작년 기업의 데이터 유출 사고 당 평균 손실액이 424만 달러(약 48억9천만원)로, 역대 최고치를 기록한 것으로 나타났다.
IBM시큐리티는 전세계 500개 이상의 기업 및 조직에서 경험한 실제 데이터 유출 사례를 심층 분석해 이같은 연구 결과를 2일 발표했다.
■'원격근무'가 데이터 유출 원인이면 피해액 20% 더 높아
평균 손실액이 증가한 배경으로는 코로나19로 보안 관리가 부실해진 점을 짚었다. IBM시큐리티는 코로나19 기간 동안 기업이 급격한 운영 변화로 보안 사고를 통제하기 더욱 어려워졌으며, 이 때문에 보안 사고로 인한 관련 비용도 전년 대비 약 10% 증가했다고 봤다.
이번 조사에 따르면 기업 중 60%가 클라우드 기반 활동을 확대했다. 원격근무 확대에 따른 기술 접근 방식 조정이 이같은 결과를 불러왔다는 분석이다. 보고서는 이런 급속한 기술 변화가 데이터 유출에 대한 대응력 저하를 야기했다고 봤다.
보고서는 데이터 유출 사례 중 약 20%가 원격근무가 사고 요인이었다고 밝혔다. 원격근무가 데이터 유출 사고 요인에 포함된 경우, 그렇지 않은 경우보다 피해 금액이 평균 100만 달러(약 11억5천만원) 더 높은 496만 달러(약 57억2천만원)로 나타났다.
코로나 기간 동안 운영 상의 변화가 컸던 업계인 의료, 소매, 서비스, 소비자 제조·유통 분야는 전년 대비 데이터 유출 피해 금액이 크게 증가했다. 특히 의료업계 유출 사고 피해액은 사고당 923만 달러(약 106억4천만원)로 전년 대비 200만 달러 증가했다. 금융 부문과 제약 부문 피해액이 각각 572만 달러(약 66억원), 504만 달러(약 58억1천만원)으로 그 뒤를 이었다.
가장 주요한 데이터 유출 원인으로는 도난된 인증정보가 꼽혔다. 고객 개인 정보는 데이터 유출 사고 시 노출되는 가장 일반적인 유형의 정보로 나타났다. 데이터 유출 사고의 44%가 이런 유형의 정보를 포함하고 있었다. IBM시큐리티는 이런 정보가 유출되면 향후 추가 공격 가능성을 유발할 수 있다고 설명했다.
데이터 5천만~6천500만건 수준의 대규모 유출 사고 평균 비용은 4억1천만달러(약 4천726억원)였다. 이는 보고서에서 조사한 유출 사례 중 대부분을 차지하는 1천~10만건 유출 사례 피해액보다 거의 100배 더 많았다.
국가별 피해를 살펴보면 미국은 데이터 유출 사고 비용이 건당 905만 달러(약 104억3천만원)로 가장 컸으며, 중동(693만 달러)과 캐나다(540만 달러)가 그 뒤를 이었다.
데이터 유출 사고, 탐지 대응에 걸리는 평균 시간은 탐지에 212일, 대응에 75일 총 287일로 나타나 전년 조사 결과보다 일주일 길어졌다.
■AI보안·제로트러스트·클라우드 준비한 기업, 데이터 유출 피해 규모 ↓
인공지능(AI), 보안 분석, 암호화 도입은 유출 사고로 인한 피해액을 줄일 수 있는 요소로 나타났다. 조사에 따르면, 이런 도구를 사용하는 기업은 사용하지 않는 기업에 비해 피해 비용을 125만~149만 달러(약 14억4천만~17억2천만원) 절감했다.
안전한 영역을 따로 구분짓지 않는 '제로트러스트' 보안 방식을 채택한 기업은 데이터 유출에 더 잘 대처할 수 있었다. IBM시큐리티는 성숙한 제로 트러스트 전략을 보유한 조직의 평균 데이터 유출 사고 비용은 328만 달러(약 37억8천만원)로, 그렇지 않은 조직보다 176만 달러(약 20억3천만원) 낮았다.
클라우드 전환 프로젝트를 진행하는 중 데이터 유출 사고가 발생한 기업은 평균보다 18.8% 높은 비용을 지출했다. 그러나 클라우드 현대화 전략이 많이 진행돼 성숙 단계에 있는 기업들은 초기 도입 단계인 기업보다 평균 77일 더 빠른 252일만에 데이터 유출을 감지하고 대응할수 있었다.
클라우드 기반 데이터 유출 사고를 조사했을 때, 하이브리드 클라우드 접근 방식을 구현한 조직은 데이터 유출로 인한 피해액이 평균 361만 달러(약 41억6천만원)를 기록했다. 480만 달러로 집계된 퍼블릭 클라우드, 455만 달러로 집계된 프라이빗 클라우드 사용 기업에 비해 낮았다.
코로나19 기간 동안 디지털 전환 프로젝트를 진행하지 않은 기업의 경우 데이터 유출에 따른 비용이 더 컸다. 평균 75만 달러(약 8억7천만원) 더 높았다.
사고 대응팀을 운영하면서 사고 대응 계획을 테스트한 회사의 평균 사고 피해 비용은 325만 달러(약 37억5천만원)인 반면, 그렇지 않은 기업의 평균 사고 피해 비용은 571만 달러(약 65억8천만원)로 더 높았다.
크리스 맥커디 IBM 시큐리티 총괄 부사장은 "코로나 기간 동안 급속한 기술 변화를 겪고 있는 기업들에게 증가한 데이터 유출 사고 비용은 또 다른 추가 비용"이라며 "지난 1년간 데이터 유출 피해액이 사상 최고치를 기록했지만, 보고서를 통해 AI, 자동화, 제로트러스트 접근 방식과 같은 현대적 보안 기술의 긍정적인 영향력에 대해서도 확인할 수 있었다"고 말했다.
■한국 기업 평균 피해액 41억…이메일 계정 유출 시 피해 커져
한국 기업 현황을 살펴보면 데이터 유출에 따라 평균 41억1천만원의 손실을 입은 것으로 나타났다.
유출 데이터 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순이었다.
데이터 유출 사고의 가장 주요한 최초 공격 방법은 사용자 인증 정보의 도용으로 20% 이상이 이를 통해 발생했다. 클라우드의 구성 오류, 피싱 등이 후순위로 조사됐다.
데이터 유출 사고 시 피해가 가장 컸던 최초 공격 방법은 비즈니스 이메일의 유출로, 데이터 유출 시 피해액은 평균 67억6천만원이었다. 사회공학적 해킹은 약 52억9천만원, 피싱은 약 49억2천만원으로 나타났다.
한국 사용자 10명 중 9명은 여러 계정에서 같은 패스워드를 사용한다고 답변했다. 이에 대해 IBM시큐리티는 사용자 인증 정보가 유출되면서 또다른 데이터 유출 사고의 주요 원인이자 결과로 나타났다고 지적했다.
관련기사
- 코로나19, 1인당 온라인 계정 14개 늘렸다…"해킹 면적 확대"2021.06.15
- 정보 유출 겁난 원격근무 기업들, IT 예산 늘렸다2021.02.23
- IBM "원격근무 속 인력관리, 기업 최우선 과제”2021.02.03
- 원격근무 장기화..."홈네트워크 해킹 증가할 것"2020.12.16
제로트러스트 접근 방식의 성숙 단계에 있는 기업들의 평균 데이터 유출 피해액은 약 26억원인 반면, 제로 트러스트 접근 방식을 아직 시작하지 않았다고 답변한 기업들의 피해액은 약 50억5천만원으로 조사됐다.
보안 자동화를 부분적으로(38%) 또는 완전하게(25%) 도입했다고 답변한 기업은 63%로 나타나 보안 자동화의 도입 비율이 높아지고 있는 것으로 나타났다.
