IBM 시큐리티가 데이터 유출 피해에 따른 비용을 조사한 ‘2022 데이터 유출 비용 연구 보고서’를 발표했다.

보고서에 따르면 지난 1년간 데이터 유출로 인해 전세계 기업들은 평균 435만달러(약 60억6600만원)의 손실을 입었으며 국내 기업들도 평균 43억3400만원의 손실을 나타냈다.

IBM 시큐리티는 17년간 데이터 손실 관련 피해 규모를 조사하고 있으며, 이번에 조사된 전세계 기업의 평균 손실액은 조사 이후 최고치다. 국내 기업의 피해액 또한 조사 이후 최대 피해액이다.

또 최근 2년간 보안 사고로 인한 관련 비용이 12.7%증가했으며 기업의 60%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상해 보안 실패 비용이 최종 재화나 서비스 가격 인상으로 이어지고 있음도 드러났다.

IBM 시큐리티는 데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다는 점을 경고했다.

조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 총 비용 중 약 절반 가량은 사건 발생 1년 이후에 나타나는 등 오랫동안 후유증을 남기는 것으로 드러났다.

한편, 보고서는 보안 프로세스 확립을 통해 피해 규모를 최소화할 수 있다는 사실도 증명됐다고 밝혔다. 

보고서에 따르면, 보안 AI와 자동화를 완전히 구현한 기업들은 평균 305만달러의 데이터 유출 비용을 절감한 반면, 클라우드 환경 전반에 걸쳐 보안 전략을 적용하지 않거나 이제 막 시작하는 단계라고 밝힌 기업들은 클라우드 보안 전략을 채택한 기업 대비 평균 66만달러 더 많은 피해액을 기록했다.

우리나라의 경우 한국의 경우, 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순으로 조사됐다. 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았으며, ‘클라우드 구성 오류’와 ‘제3자 소프트웨어의 취약성 공격’이 뒤를 이었다. 

주목할 부분은 데이터 유출로 인한 피해 규모에는 기업의 보안 성숙도가 큰 영향을 미쳤다는 점이다.

보고서에 따르면, 제로트러스트 접근 방식을 도입하지 않은 국내 기업의 피해액은 약 50억원에 달한 한편 제로트러스트 도입 후 성숙기에 접어든 기업의 피해액은 약 38억원으로 낮아졌다. 선제적인 보안 투자가 실제 금전적인 피해 규모를 낮출 수 있었던 것이다. 

김강정 한국IBM 보안사업부 총괄상무는 “복잡한 하이브리드·멀티클라우드 환경에서는 여러 시스템 상에서 데이터를 공유하고 데이터 보안 작업을 중앙 집중화하는 역량을 갖춘 적극적인 방어체계를 구축하는 것이 어느 때보다 중요하다”고 당부했다.