대기업 표적공격의 피해액이 한 건당 27억원에 이른다는 보고서가 발표됐다. 또한 기업 표적공격은 대부분 기밀정보 유출을 목표로 하고 있어 실제 피해규모를 산출하기 어려울 것이라는 의견도 제시됐다.
카스퍼스키 랩과 B2B 인터내셔널이 공동으로 수행한 2‘013년 글로벌 IT 보안 위험 조사’에 따르면, 대기업을 상대로 한 표적 공격이 성공했을 경우 그 피해액이 최대 27억원에 이르는 것으로 밝혀졌다.
표적 공격은 전문 해커가 공격의 준비와 실행에 참여하며, 상당한 자금과 광범위한 IT 지식을 갖고 있다. 공격의 최종 목표는 특정 기업의 기밀 정보이기 때문에 기밀 데이터의 유출은 유무형의 상당한 손실로 직결될 수 있다.
보고서에 따르면 공격에 성공했을 경우 건 당 평균 피해액은 약 27억원이었으며, 이 중 약 24억원은 기밀 데이터 유출, 사업 중단, 소송, 복구에 따른 직접 비용이고 나머지 약 3억원은 재발 방지를 위한 직원 채용, 교육, 시스템 업데이트 비용 등이었다.
SMB(중견·중소기업)에 대한 표적 공격으로 인한 회사의 손실은 건 당 약 1억원으로 대기업에 비해 낮지만, 회사의 규모(약 100~200명)를 고려하면 그 충격은 상당하다. 1억원 중 약 7000만 원은 사고 처리를 위한 직접 비용이었으며, 나머지는 재발 방지 비용이었다.
24% 기업 “네트워크 해킹 당해”
이번 조사에 응답한 이들의 약 9%만이 지난 1년 동안 표적 공격에 노출됐다고 밝혔으며 훨씬 높은 비율(24%)로 네트워크 인프라가 해킹당했으며, 대기업은 18억6000만원, SMB는 8000만원의 손실이 발생했다.
기업 데이터를 고의적으로 유출한 경우는 19%였으며 금융 손실은 대기업 11억원, SMB 6000만원이었다. 소프트웨어 취약점을 악용한 공격은 조사 대상 기업의 39%에서 발생했으며 대기업 평균 7억3000만원이었고 SMB는 7000만 원 정도였다.
