국내 기업들이 해킹, 보안사고 등 데이터 침해로 인한 피해와 복구 등에 평균 38억원을 지출한 것으로 조사됐다.
IBM 시큐리티가 글로벌 보안컨설팅 전문업체인 포네몬 인스티튜트와 함께 발표한 ‘2020 글로벌 기업 데이터 유출 현황 보고서’에 따르면, 올해 평균적으로 국내 기업들은 38억원의 데이터 침해 비용을 지출한 것으로 나타났다. 이는 지난해(35억5300만원)보다 7% 증가한 것이다. 데이터 침해 비용이란 데이터 유출을 인지하고, 이에 대한 대응과 복구, 사고 재발 방지 등에 드는 비용을 말한다.
이 보고서는 IBM이 포네몬 인스티튜트와 함께 전 세계 17개 국가와 지역에서 2019년 8월부터 2020년 4월 사이 524개 기업을 대상으로 조사한 것이다. 한국에서는 24개 기업이 조사에 참여했다. IBM 측은 “올해 전 세계 기업 평균 데이터 침해 비용은 작년보다 1.5% 감소했지만, 조사 대상 17곳 중 12곳은 피해액이 증가했다”고 했다. 한국이 이에 속한다. 가장 피해액이 큰 국가는 미국이었다. 미국 기업들은 평균 103억원의 데이터 침해 비용을 지출했다. 전 세계 기업 평균 데이터 침해 비용은 46억원으로 나타났다.
데이터 유출 사고 대부분은 악의적인 혹은 범죄 목적
데이터 침해 1건 당 비용은 전년 16만5100원 대비 18.2% 증가한 19만5200원으로 조사됐다.
국내 기업의 데이터 침해 발생 원인 중 절반이 악의적인 혹은 범죄를 목적으로 한 공격이었다. 내부 시스템 결함(29%), 임직원 단순 실수(21%)가 그 뒤를 이었다.
평균적으로 데이터 침해 원인을 식별하는데 걸리는 시간은 작년 기준 216일보다 증가한 223일로 분석됐다. 데이터 침해 해소에 걸리는 시간도 마찬가지로 작년 71일보다 증가한 78일로 나타났다.
보고서에 따르면, 평균 데이터 침해 원인 식별 기간이 100일 미만일 경우 26억100만원의 피해 금액을 기록했다. 반면 100일 이상일 경우 49억9800만원을 기록하는 등 차이를 보였다.
데이터 침해 해소 기간이 30일 미만일 경우 33억100만원의 피해 규모를 기록했으나, 30일 이상일 경우 피해 규모는 42억9900만원으로 급증했다.
보안 자동화 기술 활용 기업은 피해액 크게 줄어
세계적으로 올해 데이터 침해 피해가 가장 컸던 분야는 의료업이었다. 의료업의 경우 데이터 유출 평균 총 비용이 85억원에 달했다. 이는 작년보다 10.5% 증가한 것이다. 의료 부문이 데이터 피해를 가장 많이 보는 건 10년째 계속되고 있다. 민감한 개인정보인 의료정보를 탈취하려는 시도가 늘었고 이에 대한 피해도 커진 것으로 분석됐다.
심층 분석한 결과, 80%가 고객의 개인식별정보(Personally Identifiable Information, PII) 유출 건으로 밝혀졌다. 피해액 규모 측면에서도 고객 개인식별정보 관련 데이터 유출이 기업에 가장 큰 피해를 줬다. IP 유출은 30%로 그 뒤를 이었다. 코로나19 펜데믹과 언택트 시대가 도래하면서 기업 원격 근무가 증가하면서 주요 데이터가 통제가 비교적 덜 엄격한 환경으로 이동하게 됐는데, 네트워크에 대한 가시성이 저하돼 침해 사고에 더 취약해진 경향을 보였다.
보안 자동화 기술을 활용하는 기업의 평균 피해액은 245만 달러(약 29억원)인 반면, 그렇지 않은 기업 피해액은 603만 달러(약 72억원)를 기록했다. 약 385만 달러의 비용 격차가 발생했다.
인공지능(AI), 머신러닝 등 보안 자동화 기술을 활용하는 기업은 약 27% 이상 더 빠르게 침해를 탐지해 통제할 수 있었다. 지난 2018년(151만 달러)과 작년(251만 달러)의 비용 격차를 살펴 보면, 최신 보안기술의 도입 유무에 따른 기업간 피해액 격차가 지속적으로 증가하는 추세다.
웬디 휘트모어 IBM 엑스포스 위협 인텔리전스 부문 총괄 부사장은 “기업들이 급속도로 디지털화를 진행하는 상황에서 보안 인력 부족으로 인해 여러 IT 팀이 더 많은 디바이스, 시스템, 데이터를 확보하는 것에 부담을 느끼고 있다"며 "보안 자동화를 통해 더 빠른 침해 대응이 가능하고 비용 효율성이 대폭 향상돼 부담을 덜어준다”고 강조했다.