[출처: 보안뉴스]

포네몬, 2014년 사이버 범죄 비용 보고서 통해 피해 규모 구체화

피해 규모로 봐서는 평소 준비 상태가 충분하지 않았다는 뜻

[보안뉴스 문가용] 유출사고 발생 후 해결까지 걸리는 시간은 평균 31일, 평균 비용은 하루에 2만 달러, 전체 비용은 6십 4만 달러라는 통계 결과가 나왔다. 이는 지난 해와 비교했을 때 23% 증가한 수치다. 출처는 포네몬(Ponemon)에서 발행한 2014 사이버 범죄에 따른 비용에 대한 보고서(2014 Global Report on the Cost of Cyber Crime)다.

▲ 아직 잃을 소가 남아있을 때가 외양간을 고쳐야 할 때

“이번 결과에서 가장 주목해야 할 것은 공격을 완전히 해결하는 데에 걸리는 기간이 평균 31일이며 그 비용이 하루에 2만 달러라는 겁니다. 공격자가 시스템에 마음대로 들어와 엄청난 손해를 끼치는데 사용자는 아무 것도 모른다는 겁니다. 사용자의 인지 밖에서 활동할 수 있기 때문에 더 깊숙이 침투하고, 더 깊이 침투하니 더 많은 손해를 야기합니다.”

포네몬은 이번 조사를 위해 7개국에서 총 257개의 대형 회사를 대상으로 설문을 받았으며 1700여 건의 공격에 대한 평균 비용 및 기간에 대해 조사했다. 해결에 드는 평균 총 비용은 639,462 달러로 집계되었다.

이번 조사를 통해 다시 한 번 강조된 것은 초기 감지가 매우 중요하다는 것. 그만큼 평소의 준비가 필요하다는 뜻이다. 평소의 준비라 하면 정보력과 훈련으로 크게 나눌 수 있다. 파이어아이의 컨설턴트인 마셜 헤일먼(Marshall Heilman)에 의하면 “유출사고로 인한 회복기는 이상적으로 1주일 내외여야” 한다. “평소 내가 얼마나 준비가 되었는지 어떻게 평가할 수 있을까요? 진짜 사고가 났을 때 대처에 걸리는 시간을 보면 알 수 있죠. 한 달이 걸린다면 냉정히 말해 평소 준비가 엉망이었다는 소리라고 생각합니다.”

또한 사이버 범죄 때문에 발생한 비용은 미국 내에선 회사 당 평균 12,700,000 달러인 것으로 드러났다. 그리고 ‘유효 공격’의 횟수는 회사 당 122건이었다. 세계적으로 봤을 때 평균 연간 비용은 7,600,000 달러였으며 기업에 따라 500,000 달러에서 61,000,000 달러에까지 이르렀다. 작은 조직들이 인당 비용이 큰 기업의 그것보다 더 높았다고 보고서는 밝히고 있다.

산업에 따라서도 이런 류의 사이버 범죄 때문에 들어가는 비용이 다른 것으로 나타났다. 에너지나 시설 산업이 가장 높은 비용을 지불해야 했으며(13,180,000 달러) 그 뒤를 금융 산업이 바짝 쫓고 있는 것으로(12,970,000 달러) 나타났다. 가장 낮은 곳은 의료 산업으로 1,380,000 달러의 지출이 발생한 것으로 나타났다.

가장 ‘비싼 공격’은 악성 내부 공격이었으면서도 가장 드문 공격 유형이었다. 그 다음으로 피해가 큰 공격은 디도스였다. 가장 빈번한 공격 유형은 멀웨어를 사용한 공격이었으며, 그렇기 때문에 숫자상으로는 비교적 평균 피해액이 낮은 것으로 나타났다. 지출이 높은 외부 요인으로는 ‘사업 중단’이 꼽혔으며 두 번째는 ‘정보 손실’인 것으로 드러났다.

포네몬은 “공격자가 들이는 공에 비해 피해가 터무니없이 커지고 있다”며 “이제 기업들이 보안에 대한 투자를 심각하게 고려해야 할 때를 넘어섰고, 손실 비용만큼 진작 보안에 투자했다면 적어도 명성에 금이 가는 피해나 대중 혹은 사용자에게 가는 피해는 막을 수 있었을 것”이라고 꼬집었다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]