IBM “글로벌 550개 기업, 데이터 유출로 평균 60억 원 피해”

한국 기업 30곳을 포함한 글로벌 550개 기업이 최근 1년 간 데이터 유출로 총 3조3315억 원 규모의 손실을 본 것으로 나타났다.

19일 IBM시큐리티는 ‘2022 데이터유출비용 연구보고서’를 통해 지난해 3월부터 1년간 글로벌 정보기술(IT), 금융, 서비스 기업 550곳의 데이터 유출로 인한 피해 현황에 대해 조사한 결과 기업 1곳 당 435만 달러(약 60억3000만 원)의 손실을 본 것으로 집계됐다고 밝혔다. 이는 지난해 기업 1곳 당 평균 손실액 424만 달러(약 58억8000만 원)보다 2.6% 가량 늘어난 규모다.

데이터 유출로 인해 글로벌 기업들이 입는 피해가 증가하고 있다. IBM시큐리티 제공

IBM시큐리티는 최근 2년간 보안사고로 인해 기업들의 관련 비용 지출이 12.7% 늘었고, 이로 인해 제품이나 서비스 가격 인상으로 이어질 수 있다고 지적했다. 조사 참여 기업 중 60%가 데이터 유출 관련 비용 상승으로 제품, 서비스 가격을 인상한 것으로 나타났다.

보고서는 데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다고 분석했다. 조사에 참여한 기업의 83%는 1회 이상의 데이터 유출 피해를 경험했다고 답했다. 데이터 유출로 인해 발생하는 총 비용 중 절반 가까운 금액은 사건 발생 1년 이후 후유증처럼 나타났다.

조사 대상 기업의 국가별 평균 피해 규모. 미국 기업의 피해규모가 가장 크다. 한국은 9위. IBM시큐리티 제공

조사 대상 한국 기업 30곳의 피해액은 기업 1곳 당 43억3400만 원으로 집계됐다. IBM시큐리티는 “한국기업이 2018년 처음 조사 대상으로 선정된 뒤 피해액이 꾸준하게 늘고 있다”고 설명했다.

한국에서 데이터 유출 사고 시 건당 피해 금액이 큰 산업은 금융업이었다. 서비스, IT 업종이 뒤를 이었다. 지난해에도 세 산업이 가장 많은 손실을 입은 것으로 나타났다. 국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용’이 약 20%를 차지해 가장 많았다. ‘클라우드 구성 오류’ ‘제3자 소프트웨어의 취약성 공격’ 등이 뒤를 이었다.

접근을 세세하게 통제하는 ‘제로 트러스트’ 방식의 도입 여부는 피해 규모에 영향을 줬다. 제로 트러스트 방식을 도입하지 않은 국내 기업 피해액은 약 50억 원인 반면, 도입한 기업의 피해액은 약 38억 원으로 집계됐다. 한국 기업 중 81%는 제로 트러스트 접근 방식을 채택했다.

김강정 한국IBM 보안사업부 총괄 상무는 “복잡한 하이브리드 멀티클라우드 환경에서는 여러 시스템 상에서 데이터를 공유하고 데이터 보안 작업을 중앙 집중화하는 역량을 갖춘 적극적인 보안 방어 체계를 구축하는 것이 중요하다”고 말했다.

홍석호 기자 will@donga.com