하루 발송되는 가짜 이메일이 64억 개...사이버 공간의 현실 알아야
[보안뉴스 문가용 기자] 데이터 유출로 인한 비용이 계속해서 늘어나고 있다. 늘어나는 속도가 얼마나 빠른지, 조직들이 유출에 대처하기 위해 투자하는 비용을 크게 웃돈다고 한다. 즉 투자에 필요한 비용보다 예상 손실액이 훨씬 큰 상황이 계속해서 이어지고 있는 것이다. 이에 대해서 IBM과 EY가 각각 보고서를 발표했다.
[이미지 = iclickart]
먼저 IBM은 이번 보고서를 작성하기 위해 ‘사업 지속성 관리(BCM)’ 측면에서 데이터 유출 사건의 비용을 계산했다. 그리고 다음과 같이 총 네 개로 비용을 나누었다.
1) 탐지와 상승 : 침해 여부를 확인하고, 그에 대한 대처법을 결정한다.
2) 알림 : 침해에 영향을 받은 고객, 파트너사, 직원, 규제 기관 및 사법 당국에 알린다.
3) 사후 대응 : 공격으로 인해 입은 조직적, 개인적 피해를 복구한다.
4) 사업 비용 손실 : 고객 신뢰 저하, 업무 마비 등으로 피해가 유발된다.
이 보고서에 의하면 보안 분석 기능의 부재에서부터 사물인터넷 기기 존재 여부까지 22개의 다양한 요소들이 데이터 침해 비용에 영향을 준다고 한다. 특히 시간이 굉장히 중요한 요소로서 작용하는데, 탐지와 복구에 걸리는 시간이 길어지면 길어질수록 비용이 올라간다. 2018년에 발생한 사이버 보안 사건은 총 4백 24만 달러의 손해를 일으켰다고 한다.
한편 EY는 약간 다른 면에서 사이버 보안 침해 사건의 비용을 연구했다. 전체적인 사업에서의 이점(business advantage)이라는 맥락에서였다. 그 결과 87%가 사업을 진행하는 데에 있어 사이버 보안 능력을 다 갖추지 못하고 있다는 것으로 나타났다. “매우 제한적인 기능과 자원만을 가지고 사업을 이뤄가고 있었습니다.” 보안에 대한 투자가 충분치 않다는 뜻이다.
그러면서 EY는 보고서를 통해 “사이버 보안 사건들이 이러한 기업들이 미칠 수 있는 피해는 건당 평균 362만 달러”라고 결론을 내리고 있다. 물론 이것은 IBM의 424만 달러와는 다른 숫자다. 그러나 둘이 하고자 하는 말은 같다. 사이버 보안 사건이 한 번 발생하면, 그 비용이 한 회사가 감당하기 힘든 피해로 이어질 가능성이 농후하다는 것이다.
IBM은 보고서를 통해 “사업 지속성 관리 팀이 제대로 된 보안 전략을 갖추고 움직인다면, 사건 발생과 해결의 시간까지 총 82일을 단축시킬 수 있고, 이는 하루 평균 5700 달러의 피해를 보지 않는 것과 같다”고 구체적인 숫자를 동원해가며 결론을 내리고 있다. “그러면 사이버 보안 사건으로 인한 전체 피해액이 355만 달러로 줄어들 수 있습니다.”
EY는 조직들에게 세 가지 사항을 권장했다.
1) 기업을 보호하라 : 자산을 확인하고, 그에 맞는 방어선을 구축하라.
2) 사이버 보안을 최적화 하라 : 가치가 낮은, 루틴에 의한 행위들을 멈추고 효율을 높이라. 새로운 보안 기술에 투자하라.
3) 성장을 촉진하라 : 설계와 기획 단계에서부터 보안을 도입하는 것이 디지털 변혁의 핵심이다.
그러면서 EY는 “하루에 발송되는 가짜 이메일이 총 64억 건에 달한다”고 경고했다. “우리가 얼마나 많은 공격에 노출되어 있는지를 단적으로 보여주는 숫자입니다. 그러나 우리가 가지고 있는 방어 체계는 이러한 공격에 전혀 대비되어 있지 않습니다. 현재 필요한 사이버 보안 체계를 제대로 갖추고 있다고 답한 기업은 1/10도 되지 않습니다. 어떤 식으로 발전시켜야 하는지 갈피를 못잡고 있는 기업이 대다수지요.”
3줄 요약
1. 사이버 보안 사건이 터지면 300만~400만 달러의 손해가 난다.
2. 하루에 발송되는 가짜 이메일은 64억 건이다.
3. 그렇지만 방어는 최소한의 비용만으로 해결하려는 게 기업들의 현주소.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>