데이터 유출 피해 증가…국내 기업 평균 피해액 35억원

[아이뉴스24 김국배 기자] 국내 기업의 데이터 유출에 따른 피해액이 평균 35억원에 달한다는 조사 결과가 나왔다.

IBM은 글로벌 보안컨설팅 업체 포네몬 인스티튜트와 공동으로 조사한 '2019 글로벌 기업 데이터 유출 현황' 보고서를 24일 공개했다. 이번 조사는 전세계 16개국 507개 기업을 대상으로 진행됐으며 국내 기업은 26곳이 포함됐다.

국내 기업들은 데이터 유출로 평균 35억원 상당의 금전적 피해를 입은 것으로 나타났다. 전년보다 약 13% 증가한 결과다. 한 사람이 유실하거나 탈취당한 데이터 1건당 피해액은 9.92% 상승한 16만5천100원으로 집계됐다.

데이터 1건당 피해액이 가장 높게 집계된 산업은 기술 산업 분야로 1인당 24만5천577원으로 나타났다. 금융업은 21만7천334원, 서비스업은 21만6천955원, 운송업은 18만5천226원이었다. 공공 분야는 가장 낮은 9만4천776원을 기록했다.

국내 뿐 아니라 전 세계적으로 데이터 유출로 인한 기업의 피해 규모는 증가하는 추세다. 기업의 데이터 유출 평균 피해액은 392만 달러로 지난 5년간 약 12% 상승했다. 데이터 유출에 따른 다년간의 재무적 피해, 규제 강화, 보안사고 해결을 위한 복잡한 절차 등이 피해액을 증가시킨 주 원인으로 분석된다.

데이터 침해로 받는 재무적 영향은 중소기업에서 두드러졌다. 근로자 500인 미안의 기업이 평균 250만 달러 이상의 피해를 봤다. 이는 평균 연 매출 5천만 달러 이하인 소규모 기업에 치명적인 결과를 초래할 수 있는 수준이다.

데이터 유출의 절반 이상은 악성 사이버 공격에서 비롯됐다. 사이버 공격으로 발생한 피해액은 평균 445만 달러로 내부 시스템 오류(350만 달러), 임직원 실수(324만 달러)에 의한 피해액보다 약 100만 달러가 많았다. 사이버 공격으로 데이터가 유출된 사례는 지난 6년간 42%에서 51%로 증가했다.

데이터 유출에 따른 기업의 금전적 피해는 수년간 지속되는 것으로 나타났다. 비용의 67%는 첫해, 22%는 그 다음해, 나머지 11%는 2년이 지나 발생했다. 헬스케어, 금융 서비스, 에너지, 제약 등 규제가 강한 업종의 기업에서 장기 비용이 더욱 높게 나타났다.

IBM은 피해 규모를 가장 효과적으로 감소시킬 수 있는 요소로 기업의 사건대응 역량을 꼽았다. 보고서에 따르면 데이터 유출 사건의 평균 수명주기는 총 279일이다. 기업이 데이터 유출 사실을 탐지하는 데 206일, 이를 차단하는 데 73일이 소요된다.

그러나 200일 이내에 유출 사실을 탐지하고 차단한 기업의 경우 전체 피해액을 평균 120만 달러 가량으로 낮출 수 있었다. 특히 기업에서 사건 대응팀을 운영할 경우 평균적으로 123만 달러의 데이터 침해 비용을 절감했다.

웬디 휘트모어 IBM 글로벌 X포스 침해대응 및 인텔리전스 서비스부문 글로벌 총괄은 "사이버 범죄는 사이버 범죄자들에게 거액의 수익을 안겨주지만 기업에는 거액의 손실을 초래한다"며 "기업들이 지난 3년간 무려 117억 개 이상의 데이터 손실·탈취를 경험한 상황을 감안할 때, 기업은 데이터 침해가 수익성에 미치는 재무적 영향을 완벽히 파악하고 해당 비용을 감소시키는 데 주력해야 한다"고 강조했다.

김국배 기자의 다른 기사 보기