보고서에 따르면, ‘포브스 글로벌 2000’에 포함된 글로벌 대기업이 예기치 못한 디지털 환경 장애로 다운타임을 겪는 경우 발생하는 다운타임 비용은 전체 수익의 9%, 연간 4000억 달러에 이른다. 분석 결과 다운타임은 직접적으로 드러나는 금전적인 비용뿐만 아니라 기업의 주주 가치, 브랜드 평판, 혁신 속도와 고객 신뢰에도 지속적인 타격을 주는 것으로 나타났다.
예기치 않은 다운타임이란 비즈니스 시스템의 서비스 저하나 중단을 뜻한다. 고객 불편부터 고객의 생명을 위협하는 시나리오까지 다양한 형태의 예기치 못한 다운타임이 발생할 수 있다. 포브스 글로벌 2000에 해당되는 전 세계 대기업의 임원 2천명을 대상으로 조사를 시행한 결과, 다운타임이 다음과 같은 직접적인 비용과 드러나지 않은 비용을 유발하는 것으로 확인됐다.
• 직접적인 비용은 기업이 명확하게 측정할 수 있는 비용을 말한다. 매출 손실, 법규 위반으로 인한 벌금, SLA (서비스 수준 계약) 위반으로 인한 벌금, 초과 근무 수당 등이 여기에 해당된다.
• 드러나지 않은 비용은 측정하기 어렵고 기업에 즉각적인 영향을 미치진 않지만, 그만큼 기업에 타격을 줄 수 있다. 예시로는 주주 가치 하락, 개발자 생산성 정체, 시장 출시 지연, 브랜드 평판 훼손 등이 있다.
보고서는 다운타임 사고 원인의 56%가 피싱과 같은 보안 사고이며, 44%는 소프트웨어 장애 등 애플리케이션 또는 인프라 문제라고 강조했다. 이 두 가지 원인 모두 사람으로 인한 경우가 많다는 점에서 인적 오류는 다운타임 발생의 가장 큰 원인으로 꼽힌다.
한편, 다운타임 발생 빈도와 그로 인한 비용을 감소시킨 사례도 확인됐다. 연구에 따르면, 상위 10%에 해당하는 엘리트 기업 집단은 뛰어난 회복탄력성으로 다운타임 빈도를 줄여, 직접적인 비용을 낮추고 드러나지 않은 비용이 끼치는 타격도 최소화하는 것으로 나타났다. 이러한 조직은 ‘회복탄력성 리더’로 정의되며, 이들이 공유하는 전략과 특성은 회복탄력성의 청사진을 제시한다. 또한 회복탄력성 리더는 다른 조직보다 4배 빠른 속도로 기존 도구에 내장된 생성형 AI 기능 활용을 확대하는 등 생성형 AI 도입에 있어 더 적극적이다.
다운타임의 영향은 단일 부서나 어느 한 비용 카테고리에 국한되지 않는다. 해당 보고서는 다양한 시각을 제공하기 위해, 최고재무책임자(CFO)와 최고마케팅책임자(CMO), 보안·IT운영·엔지니어링 전문가들을 대상으로 설문조사를 실시해 다운타임으로 인한 비용을 여러 차원에서 측정했다.
• 가장 큰 비용으로 꼽힌 수익 손실: 다운타임으로 인해 연간 4900만 달러의 수익이 손실되며, 그 수익을 회복하는 데만 75일이 걸릴 수 있다. 두 번째로 큰 비용은 연간 평균 2000만 달러에 이르는 법규 위반 벌금이다. 세 번째는 SLA 위반 벌금으로, 연간 1600만 달러에 이른다.
• 주주 가치 타격: 단 한 번의 다운타임 사고로 주가가 최대 9%까지 하락할 수 있으며, 이를 회복하는 데는 평균적으로 79일이 소요된다.
• 사이버 공격으로 인한 예산 피해: 설문에 참여한 최고재무책임자(CFO) 중 67%가 랜섬웨어 공격을 당했을 때 공격자에게 돈을 지불할 것을 최고경영자(CEO)와 이사회에 권고한 적 있다고 응답했다. 이들은 범죄자에게 직접 또는 보험이나 제3자를 통해 지불하는 방법을 선택했다. 이러한 랜섬웨어 및 갈취 지불금은 매년 1900만 달러에 달한다.
• 혁신 속도 저하: 설문에 응답한 기술 임원 중 74%는 다운타임으로 인해 제품 출시가 지연됐으며, 64%는 개발자 생산성이 정체됐다고 밝혔다. 서비스 저하가 발생하면 개발 팀은 고부가가치 작업 대신 소프트웨어 패치 적용과 사후 분석 작업에 집중하게 되는 경우가 많기 때문이다.
• 고객 신뢰도 및 고객 평생 가치 하락: 다운타임은 고객 충성도를 약화시키고 대중의 인식을 훼손할 수 있다. 보고서에 따르면, 41%의 기술 임원들은 종종 또는 항상 고객이 다운타임을 가장 먼저 감지한다고 응답했다. 또한 최고마케팅책임자(CMO) 중 40%는 다운타임이 고객 평생 가치(CLV)에 영향을 미친다고 답했고, 또 다른 40%는 비즈니스 파트너와의 관계에도 악영향을 미친다고 밝혔다.
미국 기업의 연간 다운타임 손실은 2억 5600만 달러로, 규제 정책과 디지털 인프라 등 다양한 요인으로 인해 글로벌 평균보다 더 높은 것으로 나타났다. 유럽의 다운타임 손실은 1억 9,800만 달러, 아시아-태평양 지역은 1억 8,700만 달러에 달했다. 유럽의 경우, 엄격한 노동 정책과 사이버 규제로 인해 초과 근무 수당(1,200만 달러)과 백업 복구 비용(900만 달러)이 더 많이 발생했다. 지리적 특성 또한 다운타임 사고 후 재정적 회복 속도에 영향을 미치는데, 유럽과 아태 지역은 회복 시간이 가장 긴 반면, 아프리카와 중동 지역 기업들은 가장 빠르게 회복했다.
개리 스틸 시스코 및 스플렁크의 시장 진출 부문 사장은 “비즈니스에서의 혼란은 피할 수 없다. 예기치 않게 디지털 시스템 장애가 발생할 경우, 기업은 상당한 수익 손실과 법규 위반 벌금의 위험에 처할 뿐만 아니라 고객의 신뢰와 평판도 잃게 된다. 혼란에 대응하고 적응하며 진화하는 방식이 리딩 기업을 구분하는 기준이 될 것”이라고 말했다. 이어 “회복탄력적인 기업이 되기 위한 기본 요소는 보안과 옵저버빌리티에 대한 통합 접근 방식을 갖추는 것으로, 전체 디지털 영역에서 문제를 신속하게 감지하고 해결하는 것이 중요하다”라고 강조했다.
다운타임으로부터 더 빨리 회복하는 기업들은 공통된 특성과 전략을 통해 디지털 회복탄력성의 청사진을 제시한다. 이들은 단순히 더 많은 투자하는 게 아니라, 전략적으로 투자하고 있다. 회복탄력성 리딩 기업의 공통 전략과 특성은 다음과 같다.
• 보안과 옵저버빌리티에 대해 투자: 회복탄력성 리더는 다른 응답 기업 대비 사이버 보안을 위해 1200만 달러, 옵저버빌리티에 240만 달러를 더 투자하는 것으로 나타났다.
• 생성형 AI 적극 활용: 회복탄력성 리더는 생성형 AI를 적극적으로 도입하며, 다른 기업보다 4배 더 빠르게 기존 도구에 내장된 생성형 AI 기능 활용을 확장하고 있다.
• 더욱 빠른 회복: 회복 속도가 빠르면 고객 경험을 개선할 수 있고 언론으로부터 불필요한 주목을 받게 될 가능성도 줄일 수 있다. 회복탄력성 리더는 애플리케이션이나 인프라 관련 다운타임에서는 다른 응답자들 대비 28% 더 빠른 평균복구시간(Mean Time to Respond, MTTR)을, 사이버 보안 관련 다운타임 사고에서는 23% 더 빠른 MTTR를 자랑한다.
• 드러나지 않은 비용으로 인한 부담 축소: 대부분의 회복탄력성 리더는 드러나지 않은 비용으로 인한 피해가 없거나 ‘보통’ 수준이라고 설명했다. 이는 드러나지 않은 비용의 영향을 ‘보통’ 또는 ‘매우 손상’이라고 평가한 나머지 90%의 조직과는 크게 대조된다.
• 재정적 손해 최소화: 회복탄력성 리더는 수익 손실에서 1700만 달러, 규제 벌금의 재정적 영향을 1천만 달러, 랜섬웨어로 지불해야 하는 금액을 7백만 달러만큼 절감했다.
셰팔리 무켄체리 시카고 일리노이 대학교의 최고정보보호책임자(CISO) 겸 개인정보 보호 책임자는 “예기치 못한 다운타임은 어떤 조직에게든 상당한 재정적 부담을 주고 기업의 평판에 부정적인 영향을 미칠 수 있다. 고등 교육 기관의 경우, 다운타임이 중요한 학문적 기능 및 행정 기능을 방해해 학생 서비스에서 연구 활동에 이르기까지 모든 것에 영향을 미친다”라고 설명했다.
무켄체리는 “이러한 피해 여파는 즉각적인 재정적 손실을 넘어 기관의 평판과 이해 관계자의 신뢰에 장기적인 영향을 미친다. 최고정보보호책임자로서, 우리는 어떤 산업에 있든 이러한 위험을 최소화하기 위해 사이버 보안 및 옵저버빌리티에 대한 사전적이고 통합된 접근 방식을 채택해야 한다"라고 덧붙였다.
editor@itworld.co.kr