기업 데이터를 노린 사이버 공격이 급증하면서 그 피해가 갈수록 늘고 있다.
IBM은 글로벌 보안컨설팅 전문업체 포네몬 인스티튜트와 함께 전 세계 16개국 500여 개 기업의 데이터 유출 현황을 조사 분석한 ‘2019 글로벌 기업 데이터 유출 현황’ 보고서를 공개했다. 데이터 유출로 인한 기업의 평균 피해액은 392만 달러(약 46억2000만원)다. 지난 5년간 약 12% 상승한 것으로 나타났다.
이러한 데이터 유출은 절반 이상이 금전적 이익을 노린 악성 사이버 공격에서 비롯됐다. 사이버 공격으로 인한 피해액은 평균 445만 달러(약 52억4000만원)로 내부 시스템 오류(350만 달러) 및 내부 직원의 실수(324만 달러)로 인한 피해액보다 컸다.
국내 26개 기업도 설문 대상에 포함됐다. 국내 기업의 평균 피해액은 약 35억5300만원으로 전년 대비 13% 증가했다. 직원 1인당 데이터 유출 피해액은 지난해보다 9.92% 증가한 16만5100원이다. 분야별로는 기술산업 분야가 1인당 24만5577원을 기록하며 가장 큰 피해를 보았다. 금융업(21만7334원)과 서비스업(21만6955원), 운송업(18만5226원) 등이 그 뒤를 이었다. 공공 분야는 가장 낮은 1인당 9만4776원을 기록했다.
데이터 유출로 인한 피해는 수년간 이어지는 것으로 나타났다. 발생하는 비용 중 평균 67%가 첫해에 발생했다. 이듬해는 22%, 나머지 11%는 피해 발생 이후 2년이 지난 후에 발생하는 것으로 밝혀졌다. 2년~3년 차에 발생한 장기 비용은 헬스케어, 금융서비스, 에너지, 제약 등 규제가 강한 업종의 기업에서 더욱 높게 나타났다.
IBM은 피해를 줄이는 방편으로 기업의 대응 역량을 강조했다. 데이터 유출을 탐지하고 차단하는 것이 늦어질수록 피해액이 늘어난다는 것. 국내 기준으로 침해 원인을 파악하는 기간이 100일 미만이면 피해액은 평균 25억6000만원에 그쳤지만, 100일이 넘으면 평균 45억4600만원으로 급증했다. 또 차단에 걸린 기간이 30일 미만인 경우 피해 규모는 30억5200만원이지만, 30일이 넘으면 40억5400만원으로 늘어난다.
웬디 휘트모어(Wendi Whitmore) IBM 글로벌 X포스 침해 대응 및 인텔리전스 서비스 부문 글로벌 총괄은 "기업들이 지난 3년 동안 무려 117억 개 이상의 데이터(record) 손실이나 탈취를 경험한 상황이다"라며 "기업은 데이터 침해가 기업의 수익성에 미치는 재무적 영향을 파악하고 해당 비용을 줄이는 것에 주력할 필요가 있다"고 말했다.