2021.08.02

코로나 발생 기간 데이터 유출 비용, "사상 최고"…IBM 시큐리티 조사

편집부 | ITWorld
IBM 시큐리티는 전 세계 기관과 기업을 대상으로 데이터 유출 피해에 따른 비용을 조사한 연구 결과를 2일 발표했다. 

이 연구 결과에 따르면, 조사 대상 기관과 기업들은 데이터 유출로 인해 사고당 평균 424만 달러(약 48억 8,000만 원)의 손실을 입은 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편, 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억 1,000만 원의 손실을 입은 것으로 나타났다. 

IBM 시큐리티와 포네몬 연구소(Ponemon Institute)의 2021년 데이터 유출 비용 연구 보고서는 2020년 5월부터 2021년 3월까지 전 세계 500개 이상의 기관과 기업(한국은 28개 기업)에서 경험한 데이터 10만 건 이하 (1000~10만 건 데이터 유출 사고)의 실제 유출 사고 대한 심층 분석을 기반으로 하고 있다. 

이 연구에 따르면, 코로나 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 높아져 2019년에 대비 약 10% 증가한 것으로 나타났다.

지난해 많은 기업이 직원들에게 재택근무를 장려하거나 요구함에 따라 기술 접근 방식도 이에 맞춰 신속하게 조정해야 했으며, 60%의 기업이 코로나 기간 동안 클라우드 기반 활동을 확대했다. 이번 발표된 조사 결과에 따르면, 기업의 보안 수준이 이런 급격한 IT 변화에 따라가지 못해 기업의 데이터 유출 대응 능력이 저하됐음을 알 수 있다.

이번 2021년 데이터 유출 비용 연구 보고서가 밝힌 추세는 다음과 같다. 

- 원격 근무의 영향: 코로나 기간 동안 원격 근무로 빠르게 전환되면서 데이터 유출와 관련된 피해 금액은 더 높아졌다. 원격 근무가 데이터 유출 사고의 요인에 포함된 경우, 포함되지 않는 경우보다 관련 피해 금액이 평균 100만 달러가 더 높다(원격 근무 포함 시 496만 달러 vs. 미포함 시 389만 달러).

- 의료 업계 피해 급증: 코로나 기간 동안 운영상의 변화가 컸던 업계(의료, 소매, 서비스, 소비자 제조/유통)는 2019년에 비해 데이터 유출 피해 금액이 크게 증가했다. 특히, 의료 업계의 유출 사고 피해액은 사고당 923만 달러로 2019년에 비해 200만 달러가 증가했다. 

- 사용자 인증 정보의 유출이 데이터 유출로 이어져: 사용자 인증 정보의 도난이 유출 사고의 가장 주요한 원인으로 나타났다. 동시에 고객 개인 정보(예: 이름, 이메일, 비밀번호)는 데이터 유출 사고시 노출되는 가장 일반적인 유형의 정보로 데이터 유출 사고의 44%가 이런 유형의 정보를 포함하고 있는 것으로 나타났다. 이런 요소의 조합은 악순환을 야기할 수 있으며, 사용자 이름/비밀번호 유출은 공격자가 향후 추가적인 데이터 유출 공격을 하는데 사용될 수 있다.

- 현대적인 접근 방식으로 피해액 절감 가능: AI, 보안 분석, 암호화 도입은 유출 사고로 인한 피해액을 줄일 수 있는 3대 요소로 나타났다. 조사에 따르면, 이런 도구를 사용하는 기업은 사용하지 않는 기업에 비해 125만~149만 달러의 피해 비용을 절감했다. 클라우드 기반 데이터 유출 사고를 조사했을 때, 하이브리드 클라우드 접근 방식을 구현한 기업(361만 달러)은 퍼블릭 클라우드(480만달러), 또는 프라이빗 클라우드만 주로 사용하는 기업(455만 달러)에 비해 데이터 유출로 인한 피해액이 낮았다.  
 
한편, 이번 조사에 참여한 한국 기업에서 데이터 유출 사고시 데이터 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순이었다.
   
  • 데이터 유출 사고의 가장 주요한 최초 공격 방법은 사용자 인증 정보의 도용으로 20% 이상이 이를 통해 발생한 것으로 나타났다. 그 다음으로는 클라우드의 구성 오류, 피싱 등이었다.
  • 데이터 유출 사고시 피해가 가장 컸던 최초 공격 방법은 비즈니스 이메일의 유출로 데이터 유출 시 피해액은 평균 약 67억 6,000만 원에 이르렀다. 그 다음은 사회공학적 해킹으로 약 52억 9,000만 원, 피싱 약 49억 2,000만 원으로 나타났다.
  • 보안 자동화를 부분적으로(38%) 또는 완전하게(25%) 도입했다고 답변한 기업이 63%로, 보안 자동화의 도입 비율이 높아진 것으로 나타났다.
  • 제로 트러스트 접근 방식의 성숙 단계에 있는 기업들의 평균 데이터 유출 피해액은 약 26억 원인 반면, 제로 트러스트 접근 방식을 아직 시작하지 않았다고 답변한 기업들의 피해액은 약 50억 5,000만 원에 이르렀다.

IBM 시큐리티 크리스 맥커디 총괄 부사장은 "코로나 기간 동안 급속한 기술 변화를 겪고 있는 기업들에게 증가한 데이터 유출 사고 비용은 또 다른 추가 비용"이라며, "지난 1년간 데이터 유출 피해액이 사상 최고치를 기록했지만, 이 보고서를 통해 AI, 자동화, '제로 트러스트' 접근 방식과 같은 현대적 보안 기술의 긍정적인 영향력에 대해서도 확인할 수 있었다. 이런 기술을 도입함으로써 사고 피해액을 더 줄일 수 있을 것으로 생각한다"라고 말했다.  

한편, 데이터 유출 사고를 탐지하고 진화하는 데 걸리는 평균 시간은 287일(탐지하는 데 212일, 진화하는 데 75일)로 2019년 조사 때보다 일주일 더 길어졌다. 5,000만~6,500만 건 사이의 데이터 유출과 같은 대규모 유출 사고의 경우, 평균 비용은 4억 1,000만 달러였다.  이는 보고서에서 조사한 대부분의 유출 사례(1,000~10만 개의 데이터 범위)보다 거의 100배에 달하는 비용이다.

산업별로는 의료 산업의 데이터 유출 사고 피해액(923만 달러)이 가장 많았고, 금융 부문(572만 달러)과 제약 부문(504만 달러)이 그 뒤를 이었다. 전체적인 비용 면에서는 낮았지만, 미디어, 서비스, 공공 부문의 피해액이 2019년에 비해 크게 증가했다. editor@itworld.co.kr 


2021.08.02

코로나 발생 기간 데이터 유출 비용, "사상 최고"…IBM 시큐리티 조사

편집부 | ITWorld
IBM 시큐리티는 전 세계 기관과 기업을 대상으로 데이터 유출 피해에 따른 비용을 조사한 연구 결과를 2일 발표했다. 

이 연구 결과에 따르면, 조사 대상 기관과 기업들은 데이터 유출로 인해 사고당 평균 424만 달러(약 48억 8,000만 원)의 손실을 입은 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편, 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억 1,000만 원의 손실을 입은 것으로 나타났다. 

IBM 시큐리티와 포네몬 연구소(Ponemon Institute)의 2021년 데이터 유출 비용 연구 보고서는 2020년 5월부터 2021년 3월까지 전 세계 500개 이상의 기관과 기업(한국은 28개 기업)에서 경험한 데이터 10만 건 이하 (1000~10만 건 데이터 유출 사고)의 실제 유출 사고 대한 심층 분석을 기반으로 하고 있다. 

이 연구에 따르면, 코로나 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 높아져 2019년에 대비 약 10% 증가한 것으로 나타났다.

지난해 많은 기업이 직원들에게 재택근무를 장려하거나 요구함에 따라 기술 접근 방식도 이에 맞춰 신속하게 조정해야 했으며, 60%의 기업이 코로나 기간 동안 클라우드 기반 활동을 확대했다. 이번 발표된 조사 결과에 따르면, 기업의 보안 수준이 이런 급격한 IT 변화에 따라가지 못해 기업의 데이터 유출 대응 능력이 저하됐음을 알 수 있다.

이번 2021년 데이터 유출 비용 연구 보고서가 밝힌 추세는 다음과 같다. 

- 원격 근무의 영향: 코로나 기간 동안 원격 근무로 빠르게 전환되면서 데이터 유출와 관련된 피해 금액은 더 높아졌다. 원격 근무가 데이터 유출 사고의 요인에 포함된 경우, 포함되지 않는 경우보다 관련 피해 금액이 평균 100만 달러가 더 높다(원격 근무 포함 시 496만 달러 vs. 미포함 시 389만 달러).

- 의료 업계 피해 급증: 코로나 기간 동안 운영상의 변화가 컸던 업계(의료, 소매, 서비스, 소비자 제조/유통)는 2019년에 비해 데이터 유출 피해 금액이 크게 증가했다. 특히, 의료 업계의 유출 사고 피해액은 사고당 923만 달러로 2019년에 비해 200만 달러가 증가했다. 

- 사용자 인증 정보의 유출이 데이터 유출로 이어져: 사용자 인증 정보의 도난이 유출 사고의 가장 주요한 원인으로 나타났다. 동시에 고객 개인 정보(예: 이름, 이메일, 비밀번호)는 데이터 유출 사고시 노출되는 가장 일반적인 유형의 정보로 데이터 유출 사고의 44%가 이런 유형의 정보를 포함하고 있는 것으로 나타났다. 이런 요소의 조합은 악순환을 야기할 수 있으며, 사용자 이름/비밀번호 유출은 공격자가 향후 추가적인 데이터 유출 공격을 하는데 사용될 수 있다.

- 현대적인 접근 방식으로 피해액 절감 가능: AI, 보안 분석, 암호화 도입은 유출 사고로 인한 피해액을 줄일 수 있는 3대 요소로 나타났다. 조사에 따르면, 이런 도구를 사용하는 기업은 사용하지 않는 기업에 비해 125만~149만 달러의 피해 비용을 절감했다. 클라우드 기반 데이터 유출 사고를 조사했을 때, 하이브리드 클라우드 접근 방식을 구현한 기업(361만 달러)은 퍼블릭 클라우드(480만달러), 또는 프라이빗 클라우드만 주로 사용하는 기업(455만 달러)에 비해 데이터 유출로 인한 피해액이 낮았다.  
 
한편, 이번 조사에 참여한 한국 기업에서 데이터 유출 사고시 데이터 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순이었다.
   
  • 데이터 유출 사고의 가장 주요한 최초 공격 방법은 사용자 인증 정보의 도용으로 20% 이상이 이를 통해 발생한 것으로 나타났다. 그 다음으로는 클라우드의 구성 오류, 피싱 등이었다.
  • 데이터 유출 사고시 피해가 가장 컸던 최초 공격 방법은 비즈니스 이메일의 유출로 데이터 유출 시 피해액은 평균 약 67억 6,000만 원에 이르렀다. 그 다음은 사회공학적 해킹으로 약 52억 9,000만 원, 피싱 약 49억 2,000만 원으로 나타났다.
  • 보안 자동화를 부분적으로(38%) 또는 완전하게(25%) 도입했다고 답변한 기업이 63%로, 보안 자동화의 도입 비율이 높아진 것으로 나타났다.
  • 제로 트러스트 접근 방식의 성숙 단계에 있는 기업들의 평균 데이터 유출 피해액은 약 26억 원인 반면, 제로 트러스트 접근 방식을 아직 시작하지 않았다고 답변한 기업들의 피해액은 약 50억 5,000만 원에 이르렀다.

IBM 시큐리티 크리스 맥커디 총괄 부사장은 "코로나 기간 동안 급속한 기술 변화를 겪고 있는 기업들에게 증가한 데이터 유출 사고 비용은 또 다른 추가 비용"이라며, "지난 1년간 데이터 유출 피해액이 사상 최고치를 기록했지만, 이 보고서를 통해 AI, 자동화, '제로 트러스트' 접근 방식과 같은 현대적 보안 기술의 긍정적인 영향력에 대해서도 확인할 수 있었다. 이런 기술을 도입함으로써 사고 피해액을 더 줄일 수 있을 것으로 생각한다"라고 말했다.  

한편, 데이터 유출 사고를 탐지하고 진화하는 데 걸리는 평균 시간은 287일(탐지하는 데 212일, 진화하는 데 75일)로 2019년 조사 때보다 일주일 더 길어졌다. 5,000만~6,500만 건 사이의 데이터 유출과 같은 대규모 유출 사고의 경우, 평균 비용은 4억 1,000만 달러였다.  이는 보고서에서 조사한 대부분의 유출 사례(1,000~10만 개의 데이터 범위)보다 거의 100배에 달하는 비용이다.

산업별로는 의료 산업의 데이터 유출 사고 피해액(923만 달러)이 가장 많았고, 금융 부문(572만 달러)과 제약 부문(504만 달러)이 그 뒤를 이었다. 전체적인 비용 면에서는 낮았지만, 미디어, 서비스, 공공 부문의 피해액이 2019년에 비해 크게 증가했다. editor@itworld.co.kr 


X