인사이트

디지털 위협이 빈도와 정교함 면에서 모두 급증하는 시대에, Astute Analytica의 2023년 데이터 침해 비용 보고서는 사이버 보안 합니다. 전 세계 553개 조직이 경험한 데이터 침해를 분석한 이 보고서는 침해 비용의 우려스러운 증가세와 함께 현행 보안 조치의 효과에 대한 중요한 통찰력을 제공합니다.

급증하는 데이터 유출 비용: 기업에 경종을 울리는 사건

가장 우려스러운 점 중 하나는 전 세계 데이터 유출 평균 비용이 급증하여 2023년에 445만 달러라는 사상 최고치를 기록했다는 것입니다. 이는 지난 3년간 15% 증가한 수치로, 기업들이 사이버 보안 전략을 재검토해야 할 절박한 필요성을 시사합니다. 더욱 심각한 것은 탐지 및 대응 비용이 42%나 급증했다는 사실인데, 이는 데이터 유출이 더욱 복잡해지고 관리하기 어려워지고 있음을 보여줍니다.

이처럼 비용이 급증하고 있음에도 불구하고, 기업들은 보안 투자 확대에 놀라울 정도로 소극적인 태도를 보이고 있습니다. 조사 대상 기업의 무려 95%가 한 번 이상 데이터 유출 사고를 경험했지만, 보안 예산을 증액할 의향이 있는 기업은 51%에 불과합니다. 이러한 격차는 심각한 위험을 내포하고 있는데, 특히 데이터 유출 사고를 겪은 기업의 절반 이상(57%)이 사고 관련 비용을 소비자에게 전가하는 경향이 있다는 점을 고려하면 더욱 그렇습니다.

그림 1. 위 그래프는 2020년부터 2023년까지 전 세계 데이터 유출 평균 비용의 추이를 보여줍니다. 데이터 유출 비용은 해마다 꾸준히 증가하여 2023년에는 사상 최고치인 445만 달러에 이를 것으로 예상됩니다. 

AI 및 자동화의 이점

인공지능(AI)과 자동화 기술의 활용으로 긍정적인 결과가 나타나고 있습니다. 이러한 기술을 광범위하게 도입한 조직은 데이터 유출 대응 기간이 그렇지 않은 조직에 비해 108일 단축되었습니다(214일 대 322일). 이는 유출 확산을 막는 속도를 높일 뿐만 아니라 상당한 재정적 절감 효과로 이어지는데, 유출 관련 비용을 약 180만 달러 절감할 수 있다는 의미입니다.

그림 2. 위의 막대 그래프는 AI 및 자동화가 데이터 침해 수명주기에 미치는 영향을 보여줍니다. AI와 자동화를 광범위하게 사용하는 조직은 이러한 기술을 도입하지 않은 조직(322일)에 비해 침해 수명주기가 현저히 단축되는 것(214일)을 분명히 확인할 수 있습니다.

랜섬웨어: 침묵의 대가

랜섬웨어는 여전히 골칫거리이며, 연구에 따르면 사법당국에 신고한 피해자는 그렇지 않은 피해자에 비해 평균 47만 달러를 절약한 것으로 나타났습니다. 그럼에도 불구하고 랜섬웨어 피해자의 37%는 사법당국에 신고하지 않아 상황을 악화시켰을 가능성이 있습니다. 랜섬웨어 피해자의 거의 절반(47%)이 결국 몸값을 지불했는데, 이는 종종 더 높은 비용과 더 느린 대응 시간으로 이어지는 전략입니다.

그림 3. 위 의 막대 그래프는 법 집행 기관의 개입 여부에 따른 랜섬웨어 공격의 평균 비용을 보여줍니다. 법 집행 기관이 개입할 경우 평균 비용이 445만 달러에서 약 398만 달러로 크게 감소하는 것을 알 수 있습니다.

탐지 과제: 내부자의 시각으로 바라보는 우위

침해 사고 중 조직 자체 보안팀이 탐지한 것은 3분의 1에 불과했으며, 공격자가 공개한 침해 사고는 27%에 달했습니다. 내부적으로 탐지된 침해 사고는 공격자가 공개한 침해 사고보다 비용이 약 100만 달러(430만 달러) 적게 들었고, 복구 기간도 더 짧았습니다. 이는 내부 위협 탐지 및 대응 역량에 투자하는 것이 얼마나 중요한지를 보여줍니다.

다중 환경 침해 현상

이 보고서는 또한 현대 데이터 침해의 복잡성에 주목합니다. 침해 사례의 거의 40%가 여러 환경(퍼블릭 클라우드, 프라이빗 클라우드 및 온프레미스)에 걸쳐 데이터 손실을 초래했으며, 이로 인해 평균 475만 달러의 추가 비용이 발생했습니다. 이는 포괄적이고 환경 전반에 걸친 보안 전략의 필요성을 강조합니다.

그림 4. 위의 원형 차트는 침해 탐지 소스의 분포를 보여줍니다. 조직 자체 보안팀이 탐지하는 침해는 33%에 불과하고, 공격자가 유출하는 침해가 27%, 제3자가 유출하는 침해가 40%를 차지하는 것을 알 수 있습니다.

의료 부문이 위기에 처해 있습니다

우려스러운 점은 의료 부문에서 데이터 유출로 인한 평균 비용이 2023년에 거의 1,100만 달러까지 급증하여 2020년 대비 53% 증가했다는 것입니다. 사이버 범죄자들이 도난당한 의료 기록을 악용하는 사례가 늘어나면서 의료 부문의 보안 강화가 더욱 시급해지고 있습니다.

DevSecOps의 힘

DevSecOps 통합 수준이 높은 조직은 침해 사고 발생 시 비용이 크게 절감되는 것을 확인했습니다. DevSecOps를 거의 또는 전혀 사용하지 않는 조직에 비해 약 170만 달러가량 적은 것으로 나타났습니다. 이는 보안을 개발 및 운영 파이프라인에 원활하게 통합하는 것이 얼마나 효과적인지를 보여줍니다.

중요 기반 시설이 위험에 처해 있습니다

중요 기반 시설 관련 조직들은 평균 504만 달러의 침해 비용을 경험했는데, 이는 이러한 필수 서비스를 보호하는 데 있어 특히 취약하고 위험 부담이 크다는 것을 보여줍니다.

결론: 행동 촉구

Astute Analytica의 보고서는 조직들이 사이버 보안 전략을 재평가하고 강화해야 한다는 점을 강조합니다. 인공지능(AI)과 자동화에 투자하고, 내부 탐지 역량을 강화하며, 랜섬웨어 사건 발생 시 사법 당국과의 협력을 증진하는 것이 매우 중요합니다. 사이버 위협이 끊임없이 진화하는 디지털 환경에서 조직을 보호하려면 선제적이고 기술 기반이며 협력적인 접근 방식만이 유일한 해결책입니다.