해킹·피싱 등 사이버 피해 급증…기업당 피해액 379만달러

입력 2016.07.22 18:34

해킹 등 다양한 사이버범죄가 매년 꾸준히 증가하면서 세계 기업들이 피해액도 커지는 것으로 나타났다. 세계 기업들이 사이버범죄 피해 예방을 위해 적극 대응하는데 반해, 한국 기업의 상당수는 여전히 고객정보 유출 등에 대한 준비가 미흡하다는 지적도 나온다.

◆사이버 범죄로 연간 4450억달러 손실

KB금융지주경영연구소가 22일 발표한 '증가하는 사이버리스크와 사이버보험 시장 확대' 보고서를 보면 지난해 세계 기업들의 데이터유출에 따른 평균 피해액이 379만달러(43억1681만원)에 달하는 것으로 집계됐다. 또 1인당 평균비용도 전년보다 6% 증가한 154달러(17만5406원)로 집계돼 데이터유출에 따른 비용지출이 꾸준히 증가했다.


사이버범죄에 따른 비용 / AGCS(2015) 제공
사이버범죄가 세계 경제에 미치는 손실 규모도 매년 증가해 연간 피해액이 4450억달러(506조8550억원)에 이르는 것으로 집계됐다.

사이버범죄로 가장 큰 피해를 보는 국가는 미국으로 총 피해액이 1080억달러(122조8824억원)에 달했다. 중국은 600억달러(68조2680억원)로 2위를 기록했고, 독일 590억달러(67조1302억원), 브라질 77억달러(8조7610억원), 인도 40억달러(4조5512억원), 싱가포르 12억달러(1조3653억원), 일본 9억8000만달러(1조1150억원) 순으로 뒤를 이었다.

지난해 미국의 건강보험사들은 시스템을 해킹 당해 1억1570개의 개인정보를 외부로 유출시켰다. 또 미국 기업 앤섬은 9760만개의 개인정보를 탈취 당해 심각한 피해를 입었다. 완구업체인 브이텍 역시 1120만건의 개인정보가 유출돼 후유증에 시달리고 있다. 브이텍에서 유출된 정보에는 고객 사진이나 채팅 로그데이터 등 개인을 식별할 수 있는 정보가 포함돼 있어 추가 범죄에 악용될 여지도 남겨둔 상태다.


데이터 유출 원인. / Ponemon Institute 제공
데이터 유출 사고의 47%는 악성코드 감염이나 내부 범죄자, 피싱과 같은 '악의적인 또는 범죄 목적의 공격'과 연관이 있는 것으로 확인됐다. IT 및 비즈니스 오류를 포함한 '시스템 오작동' 비율은 29%였고, 직원의 태만과 같은 '인적 요인'이 25%를 차지했다.

◆사이버리스크 인식 변화…전문 보험 상품 인기

사이버범죄에 따른 피해가 증가하면서 세계 기업들은 데이터 유출에 따른 피해배상을 위해 전문 보험상품에 가입하는 등 고객 피해를 최소하기 위해 적극적으로 대응하고 있다.

전세계 사이버보험 시장 전망. / PWC 제공
사이버리스크에 대한 인식도 변하고 있다. 알리안츠가 실시한 설문에 따르면 경영에 위협을 주는 요인으로 사이버리스크는 2013년 6%(15위)를 기록했지만, 2015년 17%(5위)로 크게 증가했고, 올해는 28%(3위)까지 높아져 사이버리스크의 중요도 순위가 상승했다.

또 미국 등 세계 기업들은 사이버공격 등 보안 침해 사태가 발생할 때를 대비해 사이버보험 가입을 확대하고 있는 추세다. 사이버보험은 2005년 이후 본격적으로 시장이 형성돼 2012년에는 8억5000만달러(9681억원), 2014년에는 25억달러(2조8475억원) 규모로 급성장하고 있다.

이에 반해 국내 기업의 경우 이러한 보험 상품 가입이 의무화돼 있지 않아 관련 시장이 형성돼지 않고 있다. 보고서에 따르면 국내 정보보안 담당자의 43.7%가 관련 상품을 잘 몰랐다고 답했고, 41.4%는 알더라도 가입하지 않은 것으로 나타났다.

사이버리스크의 인식 변화 / Allianz Risk Barometer 제공
대안 마련을 위해 한국 정부는 지난해 도입한 징벌적·법적 손해배상제도를 이달 25일부터 시행해 기업의 개인정보유출사고에 대한 책임을 강화하고 있다. 또 지난해 9월부터 시행된 신용정보법으로 금융기관의 개인정보유출 배상책임보험 가입기준을 마련했다.

새로운 신용정보법에 따르면 은행 및 지주회사, 정보집중기관, 신용조회회사 등은 20억원 규모의 배상책임보험을 의무적으로 가입해야 하고, 지방은행과 보험사 등 2금융권은 10억원의 보험 가입을 의무화했다. 그러나 금융권을 제외한 일반 기업은 관련 상품 가입 의무가 없다.

김 연구원은 "사이버범죄가 기승을 부리고 있어 사이버공격에 대한 리스크평가 모델 고도화 작업과 보장담보 다양화 등의 노력 필요하다"며 "정보유출 사고가 지속적으로 발생함에 따라 국내 비금융기관도 정보유출 위험관리의 일환으로 사이버보험 가입을 적극 검토할 필요가 있다"고 말했다.