IBM, 전세계 데이터 유출 피해 현황 발표
- 포네몬 인스티튜트와 공동 조사 결과, 전세계 데이터 유출 피해액 급격히 증가
- 데이터 유출 대응 및 해결 비용 전세계 평균 380만 달러…기록 분실이나 도난으로 인한 손실 6% 증가

Seoul - 2015/06/08: IBM은 오늘 보안컨설팅 전문업체 포네몬 인스티튜트와 공동으로 실시한 연례 ‘글로벌 데이터 유출 현황 조사 분석’의 결과를 발표했다. 11개 국 350개 기업을 대상으로 실시된 이 조사에 따르면 데이터 유출에 따른 총 피해액 평균이 380만 달러(현지 통화는 비교 목적상 미 달러로 환산)로  2013년 이후 23% 증가한 것으로 나타났다.

 

민감한 기밀 정보가 들어있는 기록을 분실하거나 도난 당했을 때의 평균 피해액은 145달러에서 154달러로 6% 증가했다. 의료부문 평균 피해액이 363달러에 달해 단일 도난 기록당 피해액이 가장 높은 업종으로 나타났다. 더불어 소매업종의 도난 기록당 평균 피해액은 전년의 105달러에서 올해는 165달러로 급상승했다.

 

포네몬 인스티튜트의 래리 포네몬 회장은 피해액이 증가한 세 가지 중요 원인으로 첫째, 사이버 공격의 빈도와 보안사고 해결에 필요한 비용 모두 증가한 점, 둘째, 데이터 유출로 인한 고객이탈이 더 많은 재무적 손실을 가져오고 있는 점, 셋째, 사이버 범죄 수사 및 조사활동, 평가, 위기관리팀 운영에 드는 비용이 증가한 점을 꼽았다.

주요 발견사항

  • 경영진의 관심과 보험 가입이 데이터 유출 피해액 감소에 기여: 이사회가 데이터 유출 사고에 적극적으로 관여하는 것이 긍정적인 결과를 가져오는 것으로 나타났다. 이사회의 관여는 기록당 피해액을 평균 5.50달러 낮추며 보험 가입 역시 기록당 손실을 $4.40 줄여준다.
  • 비즈니스 연속성 관리 진행 여부가 데이터 유출 피해액 축소에 중요한 역할: 조사 결과 데이터 유출 해결에 비즈니스 연속성 관리를 적용하면 기록당 평균 피해액이 $7.10 감소하는 것으로 나타났다.
  • 기록당 평균 피해액 미국 217달러 독일 211달러로 최고 피해액 기록: 피해액이 가장 적은 국가는 인도와 브라질로 각각 56달러 78달러 였다.
  • 산업마다 데이터 유출 피해액 격차 존재: 데이터 손실 또는 도난으로 인한 전세계 평균 데이터 유출 피해액은 154달러였다. 하지만 의료기관의 경우 평균 피해액이 363달러, 교육기관은 300달러에 이르는 것으로 나타났다. 손실 또는 도난 기록 당 피해액이 가장 낮은 업종은 운송과 공공부문으로 각각 121달러와 68달러였다.
  • 데이터 유출의 주범은 해커와 내부 직원: 이번 조사에서 파악된 전체 데이터 유출의 47%가 악의적인 공격에 의한 것으로 나타났다. 공격에서 회복하기 위한 기록당 평균비용은 170달러였다. 시스템 고장에 따른 손실은 기록당 142달러였고 인적 실수로 인한 피해액은 기록당 137달러였다. 미국과 독일이 각각 기록당 230달러와 224달러로 악의적인 공격을 해결하는데 가장 많은 돈을 지출했다.
  • 정보 유출 통지 시스템 유지 비용은 여전히 낮으나 비즈니스 손실과 관련된 피해액은 증가: 비즈니스 손실에는 고객 이탈, 고객 유치비용 증가, 평판 악화, 영업권 축소 등이 포함되며, 관련 평균 피해액이 2013년 123만 달러에서 2015년에는 157만 달러로 증가했다. 정보 유출 통지 시스템 유지 비용은 지난 해의 19만 달러에서 17만 달러로 감소했다.
  • 데이터 유출 확인 및 해결에 걸리는 시간이 피해액에 영향: 이번 조사에서 최초로 기업이 데이터 유출을 확인 및 해결하는데 보이는 신속함의 정도와 재무적 피해 간의 상관 관계를 알아보았다. 악의적인 공격을 발견하는 데 평균 256일이 걸리고 인적 실수로 인한 데이터 유출을 확인하는 데는 평균 158일이 걸리며, 악의적인 공격으로 인한 데이터 유출의 피해액이 가장 컸다..

IBM 시큐리티의 마크 반 자델호프 전략 담당 부사장은 “사이버 범죄자들이 날로 정교해지고 협력하면서 데이터 유출 피해액의 급증에 직접적인 영향을 미쳤다”라며 “기업들이 계속적인 공격으로부터 스스로를 방어하기 위해선 해커들과 같은 수준의 조직화가 필요하며 첨단 애널리틱스를 사용하고 위협정보 데이터를 공유하며 모든 산업에 걸쳐 협력하는 것이 해커들과 대등한 입장에 서서 기업과 사회가 부담하는 손실을 줄이는 데 도움이 될 것이다”고 밝혔다.

데이터 유출 가능성 예측

분실 또는 도난 된 기록의 양과 기업이 속한 업종, 두 가지 요소에 기초해 향후 24개월 동안 기업에서 데이터 유출이 발생할 가능성을 조사했다. 그 결과, 브라질과 프랑스 기업이 1만 건 이상의 데이터 유출을 경험할 가능성이 더 높게 나타났으며 독일과 캐나다 기업은 가장 낮게 나타났다. 또한 기업은 10만 건 이상의 대형 유출보다 1만 건 이하의 데이터 유출을 경험할 가능성이 더 높았다.

데이터 유출 피해액 조사방법 소개

데이터 유출 피해액 조사는 10년 전 미국에서 처음 실시된 후 11개 국가로 확대되어왔다. 포네몬 인스티튜트는 현장 기반의 조사 방법과 활동 기반의 피해액 산출 프레임워크를 이용, 수백 가지 직간접적 피해액 산출 기준에 해당하는 기업의 실제 데이터에 기초해 데이터 유출 피해액 조사를 실시한다. 이 조사는 지난 10년간 11개 국가에 걸쳐 데이터 유출을 경험한 바 있는 1,600개 이상의 기업을 분석하면서 신뢰도를 검증했다.

올해 조사 항목에는 데이터 유출로 인한 재무적 손실 정도가 포함됐다. 조사의 목적상, 민감한 기밀 관련 데이터가 분실, 도난 되거나 위험에 처하면 데이터 유출로 간주한다. 포네몬 인스티튜트의 연구원들은 10개월 동안 미국, 영국, 독일, 오스트레일리아, 프랑스, 브라질, 일본, 이탈리아, 인도, 아랍지역 (아랍에미레이트와 사우디아라비아 산하 지역 통합) 및 캐나다에서 350개 기관을 대표하는 IT, 준법, 정보보안 실무자와 1,500여 회 이상의 면담을 실시했다.

전체 보고서를 다운로드 하려면 www.ibm.com/security/data-breach 를 방문하라.

포네몬 인스티튜트 소개

포네몬 인스티튜트는 전세계를 대상으로 기업과 정부의 정보보안, 데이터 보호, 프라이버시, 정보의 책임관리 증진을 위해 독자적인 조사와 교육을 실시하고 있다. 정보자산의 보호와 IT 인프라에 영향을 주는 중대한 이슈들에 대해 연구한다. 미국 조사연구단체협회(CASRO)의 회원으로 엄격한 데이터 비밀유지, 프라이버시, 도덕적 조사표준을 준수한다.

                                                                 ###