보안

데이터 침해로 인한 비용, "어느 정도일까"

Dan Swinhoe | CSO 2019.09.02
데이터 침해와 보안 사고로 인한 비용이 갈수록 커지고 있다.
 
ⓒ Getty Images Bank 

최근 캐나다 대출업체 데스자딘스 그룹(Desjardins Group)은 올해 초 290만 명의 회원 개인 정보가 유출된 침해 사고로 인해 7,000만 캐나다 달러(약 642억 원)의 비용이 발생했다고 밝혔다.

제조업체 노스크 하이드로(Norsk Hydro)는 심각한 사이버 공격으로 인한 최종 비용이 최대 7,500만 달러(약 908억 원)에 이를 수 있다고 발표했으며, 브리티시 에어웨이(British Airways)와 매리어트(Marriott)는 GDPR 관련 문제로 인해 각각 1억 달러(약 1,200억 원)를 추가로 지출해야 했다.

이런 사례는 사고 중에서도 규모가 가장 큰 극단적인 사례에 해당하지만 데이터 침해로 인한 금전적 손실은 기업의 형태 및 규모와 관계없이 해마다 증가하고 있다. IBM과 포네몬 연구소(Ponemon Institute)는 최근 보고서에서 데이터 침해에 따른 평균 비용이 392만 달러(약 47억 5,000만 원)로 늘어났다고 전했다.

이 보고서에 따르면, 이 비용은 2018년에 1.6% 증가했으며 지난 5년 사이 12% 늘었다. 여기에는 침해에 대처하기 위한 시간 및 노동과 관련된 직간접 비용, 평판 하락에 따른 고객 이탈과 같은 기회 손실, 벌금이 모두 포함된다.


갈수록 커지는 데이터 침해 규모와 비용

전세계 조직의 약 30%가 향후 24개월 이내에 최소 한 번의 침해를 경험할 가능성이 높다. 미국에 소재한 조직의 침해 비용이 가장 높아서 침해당 평균 819만 달러(약 99억 원)에 이른다. 특히 침해 통지와 관련해서 주마다 다른 복잡한 규제 환경도 이러한 높은 비용의 원인 중 하나다. 영국의 경우 전세계 평균보다 약간 낮은 388만 달러(약 47억 원)다(한국의 경우 2019년 기업들이 2018년에 비해 13.3% 증가한 35억 5,300만 원의 데이터 침해 비용을 지출했다.(2018년: 31억 1,000만 원). 편집자 주).

침해된 레코드 수를 기준으로 현재의 평균 데이터 침해 규모는 2만 5,575개로, 2018년 대비 3.9% 증가했다. 미국의 평균 침해 규모는 평균보다 높은 3만 2,434개, 영국은 약간 낮은 2만 3,600개다. 각 레코드당 소비되는 비용의 전세계 평균치는 150달러이며 미국은 242달러(29만 3,000원), 영국은 155달러(18만 7,700원), 한국은 16만 5,100원으로 나타났다.

레코드당 최종 비용에는 조직이 침해에 얼마나 잘 대비했고 대응했는 지도 영향을 미친다. 침해로 인핸 고객 손실률은 3.4%로, 지난해보다 약간 높아졌다. 이는 고객이 보안 실패에 대해 갈수록 엄격해지고 있음을 의미한다.

한 번에 수천 개의 레코드를 손실하는 것이 일반화되고 있지만 수백만 개의 레코드가 침해되는 에퀴팩스(Equifax) 수준의 침해는 아직 비교적 드물다. IBM에 따르면, 100만 개의 레코드가 손실되는 “초대형 침해”의 비용은 4,200만 달러(약 508억 원)로, 지난해의 4,000만 달러(약 484억 원)에서 조금 더 높아졌다. 5,000만 개의 레코드가 손실되는 경우 회사가 감당해야 하는 비용은 3억 8,800만 달러(약 4,697억 원)에 이를 수 있다.

레코드당 비용이 가장 큰 산업 분야는 의료와 금융이다. 데이터의 높은 민감성과 엄격한 규제를 감안하면 당연하다. 의료 분야의 레코드당 비용은 최대 429달러(약 52만 원), 금융은 210달러(약 25만 4,000원)에 이른다. 기업에서 데이터 침해를 복구하는 데 드는 비용에는 적용되는 규제의 수준이 큰 영향을 미친다. 의료 및 금융 서비스와 같이 규제가 엄격한 분야의 사고당 평균 비용은 각각 645만 달러(약 78억 원), 586만 달러(약 71억 원)인데 반해 소매, 숙박 등 규제가 비교적 덜 엄격한 분야의 비용은 200만 달러(24억 원) 미만이다.

IBM의 엑스-포스(X-Force) 위협 인텔리전스 부문 책임자인 웬디 위트모어는 “의료 레코드를 입수하면 경우에 따라 전체 의료 기록을 손에 넣게 된다. 예를 들어 지난해에 무릎 수술을 받았고 현재 물리치료를 받고 있다는 사실까지 알 수 있다”면서, “또한 일반적으로 부가적인 개인 식별 정보를 상당히 많이 획득하게 된다. 신용카드를 통해 얻는 정보 유형과 같다”고 말했다.


데이터 침해에 대한 굼뜬 대응이 비용 키워

시간이 곧 돈이다. 침해를 탐지하고 억제하는 속도가 느리면 그만큼 비용도 커질 수 있다. IBM 보고서에 따르면, 침해를 식별하고 억제하는 데 소요되는 총 시간은 지난해 266일에서 늘어나 현재는 279일이다. 빠른 대응은 큰 비용 절감 효과를 거둘 수 있다. 200일 이내에 침해를 발견하고 억제할 수 있는 기업은 평균 120만 달러(14억 5,000만 원)를 덜 소비했다.

위트모어는 “시간이 돈이라는 말이 꼭 맞는다. 공격자는 환경 내에 머무는 시간이 길수록 여러 디바이스와 데이터, 계정에 액세스할 수 있다. 따라서 이후 이들의 액세스 권한을 제거하고 영향을 제한하기 위한 작업에 그만큼 많은 비용이 소비된다”고 말했다.

독일과 남아프리카공화국의 조직이 침해를 발견하고 통제하는 속도가 가장 빨라서 각각 총 170일과 226일이 소요된 반면, 중동(381일), 브라질(361일)은 속도가 가장 느렸다. 분야별로는 의료, 공공, 엔터테인먼트 조직이 침해를 발견하고 억제하는 데 가장 오래 걸리며(모두 평균 310일 이상), 금융 서비스, 기술, 연구 분야는 발견 및 수정 속도가 가장 빠른 것으로 나타났다(한국의 경우 데이터 침해 원인을 식별하는 데 걸린 시간은 2018년 201일에서 2019년 216일로 증가했으며, 데이터 침해 억제 시간은 67일에서 71일로 증가했다. 편집자 주). 

IBM과 포네몬은 올해 처음으로 데이터 침해의 “긴 꼬리”를 관찰했는데, 조직이 침해 이후에도 몇 년 동안 대가를 치른다는 사실을 발견했다. 비용의 약 67%는 첫 해에 발생하며 이후 12~24개월 사이 22%가 발생하고 마지막 11%는 2년 이후에 발생한다. 극단적인 사례지만 에퀴팩스는 2017년 데이터 침해와 관련해 5억 7,500만 달러(약 6,960억 원)를 지불하기로 미연방통상위원회와 합의했다(이 수치는 7억 달러(약 8,474억 원)까지 상승할 가능성이 있다).

위트모어는 “우리가 접촉하는 클라이언트는 데이터 침해 비용을 일회성 비용으로 생각하는 경우가 많다. ‘큰 비용이 들겠지만 일단 넘어가면 비즈니스로 바로 복귀할 수 있다’고 생각한다”면서 “그러나 현실은 첫 해에는 전체 비용의 67%만 소비되며 나머지 33%는 그 이후 2~3년에 걸쳐 발생한다는 것이다. 이후의 모니터링이나 신용 모니터링 등에 비용이 소비된다. 캐피털 원(Capital One)과 에퀴팩스가 대량의 클라이언트 데이터 신용 레코드를 손실했다면 이에 대한 책임을 져야 하며, 이는 지속적인 비용으로 이어진다”고 말했다.


규제와 벌금

GDPR이 시행되고 전세계에서 이와 비슷한 여러 규제가 등장하면서 규정 준수(Compliance)가 침해 비용의 큰 부분을 차지하고 있다. 위트모어는 “미국만 보더라도 52개 주마다 다른 개인정보 보호법이 있다. 따라서 대부분의 기업은 이러한 각 법에 능숙한 전문가를 갖추지 못한 상황에서 침해에 직면하게 된다. 관련 인력을 채용하고 아웃소싱해 이런 비용의 발생을 확인해야 한다”고 말했다.

규정 준수를 보장하기 위한 전문 지식에 투자하지 않는 기업은 갈수록 액수가 커지는 과징금에 직면하게 될 수 있다. 매리어트 호텔 체인은 원래 2018년 데이터 침해로 인해 약 2,800만 달러(약 339억 원)의 비용이 발생했으며 비용의 대부분은 회사가 든 보험으로 처리했다고 발표했다. 

그러나 2019년 7월 영국 데이터 보호 기관인 ICO는 매리어트의 GDPR 미준수에 대해 1억 2,400만 달러(약 1,501억 원)의 벌금을 부과했다. 같은 주 ICO는 영국항공(British Airways)에 이보다 더 많은 벌금을 부과했다. 이러한 막대한 벌금을 피하려면 기업은 더 선제적인 데이터 개인정보 보호를 구축해 규제 기관으로부터 호의적인 평가를 받아야 한다.

위트모어는 “앞으로 벌금이 더 많아지면서 비용을 크게 끌어올리는 요인이 될 가능성이 높고, 조직의 투자 환경에도 큰 변화를 불러오게 될 것이다”면서, “이상적으로 이는 기업에서 더 선제적인 투자를 통해 대비하고 예행연습을 하고 침해 발생 시 레코드 손실의 영향을 억제할 수 있는 역량을 갖추게 된다는 것을 의미한다”고 말했다.


침해 비용을 줄이는 방법, 대응 계획 수립하기

흔히 말하듯이 데이터 침해는 거의 필연적이다. 따라서 비용을 낮게 유지하는 최선의 방법은 모든 사태에 대비하는 것이다. 이 보고서에 따르면 사고 대응(IR) 팀을 두고 IR 계획을 철저히 테스트하고 두 번 이상 모의 훈련을 한 기업의 데이터 침해 비용은 그렇지 않은 기업에 비해 평균 123만 달러(약 14억 8,900억 원) 더 낮았다.

위트모어는 “단순히 ‘보안 팀 연락처’가 적힌 서류만으로는 안 된다. 실제와 비슷한 환경에서 시나리오에 대비한 예행 연습을 실시해 여러 계획을 테스트하고 간극을 파악해야 하며 이상적으로는 공격이 침투하기 전에 억제할 역량을 갖춰야 한다”고 말했다.

또 다른 중요한 부분은 대중의 반응이다. 고객 신뢰 손실은 비즈니스 손실로 이어지고 이 경우 전체적인 침해 비용이 상승할 수 있다. 위트모어는 “침해 중, 침해 이후의 소통이 매우 중요한 요소”라면서 “지금 일어나고 있는 사건을 소비자 또는 클라이언트에 효과적으로 전달하려면 어떻게 해야 할까? 올바르게 대처하면 이러한 사건이 많은 고객의 호의와 신뢰를 얻는 기회가 될 수 있지만 이를 위해서는 사전에 철저한 준비와 훈련이 필요하다”고 설명했다.

머스크(Maersk), 노스크 하이드로(Norsk Hydro)와 같은 기업은 공격이 일어난 이후 성실한 정보 전달이 실제로 장기적으로 회사에 긍정적인 영향을 미칠 수 있음을 입증했다. 두 회사 모두 효과적인 대응으로 좋은 평가를 받으면서 사고 이후 몇 주 동안 주가가 상승했다.

위트모어는 “머스크의 사례를 자주 이야기한다. 머스크는 상황을 제대로 통제했다. CEO는 소셜 미디어를 적극적으로 활용했고 궁극적으로는 회사의 주가도 올랐다. 대응 측면에서 중대한 성공 사례로 평가된다”고 말했다.

광범위한 암호화 사용, 가능한 모든 부분에서 보안 자동화하기, IR 팀 구성 등은 모두 침해의 잠재적인 비용을 줄여준다. 특히 IR 팀과 계획을 정기적으로 테스트하는 경우 효과가 크다.

기술적인 측면에서 데브섹옵스(DevSecOps) 접근 방법, 직원 교육, 사이버 보험, 경영진의 보안 동참 역시 침해 비용을 평균 10만 달러(약 1억 2,100만 원) 절감시키는 것으로 나타났다. 반대로 서드파티, 클라우드 마이그레이션, 사물인터넷 또는 운영 기술에서 시작된 침해는 모두 침해 비용을 평균 10만 달러 높일 수 있다.

침해 비용을 낮추기 위한 위트모어의 핵심 조언은 환경에 대한 적절한 시야 확보와 견고하고 테스트된 오프라인 백업이다. 위트모어는 “침해를 파악하고 억제하는 데 소요되는 시간을 대폭 줄일 수 있다면 조직은 막대한 수의 레코드가 손실되는 경우를 방지함으로써 현재 여러 사례에서 볼 수 있는 수준의 큰 벌금에 직면할 일도 없을 것”이라고 조언했다.

위트모어는 “랜섬웨어 또는 파괴적인 악성코드 공격 시 조직은 가장 핵심적인 데이터에 액세스할 수 없게 되고 환경을 다시 구축하고 데이터에 다시 액세스하는 데 많은 비용을 소비하게 된다. 따라서 가장 핵심적인 데이터에는 오프라인 백업을 둘 것을 권장한다”고 덧붙였다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.