韓 기업 30곳 데이터 유출로 43억 피해 입었다

by최훈길 기자
2022.09.19 15:22:05

[이데일리 최훈길 기자] 한국 기업 30곳이 데이터 유출로 43억원 규모의 피해를 입은 것으로 나타났다. 유출 피해가 커질수록 서비스 가격에 전가돼 소비자 부담이 커질 수 있어, 보안 대책이 필요하다는 지적이 제기된다.

19일 IBM 시큐리티가 지난해 3월부터 1년간 IT, 금융, 서비스 분야 기업 550곳을 대상으로 조사해 분석한 ‘2022 데이터 유출 비용 연구 보고서’에 따르면, 지난 1년간 전 세계 기업이 데이터 유출로 평균 435만달러(약 60억3171만원)의 손실을 기록했다. 한국 기업 30곳은 43억3400만원 상당의 역대 최고 피해액을 기록했다. 보고서에 기업명은 공개되지 않았다.

IBM. (로이터, 연합뉴스)

전 세계 기업의 데이터 유출 평균 손실은 17년간 조사 이래 최대 수준이었다. 한국 기업도 2018년부터 데이터 유출로 평균 피해액이 꾸준히 증가해 올해 사상 최대치를 기록했다. 이번 보고서는 전 세계 550개 기업 및 조직이 경험한 실제 데이터 유출 사례를 심층 분석한 것이다.

조사에 따르면 최근 2년간 보안 사고로 인한 관련 비용이 12.7% 늘어났다. 이에 따라 IBM은 이러한 비용 상승이 최종 재화 및 서비스 가격 인상을 초래할 수 있다는 점을 지적했다. 실제로 조사에 참여한 기업의 60%가 “데이터 유출 관련 비용 상승으로 서비스나 제품 가격을 인상했다”고 답했다.



이번 보고서는 데이터 유출 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다고 지적했다. 조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 비용 중 절반 가까운 금액은 사건 발생 1년 이후에 나타났다.

한국의 경우 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순으로 나타났다. 작년에 이어 올해도 산업 분야가 데이터 보안 위협으로 가장 큰 손실을 본 것으로 드러났다. 국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았다. 클라우드 구성 오류와 제3자 소프트웨어의 취약성 공격이 뒤를 이었다.

데이터 유출 피해 규모에는 기업의 보안 성숙도가 영향을 미쳤다. 보고서에 따르면 차세대 보안 모델로 세밀하게 접근을 통제하는 ‘제로 트러스트’ 접근 방식을 도입하지 않은 국내 기업의 피해액은 약 50억원에 달했다. 도입 후 성숙기에 접어든 기업의 피해액은 38억원을 기록해 선제적인 보안 투자가 실제 금전적인 피해 규모를 낮출 수 있었던 것으로 나타났다. 한국 기업 10 중 8곳 이상(81%)은 제로 트러스트 접근 방식의 성숙기에 도달했거나 또는 과도기를 지나고 있어 대다수가 보안의 중요성을 인지했다.

IBM은 데이터 유출로 재정적 영향을 최소화하기 위해서는 제로 트러스트 보안 모델 채택하고, 민감한 데이터에 대한 무단 액세스를 방지할 것을 주문했다. 보안·자동화·대응(SOAR), 확장된 탐지 및 대응(XDR)에 투자해 탐지 및 대응 시간을 개선할 것도 권장했다.

김강정 한국IBM 보안사업부 총괄 상무는 “복잡한 하이브리드 멀티 클라우드 환경에서는 여러 시스템에서 데이터를 공유하게 된다”며 “이런 상황에서 데이터 보안 작업을 중앙 집중화하는 역량을 갖춘 적극적인 보안 방어 체계를 구축하는 것이 그 어느 때보다 중요하다”고 강조했다.