데이터 못지키면 기업 망할 판…‘유출 후폭풍’ 기업당 45억원 들었다

IBM시큐리티, 올해 데이터 유출비용 연구
5년새 31억→45억으로…45%나 급증해
전세계 58억원…韓, 아태지역 日이어 2위
기업 과반, 비용상승 부담 소비자에 전가

IBM 시큐리티 ‘2023 데이터 유출 비용 연구 보고서’ 표지 [사진 = IBM]

최근 1년간(2022년 3월~2023년 3월) 한국 기업의 데이터 유출로 인한 평균 비용이 약 45억3600만원에 달한다는 조사 결과가 나왔다. 이는 아시아 태평양 지역에서 일본에 이어 두 번째로 비용이 큰 것으로 나타났다.

IBM 시큐리티는 이같은 내용의 ‘2023 데이터 유출 비용 연구 보고서’를 14일 공개했다. 보고서에 따르면 데이터 유출로 인한 전 세계 평균 비용은 지난 3년간 15% 증가한 445만 달러(약 58억8000만원)로 올해 사상 최고치를 기록했다.

해당 보고서는 포네몬 인스티튜트가 IBM 시큐리티 후원을 받아 발간한 보고서로, 2022년 3월부터 2023년 3월 사이 데이터 유출로 피해를 본 16개 국가의 553개 조직을 대상으로 했다. 한국 기업의 경우 23개의 기업이 조사 대상에 포함됐다.

데이터 유출 평균 비용은 탐지, 영업 손실, 사후 대응 등 조직의 데이터 유출과 관련된 지출을 모두 분석해 계산됐다.

한국은 데이터 유출로 인한 평균 비용이 지난 3년간 19% 증가하며 45억3600만원을 기록했다. 조사 대상 국 중 10위, 아태 지역 국가에서는 일본에 이어 2위였다. 산업 별로는 금융, 제조, 서비스 순으로 데이터 유출 평균 비용이 높았다.

한국 데이터 유출 평균 비용 [사진 = IBM]

데이터 유출 비용이 소비자에게 전가되는 경향도 강했다. 조사에 참여한 기업의 57%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 응답했다.

조직이 데이터 유출을 식별하고 대응하는 능력은 아직 부족한 것으로 나타났다. 공개된 데이터 침해 건수 중 33%만이 해당 기업의 내부 보안 팀에서 밝혀냈으며, 침해 사고의 40%는 제3자에 의해 확인됐다. 또한 27%는 랜섬웨어와 같이 공격자에 의해 공개된 유출이었다.

특히 공격자가 공개한 데이터 유출의 경우 기업이 유출을 식별하고 억제하는 데 평균 320일을 사용하는 등 내부적으로 유출을 식별했을 때보다 약 80일이 더 걸렸다. 비용 또한 평균 100만 달러 가까이 더 투입됐다.

한편 보안 산업에서 보안 인공지능(AI)과 자동화 사용의 효과도 있었다. 조사에 따르면 보안 AI와 자동화를 광범위하게 사용하는 조직은 데이터 유출 식별과 억제에 걸린 평균 시간이 그렇지 않은 조직 대비 108일 가량이 짧았다. 비용 측면에 있어서도 보안 AI 및 자동화 기능을 사용한 조직은 데이터 유출 비용을 176만 달러 더 낮게 지출한 것으로 확인됐다.

조가원 한국IBM 보안사업부 기술총괄 상무는 지난 9월 개인정보보호법 개정안이 시행되면서 보안이 더욱 중요해지고 있다고 강조하며 “현행 과징금 부과 기준이 ‘위반행위와 관련한 매출액의 3％ 이하’에서 ‘전체 매출액의 3％ 이하’로 바뀌게 됨에 따라 기업의 개인정보보호에 대한 의무가 강화되고 기업 측에서의 유출에 따른 리스크가 훨씬 커지고 있다”고 설명했다.

이에 따라 “실제 유출 사례를 통해 AI 도입과 자동화가 비용과 보안 운영 측면에서 실효성이 있다는 것이 입증된 만큼 기업들도 보안 강화를 위해 선제적으로 노력해야 할 때”라고 강조했다.