공격자가 데이터 유출 사고 공개한 경우 100만달러 비용 추가
[데이터넷] 데이터 유출로 인해 발생한 비용이 평균 445만달러(약 60억원)에 이르며, 의료분야 유출 비용은2020년보다 53.3% 늘어난 1093만달러(약 147억원)에 달하는 것으로 나타났다.
IBM의 ‘2023년 데이터 유출비용 보고서’에 따르면 데이터 유출로 인해 발생한 평균 비용은 사상 최대 규모인 445만달러를 기록했으며, 이는 지난해보다 2.3%, 2020년보다 무려 15.3% 증가한 것이다.
이 조사는 IBM 시큐리티가 포네몬인스티튜트에 의뢰해 2022년 3월부터 2023년 3월 사이 데이터 유출 피해를 입은 전 세계 16개국 17개 업계 553개 조직을 대상으로 실시한 것이다.
최근 의료 분야 사이버 보안 사고에 대한 경고가 잇따르고 있는데, 공격자들이 그동안 의료·교육 분야 공격은 자제해왔지만, 코로나19 이후 ‘돈’이 되는 의료분야를 집중 공격하고 있는 양상이다. IBM 조사에서도 의료 데이터 유출이 매우 심각한 것으로 드러났으며, 13년 연속 가장 큰 데이터 유출 사고 비용을 기록했다.
클라우드 데이터 유출도 심각한 문제를 드러내고 있는데, 공격자들이 퍼블릭·프라이빗·멀티 클라우드 등 여러 환경에서 액세스 권한을 수집해 유출한 사례가 전체 사고의 39%에 달했으며, 평균보다 높은 475만달러의 비용을 발생시켰다. 더불어 보안 복잡성이 높은 조직은 31.6% 증가한 528만달러의 피해를 입었다.
랜섬웨어로 인한 피해도 크게 늘고 있는데, 랜섬웨어 공격당한 후 사법기관과 협력하지 않은 조직에서 더 큰 비용을 지불한 것으로 나타났다. 응답자의 63%가 협력했다고 답했으며, 협력하지 않은 조직은 9.6% 더 많은 비용을 지불했고 사고 조치도 33일 더 걸렸다.
데이터 유출 사고를 자체 보안 팀이나 도구로 파악한 경우는 3분의 1에 불과했으며, 67%는 외부 기관이나 공격자의 협박을 받고 알게 됐다. 공격자가 공개한 경우 내부 탐지에 비해 100만달러의 비용이 추가로 발생하는 것으로 분석됐다.
피해 조직 절반 “보안 투자 늘릴 계획 없어”
사고당한 후라도 보안 조치를 철저히 해야 후속 공격을 막을 수 있는데, 피해조직의 51%만이 보안 투자를 늘릴 계획이 있다고 답했다. 투자할 보안 기술은 침해대응(IR) 계획과 침투테스트, 직원 교육, 위협 탐지 및 대응 등이 가장 많았다.
피해 규모가 커지는 사이버 위협에 대응하는데 AI와 자동화가 유용하게 사용되고 있는데, 실제로 보안 AI와 자동화를 도입한 조직은 데이터 유출을 식별하고 억제하는데 108일 더 적은 시간을 사용했으며, 176만달러 낮은 비용을 지불했다.
소프트웨어 공급망 공격과 취약점 공격이 대세를 이루고 있어 이에 대한 근본적인 해결책이 될 수 있는 데브섹옵스 도입효과도 긍정적으로 나타났다. 데브섹옵스 도입률이 높은 조직은 그렇지 않은 조직에 비해 168만달러를 절감했다.
IR 계획과 침투테스트도 데이터 유출 비용을 크게 낮추는 요인으로, 149만달러를 절감할 수 있었다. 유출을 빠르게 인지할수록 비용이 크게 줄어드는 것으로 나타났다. 유출 탐지와 해결까지 200일 미만 소요될 경우 393만달러, 그 이상일 경우 495만달러로 23%의 차이가 발생했다.
한편 IBM은 데이터 유출 비용을 줄일 수 있는 권장사항을 다음과 같이 정리했다.
- 소프트웨어 개발 및 배포의 모든 단계에 보안을 구축하고 정기적으로 테스트
- 하이브리드 클라우드 전반에서 데이터 보호 현대화
- 보안 인공지능 및 자동화를 통해 속도와 정확성 향상
- 공격 표면 이해 및 IR 실천을 통한 복원력 강화
- IBM ‘2023 데이터 유출 비용 보고서’ 주요 내용
