(씨넷코리아=김태훈 기자) IBM시큐리티가 2일 최근 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 최신 연구 결과를 발표했다.
이 연구 결과에 따르면 조사 대상 기업들은 데이터 유출로 인해 사고당 평균 424만달러의 손실을 본 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억1000만원의 손실을 본 것으로 나타났다.
전 세계 500개 이상의 기업 및 조직에서 경험한 실제 데이터 유출 사례를 심층 분석한 이 연구에 따르면 코로나 기간 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 커져 전년 대비 약 10% 증가한 것으로 나타났다.
코로나 기간 사회가 디지털 상호작용에 더 많이 의존함에 따라, 기업들은 점점 더 온라인화되는 세계를 수용하기 위해 원격 근무와 클라우드로 전환했다. 보고서는 이러한 요인들이 데이터 유출 사고 대응에 상당한 영향을 미친다는 것을 발견했다. 연구 대상 조직의 약 20%가 원격 근무가 데이터 유출 사고의 요인 중 하나이며, 사고로 인해 기업은 496만달러(원격 근무가 사고 요인에 포함되지 않는 일반 데이터 유출 사고보다 약 15% 더 많은 피해액)의 손실을 보게 됐다고 답했다.
조사 대상 중 클라우드 전환 프로젝트를 진행하는 중에 데이터 유출 사고가 발생한 기업은 평균보다 18.8% 높은 비용을 지출했다. 그러나 전반적인 클라우드 현대화 전략이 더욱 많이 진행돼 ‘성숙 단계’에 있는 기업들은 초기 도입 단계에 있는 기업들보다 평균 77일 더 빠르게 사건을 감지하고 대응할 수 있었다(252일vs.329일). 클라우드 기반 데이터 유출 사고를 조사했을 때, 하이브리드 클라우드 접근 방식을 구현한 조직(361만달러)은 퍼블릭 클라우드(480만달러)만 또는 프라이빗 클라우드만 주로 사용하는 기업(455만달러)에 비해 데이터 유출로 인한 피해액이 낮았다.
또한 이 보고서는 데이터 유출로 인해 소비자 정보(인증 정보 포함)가 유출돼 추가 공격에 사용될 수 있는 가능성이 증가하고 있음을 지적했다. 최근 다른 조사에 참여한 한국 사용자 10명 중 9명이 여러 계정에서 같은 암호를 사용한다고 답변했다. 코로나 발생 이후 어떤 IT 전환은 데이터 유출 사고 비용을 증가시키기도 했지만, 이 기간 비즈니스 운영을 현대화하기 위한 어떠한 디지털 전환 프로젝트도 진행하지 않았다고 답한 조직에서는 실제로 데이터 유출 비용이 더 많이 발생했다. 사고 비용은 코로나로 인한 디지털 전환을 겪지 않은 조직이 평균보다 75만달러(16.6%) 높았다.
제로 트러스트 보안 방식을 채택한 기업은 데이터 유출에 더 잘 대처할 수 있었다. 이 접근 방식은 사용자 ID 또는 네트워크 자체가 이미 손상됐을 수 있다는 가정하에 가동하며, 대신 AI와 분석에 의존해 사용자와 데이터 및 리소스 간의 연결을 지속해서 검증한다. 성숙한 제로 트러스트 전략을 보유한 조직의 평균 데이터 유출 사고 비용은 328만달러로 이 방식을 전혀 적용하지 않은 조직보다 176만달러 낮았다.
연구 결과 예년보다 더 많은 기업이 보안 자동화를 구현하고 있어 상당한 비용 절감 효과를 거두고 있음을 발견했다. 2년 전에는 52%의 기업이 보안 환경 내에 자동화를 부분적으로 또는 완전히 구현하고 있다고 답한 반면, 이번에는 약 65%가 자동화를 구현하고 있다고 답했다. 보안 자동화 전략을 ‘완전 구축’한 조직은 평균 유출 비용이 290만달러에 불과한 반면, 자동화 기능이 없는 조직은 671만달러로 두 배 이상의 비용을 감당해야 했다.
사고 대응팀과 대응 계획에 대한 투자도 조사 대상자들 사이에서 데이터 유출 비용의 차이를 만들었다. 사고 대응 계획을 테스트한 사고 대응팀이 있는 회사의 평균 사고 피해 비용은 325만달러인 반면, 두 가지가 없는 기업의 평균 사고 피해 비용은 571만달러(54.9% 차이)로 나타났다.
크리스 맥커디(Chris McCurdy) IBM 시큐리티 총괄 부사장은 “코로나 기간 급속한 기술 변화를 겪고 있는 기업들에 증가한 데이터 유출 사고 비용은 또 다른 추가 비용”이라며 “1년간 데이터 유출 피해액이 사상 최고치를 기록했지만 보고서를 통해 AI, 자동화, 제로 트러스트 접근 방식과 같은 현대적 보안 기술의 긍정적인 영향력에 관해서도 확인할 수 있었다”고 말했다. 이어 “이런 기술을 도입함으로써 사고 피해액을 더 줄일 수 있을 것으로 생각한다”고 덧붙였다.