다!
감사합니다, 위드네트웍스는 여러분의 비즈니스를 응원합니다!
<참고: "What is the cost of a data breach ", Michael Hill, 2023.07>
'보안 Information' 카테고리의 다른 글
| QR코드 스캔을 통한 해킹, '큐싱(Qshing)' 공격이란? - 위드네트웍스 (0) | 2023.12.15 |
|---|---|
| 하이브리드 업무 환경에서 사이버 보안 위험에 대응하는 방법 - 위드네트웍스 (1) | 2023.12.01 |
| 피싱 공격 트렌드를 알아야 막을 수 있습니다 - 위드네트웍스 (0) | 2023.07.10 |
| 챗GPT에서 개인 정보 삭제하는 방법 - 위드네트웍스 (0) | 2023.06.27 |
| 인증과 권한 부여의 차이점(Authentication VS Authorization) (SailPoint IGA) - 위드네트웍스 (0) | 2023.03.09 |
