글로벌 데이터 유출 피해 분석 보고서가 나와 관심을 끌고 있다. 시만텍이 시장조사기관 포네몬 인스티튜트와 함께 ‘2013 글로벌 데이터 유출 피해 분석 보고서(2013 Cost of Data Breach Study: Global Analysis)’를 발표했다.
<위기관리경영 - 김용삼 기자>

9개국 총 277개 기업의 임직원들을 대상
이번 보고서는 지난 2012년 실제 데이터 유출 사고를 경험한 미국, 영국, 프랑스, 독일, 이탈리아, 인도, 일본, 호주, 브라질 등 9개국 총 277개 기업의 임직원들을 대상으로 10개월간 심층 인터뷰 및 설문조사를 진행해 작성됐으며, 10만건 이상의 데이터가 유출된 ‘메가 데이터 유출 사건’은 제외됐다. 보고서에 따르면 ▲2012년 발생한 데이터 유출 사고의 3분의 2는 사용자 실수(35%)와 시스템 오류(29%) 때문으로, 37%을 차지한 사이버 공격보다 높은 것으로 나타났으며, ▲유출 사고의 주 원인은 임직원들의 기밀 데이터 취급 부주의, 시스템 관리 부재, 업계 및 정부 규제 위반 등으로 확인됐다. 또한 ▲데이터 유출에 따른 피해액도 데이터 건당 평균 136달러(한화 약 15만원)로 2011년 130달러 대비 증가했으며, 보건, 금융, 제약분야의 경우 타 산업에 비해 피해규모가 약 70% 더 많은 것으로 나타났다. 반면 ▲강력한 보안 전략과 대응 계획을 갖춘 기업들은 오히려 피해규모가 감소하는 경향을 보였다.

데이터 유출 주 원인은 
이번 조사에서 데이터 유출 사고의 64%는 사용자 실수와 시스템 오류 때문인 것으로 확인됐다. 올해 초 다른 보고서에서도 직원들의 62%가 회사 데이터를 외부로 유출해도 무방하다고 생각해 대부분 삭제하지 않고 방치하는 등 내부 임직원들에 의한 데이터 유출 문제가 심각하다는 점을 확인한 바 있다. 또한 애플리케이션 장애, 의도치 않은 데이터 덤프, 데이터 전송시 논리상의 오류, 계정이나 인증 오류, 데이터 복구 오류 등을 포함한 시스템 오류 역시 데이터 유출의 주요 원인으로 밝혀졌다.

강력한 대응으로 데이터 유출 피해 최소화
사이버 공격은 데이터 유출 사고의 37%를 차지했는데, 조사 대상 9개국 모두 이로 인해 가장 큰 피해를 입었다고 답했다. 특히 사이버 공격으로 인해 미국은 데이터 건당 277달러(한화 약 31만원), 독일은 214달러(한화 약 24만원)에 달하는 손실을 입었다. 반면 브라질은 71달러 (한화 약 8만원) 인도는 46달러(한화 약 5만원)로 상대적으로 손실이 적었다. 또한 사이버 공격을 받을 가능성이 가장 높은 국가는 독일로 나타났고 호주와 일본이 그 뒤를 이었다. 2012년 전세계적으로 데이터 유출에 따른 고객 데이터 건당 피해액은 전년보다 증가했으나 미국과 영국 기업들은 강력한 보안 전략과 포괄적인 사고 대응 계획 및 최고정보보안책임자(CISO) 임명으로 데이터 유출에 따른 피해를 최소화했다. 특히 미국과 프랑스는 데이터 유출 복구 컨설턴트를 채용하는 등 손실을 줄이기 위한 노력을 기울인 것으로 나타났다.

데이터 유출에 따른 피해 정도 
이번 조사 결과 데이터 유출로 인한 피해가 국가마다 다른 것으로 나타났는데, 그 이유는 기업이 직면한 위협의 유형과 각 국가마다 정보보호관련 법이 다르기 때문으로 분석된다. 2012년 데이터 유출에 따른 피해액은 데이터 건당 평균 136달러(한화 약 15만원)로 2011년 130달러보다 다소 증가했다. 오래 전부터 개인정보보호와 사이버 보안 강화를 위한 법률을 시행해온 독일, 호주, 영국 및 미국의 경우 데이터 유출로 인핸 손실 규모가 큰 것으로 나타났다. 독일은 데이터 건당 평균 199달러(한화 약 22만원), 미국은 평균 188달러(한화 약 21만원)로 선두를 기록했으며, 데이터 유출 건당 총 피해액 면에서도 미국은 540만달러(한화 약 61억원), 독일은 480만달러(한화 약 54억원)에 달했다.

포네몬 연구소의 래리 포네몬(Larry Ponemon) 회장은 “외부의 사이버 공격자와 날로 진화하는 공격 방식은 기업에 큰 위협이 되고 있지만 내부자에 의한 보안 위협 역시 이에 못지않게 파괴적이고 위험할 수 있다”며, “8년째 전세계 데이터 유출 사고를 분석해 온 결과 오늘날 기업들이 직면하고 있는 가장 시급한 보안과제는 내부 임직원들이며, 처음 조사했을 때보다 22% 가량 위협이 증가했다”고 말했다. 시만텍코리아 정경원 대표는 “이번 보고서에서 강력한 보안 전략과 사고 대응 계획을 갖춘 기업이 그렇지 않은 기업보다 데이터 유출로 인한 피해가 20% 적었다는 점은 데이터 유출을 방지하기 위해서는 체계적이고 포괄적인 접근 방식이 중요하다는 점을 시사한다”고 말했다.

또한, “기업들은 PC, 모바일 기기, 네트워크, 데이터센터 등 저장위치에 상관 없이 고객의 민감한 정보를 보호할 수 있도록 전체적인 보안 전략을 수립해야 한다”고 말했다. 이와함께 데이터 유출 사고를 예방하고 피해를 방지하기 위해서는 ▲기밀 데이터 취급에 대한 직원 교육 실시 ▲데이터 유출 방지(DLP) 솔루션을 이용해 기밀 데이터를 검색하고 외부 유출 차단 ▲암호화 및 강력한 인증 솔루션 도입 ▲고객 통보 조치를 포함한 사고 대응 계획 수립 등이 필요하다고 말했다.