세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
‘메가 브리치’ 사건 한 번 겪으면 피해액이 얼마일까?
  |  입력 : 2018-07-13 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1백만 건 유출되면 4천만 달러...5천만 건이면 3억 5천만 달러
액수 높아지고 있다는 건 아직 사고 후 대응 체제가 불안하다는 것


[보안뉴스 문가용 기자] 데이터 유출 사건을 겪은 회사는 총 386만 달러를 지출한다고 한다. 이는 작년에 비해 6.4% 오른 수치다. 이 정도 돈이면 회사 규모와 상관없이 매우 부담스러운 금액이다. 그러나 이른 바 ‘메가 브리치’ 사건으로 발생한 실제 피해액에 비하면 별거 아니라는 연구 결과가 발표됐다.

[이미지 = iclickart]


IBM 시큐리티(IBM Security)가 후원하고 포네몬(Ponemon)이 실시한 이 연구의 결과는 ‘2018 데이터 침해 비용 연구(2018 Cost of a Data Breach Study)’라는 이름의 보고서로 발표됐다. 보안 사고로 인해 발생한 피해를 평가해, 그 액수를 최대한 정확하게 계산하려고 시도해보는 연구로 매년 그 결과가 발표된다. 특히 올해는 1백만에서 5천만 기록들이 사라진 침해 사고를 다뤘다고 한다.

그렇다면 이러한 ‘메가 브리치’ 사건으로 발생하는 피해는 무엇인가? 일단 ‘돈’이다. 포네몬의 보고서에 의하면 1백만 기록이 도난당했을 때 입는 피해는 4천만 달러에 해당하고, 5천만 기록이 도난당한 것은 3억 5천만 달러짜리 사건이라고 한다.

IBM 시큐리티의 부회장인 칼렙 발로우(Caleb Barlow)는, “과거에도 정확한 금액을 산출해보려고 했으나 데이터가 충분하지 못했다”며 “올해는 드디어 자료가 충분히 쌓였기 때문에 메가 브리치 사건을 계산해볼 수 있게 됐다”고 설명했다. “3~4년전만 해도 신용카드와 관련된 사고가 아니라면 기업들이 굳이 공개할 필요가 없었거든요. 지금은 아니죠.”

발로우는 “6.4%가 중요한 게 아니라 정보 유출 사고로 인한 피해액이 지속적으로 늘어난다는 사실 자체에 경각심을 가져야 한다”고 말한다. “아직 보안 업계가 유출 사고 발생 후 제대로 대처하고 있지 못하다는 뜻이거든요. 대처가 효율적으로 변할수록 이 금액은 내려가야 정상입니다.”

보고서에 의하면 유출 사고의 대부분(48%)은 악성 행위자나 범죄자들의 공격으로 인해 발생한다. 이 경우 피해액이 가장 높을 수밖에 없는데, 기록 한 건당 157달러로 계산된다. 유출 사고의 27%는 사람의 실수 때문에 발생한다. 예를 들면 신입 직원이나 외주 직원이 잘 몰라서 생기는 사고들이 여기에 포함된다. 이 경우 건당 피해액은 131달러인 것으로 나타났다. 25%는 시스템의 기술적 오류 때문에 발생하는데, 건당 피해액은 128달러다.

정보 유출 사고의 피해액을 산출할 때 생각해야 하는 변수는 여러 가지다. 가장 중요한 건 서드파티의 개입 요소다. 만약 서드파티로 인해 사고가 발생한 것이라면 건당 피해액은 13달러다. “요즘 혼자서 모든 걸 만들고 제공하는 기업은 없죠. 모두 공급망에 얽혀서 사업을 하고 있고, 그러므로 서드파티와의 관계가 더 밀접해지고 있습니다.” 또한 클라우드로의 이전으로 인한 규정 위반 역시 높은 지분을 차지하는데, 건당 12달러 정도라고 한다.

침해 사고 후 오는 이미지 손상이나 고객 신뢰 상실과 같은 피해는 금액으로 표현하기가 힘든 부분이었다. 다만 고객이 해당 기업과 사업 관계를 이어가기 싫다고 했을 때, 혹은 거래를 임시적으로 중단했을 때가 기업 입장에서는 가장 큰 피해라는 정도의 기준 정도만 있을 뿐이었다.

“하지만 거듭된 연구를 통해 이미지 손상과 같은 잠재적 피해에 대해 보다 잘 이해하게 되었습니다. 재미있는 건 공격자들 역시 이러한 이해도가 높아지고 있다는 겁니다.” 발로우의 설명이다. “사고로 고객의 1% 미만을 잃은 기업은 평균 손실액이 2백 7십만 달러입니다. 하지만 4% 이상의 고객이 사라진 기업이라면 4백 9십만 달러의 피해를 봅니다.”

정보 유출 사실을 공개하는 것 역시 비용이 드는 일이다. 각종 법적 비용이 발생하기 때문인데 유출 사고 공개와 관련된 법이 49개나 되는 미국이 다른 나라에 비해 월등히 높은 비용을 지불하는 것으로 나타났다. 이 부분은 각 기업이 속한 나라의 법령에 따라 크게 달라질 수 있다.

그러면 이러한 비용을 최대한 낮추려면 어떻게 해야 할까? 발로우는 “침해 사고를 예방하는 건 너무 당연하고, 사건 대응 능력에 따라 비용이 가장 크게 낮아질 수 있는 것으로 나타났다”고 설명한다. “암호화 기술을 적극 사용하는 것도 비용 절감에 도움이 됩니다. 건당 13달러 정도를 아껴주죠. 그 다음은 사업 지속성 관리(BCM)과 직원 훈련으로, 각각 건당 9.3달러를 빼줍니다. 위협을 공유하는 건 8.7달러, 인공지능 플랫폼 도입은 8.2달러, 보안 분석 기술 사용은 6.9달러인 것으로 계산됐습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)