Announcements
IBM 조사 발표 “코로나 발생 기간 데이터 유출 비용 사상 최고치 기록”
서울, 2021년 8월 2일 – IBM 시큐리티는 오늘 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 최신 연구 결과[1]를 발표했다. 이 연구 결과에 따르면 조사 대상 기업들은 데이터 유출로 인해 사고당 평균 424만 달러의 손실을 입은 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편, 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억 1천만원의 손실을 입은 것으로 나타났다.
전 세계 500개 이상의 기업 및 조직에서 경험한 실제 데이터 유출 사례를 심층 분석한 이 연구에 따르면, 코로나 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 높아져 전년 대비 약 10% 증가한 것으로 나타났다.
지난해 많은 기업들은 직원들에게 재택근무를 장려하거나 요구함에 따라 기술 접근 방식도 이에 맞춰 신속하게 조정해야 했으며, 60%의 조직이 코로나 기간 동안 클라우드 기반 활동을 확대했다[2]. 오늘 발표된 조사 결과에 따르면 기업의 보안 수준이 이러한 급격한 IT 변화에 따라가지 못해 조직의 데이터 유출에 대응하는 능력이 저하되었을 수 있음을 알 수 있다.
포네몬 연구소(Ponemon Institute)가 실시하고 IBM 시큐리티가 분석한 연간 데이터 유출 피해 보고서는 다음과 같은 추세를 밝혀냈다.
· 원격 근무의 영향: 코로나 기간 동안 원격 근무로 빠르게 전환되면서 데이터 유출와 관련된 피해 금액은 더 높아졌다. 원격 근무가 데이터 유출 사고의 요인에 포함된 경우, 포함되지 않는 경우보다 관련 피해 금액이 평균 100만 달러가 더 높다. (원격 근무 포함 시 496만 달러 vs. 미포함 시 389만 달러)
· 의료 업계 피해 급증: 코로나 기간 동안 운영상의 변화가 컸던 업계(의료, 소매, 서비스, 소비자 제조/유통)는 전년 대비 데이터 유출 피해 금액이 크게 증가했다. 특히, 의료 업계의 유출 사고 피해액은 사고당 923만 달러로 전년 대비 200만 달러가 증가했다.
· 사용자 인증 정보의 유출이 데이터 유출로 이어져: 사용자 인증 정보의 도난이 유출 사고의 가장 주요한 원인으로 나타났다. 동시에 고객 개인 정보(예: 이름, 이메일, 암호)는 데이터 유출 사고시 노출되는 가장 일반적인 유형의 정보로 데이터 유출 사고의 44%가 이런 유형의 정보를 포함하고 있는 것으로 나타났다. 이러한 요소들의 조합은 악순환을 야기할 수 있으며, 사용자 이름/암호 유출은 공격자가 향후 추가적인 데이터 유출 공격을 하는데 사용될 수 있다.
· 현대적인 접근 방식으로 피해액 절감 가능: AI, 보안 분석, 암호화 도입은 유출 사고로 인한 피해액을 줄일 수 있는 3대 요소로 나타났다. 조사에 따르면, 이러한 툴을 사용하는 기업은 사용하지 않는 기업에 비해 125만~149만 달러의 피해 비용을 절감했다. 클라우드 기반 데이터 유출 사고를 조사했을 때, 하이브리드 클라우드 접근 방식을 구현한 조직(361만 달러)은 퍼블릭 클라우드(480만달러), 또는 프라이빗 클라우드만 주로 사용하는 기업(455만 달러)에 비해 데이터 유출로 인한 피해액이 낮았다.
한편, 한국 기업 대상으로 진행한 조사에서 밝혀진 사항은 다음과 같다.
· 조사에 참여한 한국 기업에서 데이터 유출 사고시 데이터 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순이었다.
· 데이터 유출 사고의 가장 주요한 최초 공격 방법은 사용자 인증 정보의 도용으로 20% 이상이 이를 통해 발생한 것으로 나타났다. 그 다음으로는 클라우드의 구성 오류, 피싱 등이었다.
· 데이터 유출 사고시 피해가 가장 컸던 최초 공격 방법은 비즈니스 이메일의 유출로 데이터 유출 시 피해액은 평균 약 67억 6천만원에 이르렀다. 그 다음은 사회공학적 해킹으로 약52억 9천만원, 피싱 약 49억 2천만원으로 나타났다.
· 보안 자동화를 부분적으로 (38%) 또는 완전하게(25%) 도입했다고 답변한 기업이 63%로 보안 자동화의 도입 비율이 높아지고 있는 것으로 나타났다.
· 제로 트러스트 접근 방식의 성숙 단계에 있는 기업들의 평균 데이터 유출 피해액은 약 26억원인 반면, 제로 트러스트 접근 방식을 아직 시작하지 않았다고 답변한 기업들의 피해액은 약 50억 5천만원에 이르렀다.
크리스 맥커디(Chris McCurdy) IBM 시큐리티 총괄 부사장은 "코로나 기간 동안 급속한 기술 변화를 겪고 있는 기업들에게 증가한 데이터 유출 사고 비용은 또 다른 추가 비용"이라며, "지난 1년간 데이터 유출 피해액이 사상 최고치를 기록했지만, 보고서를 통해 AI, 자동화, '제로 트러스트' 접근 방식과 같은 현대적 보안 기술의 긍정적인 영향력에 대해서도 확인할 수 있었다. 이런 기술을 도입함으로써 사고 피해액을 더 줄일 수 있을 것으로 생각한다"고 말했다.
원격 근무 및 클라우드로의 전환이 데이터 유출 사고에 미치는 영향
코로나 기간 동안 사회가 디지털 상호작용에 더 많이 의존함에 따라, 기업들은 점점 더 온라인화되는 세계를 수용하기 위해 원격 근무와 클라우드로 전환했다. 보고서는 이러한 요인들이 데이터 유출 사고 대응에 상당한 영향을 미친다는 것을 발견했다. 연구 대상 조직의 약 20%가 원격 근무가 데이터 유출 사고의 요인 중 하나이며, 사고로 인해 기업은 496만 달러(원격 근무가 사고 요인에 포함되지 않는 일반 데이터 유출 사고보다 약 15% 더 많은 피해액)의 손실을 입게 되었다라고 답했다.
조사 대상 중 클라우드 전환 프로젝트를 진행하는 중에 데이터 유출 사고가 발생한 기업은 평균보다 18.8% 높은 비용을 지출했다. 그러나, 전반적인 클라우드 현대화 전략이 보다 많이 진행되어 “성숙 단계”에 있는 기업들은 초기 도입 단계에 있는 기업들보다 평균 77일 더 빠르게 사건을 감지하고 대응할 수 있었다(252일 vs. 329일). 클라우드 기반 데이터 유출 사고를 조사했을 때, 하이브리드 클라우드 접근 방식을 구현한 조직(361만 달러)은 퍼블릭 클라우드(480만달러)만, 또는 프라이빗 클라우드만 주로 사용하는 기업(455만 달러)에 비해 데이터 유출로 인한 피해액이 낮았다.
사용자 인증 정보의 유출로 인한 위험 증가
또한 이 보고서는 데이터 유출로 인해 소비자 정보(인증 정보 포함)가 유출되어 추가 공격에 사용될 수 있는 가능성이 증가하고 있음을 지적했다. 최근 다른 조사에 참여한 한국 사용자 10명 중 9명이 여러 계정에서 같은 암호를 사용한다고 답변한 가운데[3], 유출된 사용자 인증 정보는 또다른 데이터 유출 사고의 주요 원인이자 결과로 나타났으며, 기업에 복합적인 리스크를 야기한다.
· 개인 정보 노출: 분석된 데이터 유출 사고의 거의 절반(44%)에서 이름, 이메일, 암호 또는 심지어 의료 데이터와 같은 고객 개인 정보가 유출된 것으로 나타나, 개인 정보는 가장 일반적으로 유출되는 데이터 형태인 것으로 나타났다.
· 고객 개인 식별 정보의 피해액이 가장 커: 고객 개인 식별 정보(PII: Personally Identifiable Information)이 손상되거나 도난당할 경우, 피해액이 다른 유형의 데이터(전체 데이터 평균 161달러)에 비해 가장 컸다(데이터 당 180달러).
· 가장 일반적인 공격 방법: 유출된 사용자 인증 정보는 공격자가 진입 지점으로 사용하는 가장 일반적인 방법으로, 조사된 유출 사고의 20%를 차지했다.
· 길어진 탐지 기간 : 유출된 사용자 인증 정보로 인한 유출 사고는 탐지하는 데 평균 250일이 소요되어 다른 유출 사고의 평균 탐지 기간 212일에 비해 탐지하는 데 보다 긴 시간이 걸렸다.
현대화된 기업은 피해액 절감 가능
코로나 발생 이후 어떤 IT 전환은 데이터 유출 사고 비용을 증가시키기도 했지만, 이 기간 동안 비즈니스 운영을 현대화하기 위한 어떠한 디지털 전환 프로젝트도 진행하지 않았다고 답한 조직에서는 실제로 데이터 유출 비용이 더 많이 발생했다. 사고 비용은 코로나로 인한 디지털 전환을 겪지 않은 조직이 평균보다 75만 달러(16.6%) 높았다.
제로 트러스트 보안 방식을 채택한 기업은 데이터 유출에 더 잘 대처할 수 있었다. 이 접근 방식은 사용자 ID 또는 네트워크 자체가 이미 손상되었을 수 있다는 가정 하에 가동하며, 대신 AI와 분석에 의존하여 사용자, 데이터 및 리소스 간의 연결을 지속적으로 검증한다. 성숙한 제로 트러스트 전략을 보유한 조직의 평균 데이터 유출 사고 비용은 328만 달러로 이 방식을 전혀 적용하지 않은 조직보다 176만 달러 낮았다.
연구 결과, 예년에 비해 더 많은 기업이 보안 자동화를 구현하고 있어 상당한 비용 절감 효과를 거두고 있음을 발견했다. 2년 전에는 52%의 기업이 보안 환경 내에 자동화를 부분적으로 또는 완전히 구현하고 있다고 답한 반면, 이번에는 약 65%가 자동화를 구현하고 있다고 답했다. 보안 자동화 전략을 "완전 구축"한 조직은 평균 유출 비용이 290만 달러에 불과한 반면, 자동화 기능이 없는 조직은 671만 달러로 두 배 이상의 비용을 감당해야했다.
사고 대응 팀과 대응 계획에 대한 투자도 조사 대상자들 사이에서 데이터 유출 비용의 차이를 만들었다. 사고 대응 계획을 테스트한 사고 대응 팀이 있는 회사의 평균 사고 피해 비용은 325만 달러인 반면, 두 가지가 없는 기업의 평균 사고 피해 비용은 571만 달러(54.9% 차이)로 나타났다.
그 외 2021년 보고서의 추가적인 연구 결과
· 대응 시간: 데이터 유출 사고를 탐지하고 진화하는 데 걸리는 평균 시간은 287일(탐지하는 데 212일, 진화하는 데 75일)로 전년 조사 때보다 일주일 더 길어졌다.
· 대규모 유출: 5천만에서 6천5백만 건 사이의 데이터 유출과 같은 대규모 유출 사고의 평균 비용은 4억1천만 달러였다. [4] 이는 보고서에서 조사한 대부분의 유출 사례(1,000-100,000개의 데이터 범위)보다 거의 100배 더 많은 비용이다.
· 산업별: 의료 산업의 데이터 유출 사고 피해액(923만 달러)이 가장 많았고, 금융 부문(572만 달러)과 제약 부문(504만 달러)이 그 뒤를 이었다. 전체적인 비용 면에서는 낮았지만, 미디어, 서비스, 공공 부문의 피해액이 전년 대비 크게 증가했다.
· 국가 및 지역별: 미국은 데이터 유출 사고 비용이 건당 905만 달러로 가장 컸으며, 중동(693만 달러)과 캐나다(540만 달러)가 그 뒤를 이었다.
IBM 시큐리티 소개
IBM 시큐리티는 가장 발전되고 통합된 엔터프라이즈 보안 제품 및 서비스 포트폴리오 중 하나를 제공한다. 세계적인 IBM 시큐리티 X-포스(Force)® 연구소가 뒷받침하는 이 포트폴리오를 통해 조직과 기업들은 위험을 효과적으로 관리하고 새롭게 등장하는 위협을 방어하는 것이 가능하다. IBM은 세계에서 가장 광범위한 보안 연구 및 개발을 수행하고 보안 서비스를 제공하는 조직 중 하나로, 130여 개국에서 하루에 1500억 건의 보안 이벤트를 모니터링하고 있으며, 전 세계에서 10,000개 이상의 보안 관련 특허를 보유하고 있다. 자세한 내용은 www.ibm.com/security 나 IBM Security Intelligence 블로그에서 확인할 수 있다.
# # #
[1] IBM 시큐리티와 포네몬 연구소(Ponemon Institute)의 2021년 데이터 유출 비용 연구 보고서는 2020년 5월부터 2021년 3월까지 전 세계 500개 이상의 조직(한국은 28개 기업 참여)에서 경험한 데이터 100,000건 이하 (1000~100,000건 데이터 유출 사고)의 실제 유출 사고 대한 심층 분석을 기반으로 하고 있다. 이 보고서에는 법률, 규제 및 기술 활동부터 브랜드 자산, 고객 및 직원 생산성 손실에 이르기까지 데이터 유출 사건에 관련된 수백 가지 비용 요소가 고려되고 있다. 2021년 데이터 유출 비용 보고서는 ibm.com/databreach에서 제공된다.
[2] IBM 기업가치연구소 보고서: COVID-19 and the future of business
[3] IBM 시큐리티: ‘코로나 기간 중 소비자의 디지털 행동과 사이버 보안에 미치는 잠재적인 영향’에서 한국을 포함한 글로벌 22개국 소비자 설문 결과
[4] 2021년 데이터 유출 사고 비용 보고서는 100만 개 이상의 데이터 손실 또는 도난과 관련된 특정 샘플에 대한 별도의 분석을 기반으로 대규모 유출 비용을 조사했다. 전체 평균 데이터 유출 보고서는 1,000-100,000개 레코드 범위의 데이터 유출을 기반으로 하고 있으며, 대규모 유출 사고의 샘플은 조사하는 전체 평균을 구하는 데이터 유출 보고서 계산에는 포함되지 않았다.