KISA 3.0, 사이버 침해사고에 대한 내부 활동 비용과 결과 비용으로 나눠 피해액 계산
[보안뉴스 원병철 기자] 사이버 공격을 받아 침해사고를 당했을 경우 피해액은 얼마나 발생할까? 사이버 공격으로 인해 기업이 입는 피해는 천문학적이지만, 사실 명확하게 피해 금액을 산정하는 것은 그리 쉬운 일이 아니다. 그렇기에 기업의 운영진 또한 사이버 위협의 심각성을 알면서도 실질적인 비용이 명확한 다른 분야에 더 집중할 수밖에 없다.
▲상명대학교 유진호 교수[자료=KISA]
한국인터넷진흥원(원장 이원태, 이하 KISA)은 사이버 침해사고로 인한 기업과 개인의 손실 피해 등에 대한 경제·사회적 비용을 추정해 정보보호 정책 수립의 기초자료로 활용하기 위해 사이버 침해사고 피해에 대한 경제·사회적 비용 추정 연구에 나섰다. 이를 위해 국내외 기존 유사 연구 내용 조사 및 모델 비교 분석은 물론 국내 사이버 침해사고의 경제·사회적 비용 추정 관련 선행연구를 분석했다. 이어 국내 기업 및 개인 대상 침해사고 피해액 관련 조사를 진행하고, 마지막으로 사이버 침해사고의 경제·사회적 비용 추정 모델 ‘KISA 3.0’을 개발해 비용을 추정할 수 있도록 했다. 상명대학교 유진호 교수는 12월 1일 ‘2021년 KISA 정책 연구 성과 발표회’에서 이를 발표했다.
사이버 침해사고 발생하는 비용들
사이버 침해사고 대응을 위해서는 내부 활동 비용(Activity Based Cost)이 들어간다. 여기에는 조직이 사이버 공격 및 위협을 탐지하고 사전에 차단하는 ①사전탐지/관제 등 예방 비용과 실제 사이버 침해사고 발생시 사이버공격의 원인과 범위 등을 규명하는 활동과 관련된 ②사고 조사 비용, 그리고 조직 차원의 사고 대응과 소송 대응과 관련해 발생하는 비용인 ③사고·소송 대응 비용과 마지막으로 조직 시스템 및 프로세스를 복구/대응 및 개선하는 활동과 관련된 비용인 ④복구 비용이 있다.
또한 실제 사이버 침해사고 발생시 들어가는 결과 비용(External Consequence and Costs)도 여섯 종류가 있다. 다운타임 혹은 예상하지 못한 운영중단으로 인해 관련 업무를 수행하지 못해 발생하는 ⑤업무중단, 생산성 손실 비용, 시스템 중단 등에 의해 매출이 발생하지 못해 발생하는 ⑥이익 손실 비용, 사이버 공격의 결과로 중요한 기밀 정보가 유출되거나 손실되어 발생한 비용(데이터 재생산 비용)인 ⑦손실된 데이터 가치, 강제협박에 의해 지불한 비용과 횡령·사기 등에 의해 발생한 비용인 ⑧강제협박, 횡령, 사기 비용, 과태료와 과징금, 손해배상금 등의 비용인 ⑨법적 책임비용, 마지막으로 주가하락 손실과 기업 평판과 이미지 타격으로 인한 시장가치 하락, 신규 고객이 들어오지 않음으로써 발생하는 장기적 이익 손실과 미래 투자자로부터의 투자 손실 비용인 ⑩기업 가치 손실이 있다.
2020년 피해기업 실태조사
KISA는 2020년, 1년간 정보보안 침해사고 경험 기업인 5,647개 기업 중 101개 기업에게 기업 실태조사를 실시했다. 여기에는 농수산 및 제조, 건설과 부동산 업종과 도소매 및 숙박과 음식점업, 정보통신업과 과학기술 서비스업, 금융 및 보험업, 시설관리 및 임대서비스업 등 다양한 분야의 업종이 모두 포함됐다.
▲기업 부문 조사 완료 표본[자료=KISA]
조사결과 대기업(126억원)과 중견기업(126억원)에 비해 소기업(6,703억원)의 피해 손실이 상대적으로 큰 것으로 나타났다. 이는 소기업의 정보보호 수준이 매우 취약하다는 것을 나타낸다. 또한 대기업과 중견기업은 침해사고로 인해 생산효율 감소에 영향을 크게 미치고, 소기업은 상대적으로 복구비용, 데이터 재생산 비용 등 기본적인 비용 등이 크게 발생하는 것을 알 수 있다. 이는 대기업과 중견기업은 기본적인 대응이 이뤄지고 있기 때문에 복구비용이나 데이터 재생산 비용이 상대적으로 낮았지만, 소기업은 기본적인 보호대책부터 강화할 필요가 있다는 것을 시사한다.
▲단위 기업당 피해비용 산출결과[자료=KISA]
다만 단위 기업당 피해손실 금액은 대기업이 훨씬 크게 나타났다. 즉, 대기업은 침해사고 발생 건수가 낮지만, 사고가 발생하면 큰 피해로 연결됨을 알 수 있으며, 또한 생산효율 저하로 인한 손실과 매출이익 손실로 연결됨을 알 수 있다. 때문에 대기업은 훨씬 더 체계적인 대응을 통해 피해손실을 감축시키려는 노력이 필요하다.
한편 조사결과 2005년 대비 2020년 국내 GDP는 2배 이상 성장한 것에 비해 침해사고 피해손실은 1.5배 증가한 것으로 나타났다. 또한 경제성장과 ICT 산업성장과 단순 비교했을 때 피해손실이 상대적으로 적게 증가한 것은 정부와 기업들의 정보보호에 대한 적극적인 투자 및 대응활동이 있었기 때문에 가능했을 것으로 판단된다.
유진호 교수는 이번 조사를 통해 사이버 침해사고시 소기업은 HW, SW, 데이터 손실로 이어져 기초적인 대책비용이 크게 발생하기 때문에 중소기업을 위한 기본적인 보호대책을 강화할 필요가 있으며, 대기업 역시 훨씬 더 체계적인 대응을 통해 피해 손실을 감축시키려는 노력이 필요하다고 강조했다. 아울러 정부와 기업들의 정보보호에 대한 적극적인 투자와 대응활동의 기여도가 있는 것으로 판단되는 만큼, 앞으로도 지속적인 투자와 보호대책 노력이 추진되어야 할 것이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>