2017.09.21

사이버보안 사고 비용은 증가했으나 IT 보안 예산은 감소…카스퍼스키랩

Ms. Smith | CSO
2017년 카스퍼스키랩 설문조사에 따르면, 북미 지역 평균 데이터 유출 비용은 대기업이 130만 달러, 중견중소기업이 11만 7,000달러였다.


Cerdit: U.S. Army illustration

미국 국토안보부(DHS)는 9월 13일 미연방기관에서 카스퍼스키 랩 소프트웨어 사용을 금지하는 지침을 발표했다. 금지된 소프트웨어는 카스퍼스키 안티바이러스(Kaspersky Anti-Virus), 카스퍼스키 인터넷 시큐리티(Kaspersky Internet Security), 카스퍼스키 토털 시큐리티(Kaspersky Total Security), 카스퍼스키 스몰 오피스 시큐리티(Kaspersky Small Office Security), 카스퍼스키 안티 타겟티드 어택(Kaspersky Anti Targeted Attack), 카스퍼스키 엔드포인트 시큐리티(Kaspersky Endpoint Security), 카스퍼스키 클라우드 시큐리티(Kaspersky Cloud Security (Enterprise)), 카스퍼스키 사이버시큐리티 서비스(Kaspersky Cybersecurity Services), 카스퍼스키 프라이빗 시큐리티 네트워크(Kaspersky Private Security Network), 그리고 카스퍼스키 임베디드 시스템 시큐리티(Kaspersky Embedded Systems Security) 등이다.

DHS의 움직임에 이어 미국 상원은 9월 18일 국방수권법안(The National Defense Authorization Act, NDAA)에 첨부된 수정안을 통과시켰다. 이 또한 카스퍼스키 소프트웨어를 연방 정부에서 사용하는 걸 금지하는 내용이다. 베스트바이(Best Buy)와 오피스디포(Office Depot)는 이 소프트웨어 판매를 중지했다.

카스퍼스키랩의 유일한 죄는 단지 러시아 기업이라는 것이다. 나머지는 지정학적인 것과 함께 카스퍼스키와 러시아 정부와 정보 기관 간에 관계에 대한 우려 정도일 것이다. 내재된 모든 잠재적인 시나리오는 냉전 시대 전술말고는 없는 듯 하다. 미국 권력자들이 카스퍼스키 랩 제품을 공식적으로 금지했음에도 불구하고 이에 대한 아무런 증거를 제시하지 않고 있다.

이런 상황에서도 카스퍼스키 랩은 여전히 유용한 소식을 전해준다. 수년간 카스퍼스키는 사이버 공격과 공격자들을 전세계에 노출시켰다. 최근까지도 카스퍼스키 랩 소프트웨어는 미국 연방기관, 기업, 중견중소기업, 가정에서 널리 사용됐다. 따라서 이 보고서의 데이터는 30개국 5,000개 이상의 기업을 대상으로 실시한 설문조사를 통해 수집되어 IT 보안 경제학에 대한 유익한 정보를 제공한다.

전반적으로 기업들은 IT 보안 예산을 위험을 감소시키는 투자로 보고 있다. 실제 IT 보안 예산은 18%로, 2016년 16%에 비해 2%포인트 증가했다. 리소스가 적은 중소기업이라도 IT 보안 예산에 더 많은 투자를 해 2016년 13%에서 1%포인트 증가한 14%였다.

하지만 기업의 IT 보안 평균 예산은 2016년 2,550만 달러에서 2017년 1,370만 달러로 대폭 하락했다. 특히 떨어지는 IT 보안 예산과 달리 보안 사고에 대한 비용은 점점 더 증가하고 있다는 점에서 우려의 목소리가 크다. 전세계적으로 기업의 데이터 유출 평균 비용은 2017년에 11% 증가했다. 미국의 경우 기업 사이버공격의 평균 비용은 2016년 120만 달러에서 2017년 130만 달러로 증가했다.

카스퍼스키 랩의 조사에 따르면, 북미 지역에서 2017년 심각한 재정적 영향을 미친 사건들은 다음과 같다.

대기업의 경우
- 데이터가 포함된 기기 또는 매체의 물리적 손실 : 280만 달러
- 서드파티가 호스팅하는 IT 인프라스트럭처에 영향을 미치는 사건 : 220만 달러 
- 데이터 유출 : 190만 달러
- 직원에 의한 부적절한 IT 자원 사용 : 110만 달러 
- 바이러스 및 악성코드 : 51만 9,000달러


중견중소기업의 경우
- 표적 공격 : 18만 8,000달러
- 비 컴퓨팅 연결 장치와 관련된 사건 : 15만 2,000달러
- 데이터가 포함된 장치 또는 매체의 물리적 손실 : 8만 3,000달러
- 직원에 의한 부적절한 IT 자원 사용 : 7만 9,000달러
- 바이러스 및 악성코드 : 18만 8,000달러


보안 사고 이후 비용이 가장 많이 든 부분에 대해 대기업은 임금으로 20만 7,000달러, 소프트웨어 및 인프라 개선으로 17만 2,000달러, 사이버보안 교육에 15만 3,000달러를 사용했다. 중견중소기업은 비즈니스 손실로 2만 1,000달러, 외부 전문가 고용과 관련해 2만 1,000달러의 비용이 포함됐다.

보안 결함으로 인한 서드 파티의 보안 사고는 기업에 가장 피해를 입히는 것 가운데 하나다. IoT는 IoT 기기가 봇넷의 호스트가 될 수 있도록 하는 공장 기본 비밀번호의 광범위한 사용을 고려해볼 때 매우 심각한 보안 문제가 될 수 있다.

금융 업체를 포함한 미국 국방부와 정부 관련 기관들은 500만 달러 이상으로 가장 높은 IT 보안 예산을 갖고 있다. 유틸리티 및 전력 업체와 IT 및 통신업체는 IT 보안 예산으로 300만 달러를 지출한다. 그러나 카스퍼스키랩이 지적한 바와 같이, 정부기관은 1인당 959달러, IT 및 통신은 1인당 1,258달러, 유틸리티 업체는 1인당 1,344달러, 금융업체는 1인당 1,436달러의 예산을 소비한다.

산업 제어 시스템 인프라에 의존하는 업체들은 2017년 인프라에 대한 공격이 5% 증가했음에도 불구하고 74만 8,000달러로 IT 보안 예산이 가장 낮다.

IT 보안 예산을 늘린 기업들은 39%가 점점 더 복잡한 IT 인프라를 보호하는 방향으로 나아가고 있다. 보안 전문가의 전문성을 향상시키는 것도 또다른 중요한 지출인데, 2017년에는 32%로 지난해에 비해 3%포인트 증가했다.

컨설턴트 자문 비용도 증가해 대기업은 2017년 보안 예산의 11%를 사용해 1% 포인트 증가했다. 다만 신규 비즈니스 활동 또는 확장을 위한 보안 예산은 지난해 45%에서 2017년 28%로 현저한 감소세를 보였다. editor@itworld.co.kr  


2017.09.21

사이버보안 사고 비용은 증가했으나 IT 보안 예산은 감소…카스퍼스키랩

Ms. Smith | CSO
2017년 카스퍼스키랩 설문조사에 따르면, 북미 지역 평균 데이터 유출 비용은 대기업이 130만 달러, 중견중소기업이 11만 7,000달러였다.


Cerdit: U.S. Army illustration

미국 국토안보부(DHS)는 9월 13일 미연방기관에서 카스퍼스키 랩 소프트웨어 사용을 금지하는 지침을 발표했다. 금지된 소프트웨어는 카스퍼스키 안티바이러스(Kaspersky Anti-Virus), 카스퍼스키 인터넷 시큐리티(Kaspersky Internet Security), 카스퍼스키 토털 시큐리티(Kaspersky Total Security), 카스퍼스키 스몰 오피스 시큐리티(Kaspersky Small Office Security), 카스퍼스키 안티 타겟티드 어택(Kaspersky Anti Targeted Attack), 카스퍼스키 엔드포인트 시큐리티(Kaspersky Endpoint Security), 카스퍼스키 클라우드 시큐리티(Kaspersky Cloud Security (Enterprise)), 카스퍼스키 사이버시큐리티 서비스(Kaspersky Cybersecurity Services), 카스퍼스키 프라이빗 시큐리티 네트워크(Kaspersky Private Security Network), 그리고 카스퍼스키 임베디드 시스템 시큐리티(Kaspersky Embedded Systems Security) 등이다.

DHS의 움직임에 이어 미국 상원은 9월 18일 국방수권법안(The National Defense Authorization Act, NDAA)에 첨부된 수정안을 통과시켰다. 이 또한 카스퍼스키 소프트웨어를 연방 정부에서 사용하는 걸 금지하는 내용이다. 베스트바이(Best Buy)와 오피스디포(Office Depot)는 이 소프트웨어 판매를 중지했다.

카스퍼스키랩의 유일한 죄는 단지 러시아 기업이라는 것이다. 나머지는 지정학적인 것과 함께 카스퍼스키와 러시아 정부와 정보 기관 간에 관계에 대한 우려 정도일 것이다. 내재된 모든 잠재적인 시나리오는 냉전 시대 전술말고는 없는 듯 하다. 미국 권력자들이 카스퍼스키 랩 제품을 공식적으로 금지했음에도 불구하고 이에 대한 아무런 증거를 제시하지 않고 있다.

이런 상황에서도 카스퍼스키 랩은 여전히 유용한 소식을 전해준다. 수년간 카스퍼스키는 사이버 공격과 공격자들을 전세계에 노출시켰다. 최근까지도 카스퍼스키 랩 소프트웨어는 미국 연방기관, 기업, 중견중소기업, 가정에서 널리 사용됐다. 따라서 이 보고서의 데이터는 30개국 5,000개 이상의 기업을 대상으로 실시한 설문조사를 통해 수집되어 IT 보안 경제학에 대한 유익한 정보를 제공한다.

전반적으로 기업들은 IT 보안 예산을 위험을 감소시키는 투자로 보고 있다. 실제 IT 보안 예산은 18%로, 2016년 16%에 비해 2%포인트 증가했다. 리소스가 적은 중소기업이라도 IT 보안 예산에 더 많은 투자를 해 2016년 13%에서 1%포인트 증가한 14%였다.

하지만 기업의 IT 보안 평균 예산은 2016년 2,550만 달러에서 2017년 1,370만 달러로 대폭 하락했다. 특히 떨어지는 IT 보안 예산과 달리 보안 사고에 대한 비용은 점점 더 증가하고 있다는 점에서 우려의 목소리가 크다. 전세계적으로 기업의 데이터 유출 평균 비용은 2017년에 11% 증가했다. 미국의 경우 기업 사이버공격의 평균 비용은 2016년 120만 달러에서 2017년 130만 달러로 증가했다.

카스퍼스키 랩의 조사에 따르면, 북미 지역에서 2017년 심각한 재정적 영향을 미친 사건들은 다음과 같다.

대기업의 경우
- 데이터가 포함된 기기 또는 매체의 물리적 손실 : 280만 달러
- 서드파티가 호스팅하는 IT 인프라스트럭처에 영향을 미치는 사건 : 220만 달러 
- 데이터 유출 : 190만 달러
- 직원에 의한 부적절한 IT 자원 사용 : 110만 달러 
- 바이러스 및 악성코드 : 51만 9,000달러


중견중소기업의 경우
- 표적 공격 : 18만 8,000달러
- 비 컴퓨팅 연결 장치와 관련된 사건 : 15만 2,000달러
- 데이터가 포함된 장치 또는 매체의 물리적 손실 : 8만 3,000달러
- 직원에 의한 부적절한 IT 자원 사용 : 7만 9,000달러
- 바이러스 및 악성코드 : 18만 8,000달러


보안 사고 이후 비용이 가장 많이 든 부분에 대해 대기업은 임금으로 20만 7,000달러, 소프트웨어 및 인프라 개선으로 17만 2,000달러, 사이버보안 교육에 15만 3,000달러를 사용했다. 중견중소기업은 비즈니스 손실로 2만 1,000달러, 외부 전문가 고용과 관련해 2만 1,000달러의 비용이 포함됐다.

보안 결함으로 인한 서드 파티의 보안 사고는 기업에 가장 피해를 입히는 것 가운데 하나다. IoT는 IoT 기기가 봇넷의 호스트가 될 수 있도록 하는 공장 기본 비밀번호의 광범위한 사용을 고려해볼 때 매우 심각한 보안 문제가 될 수 있다.

금융 업체를 포함한 미국 국방부와 정부 관련 기관들은 500만 달러 이상으로 가장 높은 IT 보안 예산을 갖고 있다. 유틸리티 및 전력 업체와 IT 및 통신업체는 IT 보안 예산으로 300만 달러를 지출한다. 그러나 카스퍼스키랩이 지적한 바와 같이, 정부기관은 1인당 959달러, IT 및 통신은 1인당 1,258달러, 유틸리티 업체는 1인당 1,344달러, 금융업체는 1인당 1,436달러의 예산을 소비한다.

산업 제어 시스템 인프라에 의존하는 업체들은 2017년 인프라에 대한 공격이 5% 증가했음에도 불구하고 74만 8,000달러로 IT 보안 예산이 가장 낮다.

IT 보안 예산을 늘린 기업들은 39%가 점점 더 복잡한 IT 인프라를 보호하는 방향으로 나아가고 있다. 보안 전문가의 전문성을 향상시키는 것도 또다른 중요한 지출인데, 2017년에는 32%로 지난해에 비해 3%포인트 증가했다.

컨설턴트 자문 비용도 증가해 대기업은 2017년 보안 예산의 11%를 사용해 1% 포인트 증가했다. 다만 신규 비즈니스 활동 또는 확장을 위한 보안 예산은 지난해 45%에서 2017년 28%로 현저한 감소세를 보였다. editor@itworld.co.kr  


X