IBM 산하 포네몬 연구소 발표...2023년 3월~2024년 2월, 유출 피해 입은 604개 기업 분석
[보안뉴스 김영명 기자] 2023년 3월부터 2024년 2월 사이에 전 세계 주요 기업에서의 데이터 유출 비용은 전년 대비 10% 증가해 488만 달러(한화 약 66억 6,608만원)에 육박했다. 이는 코로나19 팬데믹 이후 가장 큰 증가다. 또한 방어를 위해 보안 AI 및 자동화를 적용했을 때 상황에 따라 그 비용이 평균 220만 달러(한화 약 30억 520만원)로 낮아지는 등 성과가 있는 것으로 나타났다.
[이미지=gettyimagesbank]
이번 내용은 IBM 산하 포네몬 연구소(Ponemon Institute)가 시행하고 IBM의 후원을 통해 분석·발표된 것으로, 2023년 3월부터 2024년 2월 사이 604개 데이터 유출 피해 기업을 대상으로 진행됐다. 연구진은 16개 국가·지역의 17개 업종에 걸친 기업을 대상으로 침해 기록이 2,100~11만 3,000건에 달하는 사고를 조사했다. 연구진은 현장 실태를 파악하기 위해 각 기업에서 데이터 유출 사고를 직접 겪어본 보안 책임자 및 최고 경영진 3,556명을 인터뷰했다.
이번 보고서에는 어떠한 새로운 내용이 담겼나
올해 연구에서 최초로 조사한 문제는 △장기간 운영 중단(처리 불가능한 판매 주문, 가동이 완전히 중단된 생산 시설, 비효율적인 고객 서비스)을 경험한 조직이 있는지 여부 △관리 대상이 아닌 데이터 소스에 저장된 데이터(섀도 데이터)가 유출된 데이터에 포함됐는지 여부 △기업이 보안 운영의 예방, 감지, 조사, 대응 영역에서 활용하고 있는 AI 및 자동화의 범위 △갈취 공격(갈취·랜섬웨어 공격 또는 갈취 및 데이터 유출만 해당)의 특성 △데이터, 시스템 또는 서비스가 유출 이전의 상태로 복구되기까지의 소요 시간 △기업이 유출 사실을 보고하기까지 소요된 시간(유출 사실 보고가 의무로 규정된 경우) △랜섬웨어 공격 이후 사법당국의 도움을 받은 조직이 공격자가 요구한 비용을 지불했는지 여부 등이다.
첫 번째로, ‘유출로 인한 평균 총비용’은 2023년 445만 달러(한화 약 60억 7,870만원)에서 488만 달러(한화 약 66억 6,608만원)로 10% 급증했다. 이는 팬데믹 발발 이후 가장 높은 증가율이다. 이러한 비용 증가를 견인한 요인은 영업 손실 비용 및 데이터 유출 후 대응 비용의 상승이었다. 이 비용을 합하면 총 280만 달러(한화 약 38억 2,480만원)로, 이는 지난 6년간의 영업 손실 및 데이터 유출 후 활동 관련 비용 합계 중 최고 수준이다.
두 번째로, ‘예방 작업에 광범위하게 AI를 이용해 절감 비용’은 220만 달러(한화 약 30억 520만원)다. 연구 대상 기업 3곳 중 2곳이 보안 운영기관 전체에 보안 AI 및 자동화를 보급하고 있다고 답했는데 이는 전년 대비 10% 증가한 수치다. 공격표면관리(ASM), 레드팀 구성, 태세 관리 등 예방 워크플로 전반에 걸쳐 AI 및 자동화를 보급한 기업은 예방 워크플로에 AI를 적용하지 않은 조직에 비해 평균 220만 달러의 데이터 유출 비용을 절감했다.
세 번째로 ‘사이버 역량 부족의 심화’로 데이터 유출비용이 26.2% 증가했다. 데이터 유출을 겪은 기업의 절반 이상이 심각한 보안 인력 부족 상태에 빠져 있다. 이 문제는 데이터 유출 비용이 전년 대비 26.2% 증가하면서 평균 176만 달러(한화 약 24억 416만원)의 유출 비용이 더 발생한 상황을 대변한다. 5개 중 1개 기업에서 생산성과 효율성을 높여 격차 감소를 기대하며 어떤 형태로든 생성형 AI 보안 툴을 사용한다고 답했지만, 역량 격차는 시급한 과제다.
네 번째로 ‘섀도 데이터 관련 유출 사고 비율’은 3분의 1을 차지했다. 데이터 유출 사고의 35%는 섀도 데이터와 관련이 있다. 이는 데이터의 확산으로 인해 추적 및 보호 작업이 더욱 어려워지고 있음을 의미한다. 섀도 데이터 도용은 데이터 유출 비용이 16% 증가한 현상과 상관관계가 있다. 퍼블릭 클라우드(25%), 온프레미스(20%) 또는 프라이빗 클라우드(15%) 등 한 가지 유형의 환경에만 저장된 데이터는 유출 빈도가 더 낮았다.
다섯 번째로 ‘고객 개인 데이터 관련 유출 사고의 비율’이 46%였다. 모든 데이터 유출 사고 중 거의 절반이 납세자 식별(ID) 번호, 이메일, 전화번호, 집 주소 등 고객의 개인 식별 정보(PII)와 관련 있는 사례였다. IP(지식재산권) 기록이 근소한 차이로 그 뒤를 이어 2위로 전체 유출 사고의 43%에 올랐다. IP 기록의 비용은 전년 보고서에서는 한 건당 156달러(한화 약 21만 3,096원)였지만, 올해 연구결과에서는 173달러(한화 약 23만 6,318원)까지 증가했다.
여섯 번째로 ‘자격 증명 도용 관련 유출을 파악하고 방지하는 데 소요된 일수’는 292일이었다. 모든 공격 경로 중에서도 도용되었거나 훼손된 자격 증명과 관련 있는 데이터 유출을 파악하고 방지하는 데 가장 오랜 시간이 소요됐다. 직원과 직원의 접근 권한을 이용한 유사 공격을 해결하는 데에도 긴 시간이 걸렸다. 그 예로 피싱 공격의 지속 기간은 평균 261일, 소셜 엔지니어링 공격의 지속 기간은 평균 257일이었다.
일곱 번째로 ‘악의적인 내부자 공격의 평균 비용’은 499만 달러(한화 약 68억 1,634만원)에 달하는 최고 수준의 비용을 초래했다. 이외에도 피해 액수가 높은 공격 경로로는 비즈니스 이메일 유출, 피싱, 소셜 엔지니어링, 자격 증명 도용 또는 훼손 등이 있었다. 이러한 피싱 공격 중 일부 사례에서는 생성형 AI가 공격을 실행하는 역할을 담당했을 수 있다.
여덟 번째로 ‘랜섬웨어 공격 시 사법 당국의 도움을 받은 경우의 비용 절감’은 100만 달러(한화 약 13억 6,600만원)였다. 랜섬웨어 공격을 받은 후 사법 당국의 도움을 받은 기업 셋 중 둘은 공격자가 요구한 비용을 지불하지 않았다. 이 기업들은 공격자에게 지불한 요구 비용 외에도 공격 피해 비용을 평균 100만 달러 가까이 낮출 수 있었다. 그뿐만 아니라 사법 당국이 개입해 데이터 유출의 파악과 방지에 필요한 시간을 297일에서 281일로 단축할 수도 있었다.
아홉 번째로 ‘모든 업종 중 최고 수준의 평균 비용 증가율’은 83만 달러(한화 약 11억 3,378만원)이었다. 공업 부문은 데이터 유출 1건당 평균 비용이 모든 업종 중에서도 가장 큰 폭의 증가율을 기록했다. 이 부문 기업들은 운영 중단 시간에 매우 민감하다. 공업 기업이 데이터 유출 파악 및 방지에 소요된 시간은 파악에 199일, 방지에 73일로 타 업종보다 높았다.
IBM 측은 데이터 유출 비용을 줄이기 위한 권장사항으로 ‘정보 환경 파악하기’, ‘AI 및 자동화를 통한 예방 전략 강화’, ‘생성형 AI 도입 시 보안을 최우선 순위로 두기’, ‘사이버 대응 훈련 강도 높이기’ 등 네 가지를 제시했다.
먼저 ‘정보 환경 파악하기’에서는 보안팀은 데이터의 위치와 관계없이 지속해서 데이터를 모니터링하고 보호하도록 유출 데이터 정보, 유출 데이터의 민감도 및 기밀등급 등 모든 환경에 대해 종합적인 시야를 유지해야 한다. 따라서 보안팀은 사용 중인 각 클라우드 서비스의 특정 위험 및 제어 수단을 충분히 이해해야 한다. 이밖에도 데이터 유출 시 위험을 낮추기 위해서는 데이터 암호화 전략을 세울 때 데이터의 종류, 용도 및 상주 위치를 고려해야 한다.
두 번째는 ‘AI 및 자동화를 통한 예방 전략 강화’가 있다. 기업 전반에 생성형 AI 모델과 서드파티 애플리케이션을 도입하고 사물인터넷(IoT) 기기와 SaaS 애플리케이션을 지속해서 사용하면서 공격 표면이 확장되고 보안팀의 업무영역이 늘어나고 있다. AI 및 자동화를 적용한 기업들은 감지, 조사, 대응 영역에 비해 보안 예방 영역에서 AI 투자 효과를 크게 봤다. 이 기업들은 예방 기술에 AI를 적용하지 않은 조직보다 평균 222만 달러를 절약했다.
세 번째는 ‘생성형 AI 도입 시 보안을 최우선 순위로 두기’다. 생성형 AI 도입이 계속해서 확대될수록 기업에 필요한 것은 생성형 AI 데이터 보호, 모델 및 사용량 보호 및 AI 거버넌스 관리 체제 구축 프레임워크다. 기업은 민감한 AI 학습 데이터를 보호하고, 비승인 또는 섀도 AI 모델 사용과 AI 오용 또는 데이터 유출 시야를 확보하도록 AI 모델로 태세를 바꿔야 한다.
네 번째는 ‘사이버 대응 훈련 강도 높이기’다. 올해 연구에 따르면 평균 데이터 유출 비용 증가 사례 중 75%가 운영 중단 시간, 고객·주문 상실, 신규 고객 확보를 비롯한 영업 손실의 비용으로 인해 발생했다. 기업은 피해가 큰 공격에 대처할 능력을 향상시키기 위해 사이버 레인지 위기 시뮬레이션 훈련에 참여해서 데이터 유출에 대한 대응력을 키울 수 있다. 보안 책임자는 조직 전반의 경영 실무자 및 커뮤니케이션팀과 사전에 협업해 대응 계획 초안을 작성하고 시범 운영해야 한다. 또한 보안 외 분야 실무자도 보안 교육을 받아야 한다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>