[서울파이낸스 오세정 기자] 전 세계적으로 데이터 유출로 인한 기업의 피해 규모가 점차 늘고 있는 것으로 나타났다. 세계 기업의 평균 피해액은 392만 달러로 지난 5년간 약 12% 상승했으며, 국내 기업의 경우 전년 대비 피해 규모가 약 13% 증가했다.
24일 IBM이 글로벌 보안 컨설팅 전문업체 포네몬 인스티튜트와 공동으로 전 세계 16개국 500여 개 기업을 대상으로 조사 분석한 ‘2019 글로벌 기업 데이터 유출 현황’ 보고서를 보면 전 세계 기업의 데이터 유출로 인한 피해 금액은 392만 달러에 달했다. 이는 지난 5년간 약 12% 증가한 수준이다.
이 가운데 데이터 유출 사고의 절반 이상은 악성 사이버 공격으로부터 비롯된 것으로 나타났다. 사이버 공격으로 인한 피해액은 평균 445만 달러로, 내부 시스템 오류(350만 달러) 혹은 임직원 실수(324만 달러)로 인한 피해액 대비 약 100만 달러 이상 높았다. 지난 6년간 악의적인 사이버 공격에 의한 사고는 42%에서 51%로 증가하는 등 위협이 확대되고 있는 것으로 조사됐다.
국내기업 26곳을 대상으로 한 조사 결과를 보면 데이터 유출 피해액은 전년 대비 약 13% 증가한 35억원이었다. 또 한 사람이 유실 또는 탈취당한 데이터 1건의 피해액은 전년 대비 약 9.92% 오른 16만5100원으로 나타났다.
데이터 1건당 피해액이 가장 높았던 산업은 기술 산업 분야로 1인당 24만5577원을 기록했다. 이 밖에 금융업(21만7334원), 서비스업(21만6955원), 운송업(18만5226원) 등 순으로 나타났으며, 공공 분야가 가장 낮은 1인당 9만4776원으로 조사됐다.
데이터 유출로 인한 기업들의 피해 금액 증가 주요 원인으로는 데이터 유출로 인한 다년간의 재무적 피해, 규제 강화 그리고 보안사고 해결을 위한 복잡한 절차 등이 꼽혔다.
특히 이번 보고서에는 데이터 유출로 인한 기업들의 장기간 재무적 피해 분석이 처음으로 포함됐는데 데이터 금전 피해 비용 중 평균 67%가 첫해에 발생한 것으로 드러났다. 피해 비용의 22%는 데이터 유출 사고가 일어나고 그다음 해에, 11%는 2년 이후에 발생했다. 2, 3년 차에 발생한 장기 비용은 헬스케어, 금융서비스, 에너지, 제약 등 규제가 강한 업종의 기업에서 더 높게 나타났다.
피해 규모를 효과적으로 감소시킬 수 있는 요소로는 기업의 사건대응 역량이 강조됐다. 데이터 유출 사건의 평균 수명 주기는 총 279일로, 기업이 데이터 유출 사실을 탐지하는데 206일, 차단하는 데 73일이 소요됐다.
그러나 200일 이내에 유출 사실을 탐지해 차단한 기업은 전체 피해액을 평균 120만 달러 낮출 수 있었고, 사건대응팀을 운영해 사전 점검과 테스트가 이뤄졌을 경우 평균 123만 달러의 비용을 절감할 수 있는 것으로 조사됐다.
웬디 휘트모어(Wendi Whitmore) IBM 글로벌 X포스 침해 대응 및 인텔리전스 서비스 부문 글로벌 총괄은 "사이버 범죄는 사이버 범죄자들에게 거액의 수익을 안겨주지만 기업에는 거액의 손실을 초래한다"면서 "기업들이 지난 3년 동안 무려 117억 개 이상의 데이터(record) 손실이나 탈취를 경험한 상황임을 고려할 때 기업은 데이터 침해가 기업의 수익성에 미치는 재무적 영향을 완벽하게 파악하고 해당 비용을 감소시키는 것에 주력할 필요가 있다"고 말했다.
