본 보고서는 IT 위험 관리, 보안 리더들에게 데이터 유출로 인해 발생되는 비용이 늘어나거나 완화하는 요소를 제시합니다.
분석 및 발표된 이 연구는 2021년 3월부터 2022년 3월 사이에 발생한 데이터 사고로 피해를 입은 550개 조직을 대상으로 진행했으며, 해당 데이터 사고는 17개 국가와 지역 그리고 17개의 다양한 업계 전반에 걸쳐 발생했습니다.
본 보고서에서는 데이터 사고로 인해 영향을 받은 조직 구성원을 대상으로 3,600건 이상의 인터뷰를 실시했고, 인터뷰에서는 데이터 사고에 대한 즉각적 대응 및 장기적 대응과 직접적으로 관련된 다양한 활동에 걸쳐 조직에서 발생하는 비용을 파악하기 위한 내용을 질문했습니다.
데이터 사태로 인한 전 세계 평균 총 손실 비용은 2022년에 11만 달러 증가한 435만 달러로, 본 보고서 역사상 가장 높은 수준입니다. 2021년 4245만 달러에서 2022년 435만 달러로 증가해 증가율이 2.6%로 나타났습니다. 지난 2년간 평균 총 비용은 12.7% 증가했습니다.
미국은 12년 연속으로 데이터 사태로 인한 평균 총 비용이 가장 높은 국가였습니다. 2021년 910만 달러보다 39만 달러가 늘어나 4.3%의 증가율을 보였습니다. 상위 5개 국가 또는 지역은 미국 944만 달러, 중동 746만 달러, 태나다 564만 달러, 영국 505만 달러, 독일 485만 달러 입니다.
데이터 유출을 처음 감지하고 억제하는 사이에 경과된 시간을 데이터 유출 주기라고 합니다. 데이터 유출을 식별하는 시간은 인시던트 발생을 감지하는 데 걸리는 시간을 나타냅니다. 유출 억제 시간은 조직에서 감지된 상황을 해결하고 궁극적으로 서비스를 복원하는 데 걸리는 시간을 나타냅니다.
데이터 유출을 식별하고 억제하는 평균 시간은 2021년 287일에서 2022년 277일로 10일이 감소하고 3.5%의 감소율을 기록했습니다.
평균 277일은 지난 7년간 평균과 일치하며, 합계가 가장 낮았던 2017년의 257일, 가장 높았던 2021년의 287일 사이에 최대 11%의 차이가 있습니다.
연구에서 발생한 데이터 사태 사례는 우발적인 데이터 손실 및 클라우드의 잘못된 구성에서 피싱, 내부자 위협, 도난되거나 손상된 인증 정보에 이르기까지 10가지 초기 공격 매개로 구분됩니다.
2022년에 가장 흔하게 발생한 초기 공격 매개는 인증 정보 도난 또는 유출이었으며, 조사 결과 전체 유출의 19%를 차지했고 평균 비용은 450만 달러에 달했습니다. 16%는 피싱, 15%가 클라우드의 잘못된 구성, 13%가 타사 소프트웨어의 취약성이었습니다.
랜섬웨어 유출 비용은 작년과 비교해 약 462만 달러에서 454만 달러로 소폭 감소했습니다. 그러나 랜섬웨어 유출 빈도는 2021년 보고서의 7.8%에서 2022년 연구의 11%로 증가했습니다.
랜섬웨어는 데이터 유출의 11%를 차지, 악의적인 공격은 17%를 차지했습니다. 또, 19%는 공급망 공격에 의해 발생했으며 이는 비즈니스 파트너가 초기에 공격을 받아 발생한 것입니다. 직원이나 계약자의 부주의로 인해 의도치 않게 발생한 인적 오류는 데이터 유출의 21%를 차지했습니다. 데이터 유출의 24%는 데이터 손실로 이어지는 장애 또는 조직의 컴퓨터 시스템 오류 때문에 발생한 IT오류입니다. 이러한 오류에는 소스 코드 오류 또는 자동화된 프로세스 오류가 포함됩니다. 데이터 유출의 나머지 8%는 기타 악의적인 공격이었습니다.
랜섬 자체 비용을 포함하지 않은 랜섬웨어 공격의 평균 비용은 454만 달러로, 데이터 유출의 전체 평균 총 비용인 435만 달러보다 약간 높았습니다. 파괴적 공격 또는 와이퍼 공격으로 인한 평균 비용은 512만 달러로, 전체 평균보다 77만 달러 더 많아 16.3%의 차이를 보였습니다.
랜섬웨어 또는 파괴적 공격을 감지하고 억제하는 데 걸리는 평균 시간은 기존의 평균보다 훨씬 높았습니다. 랜섬웨어 공격은 총 주기인 326일에서 파악하는데 237일, 억제하는데 89일이 걸렸습니다. 파괴적 공격은 총 주기인 324일에서 파악하는데 233일, 억제하는데 91일이 걸렸습니다. 전체 평균 주기 277일과 비교해 볼 때, 기업은 랜섬웨어 공격을 감지하고 억제하는 데 49일이 더 걸렸고 그 차이는 16.3%였습니다. 또한 기업은 파괴적 공격을 감지하고 억제하는데 47일이 더 걸리고 그 차이는 15.6%였습니다.
최근 몇 년간 주요 공급망에 대한 공격이 잦아졌습니다. 공급망 공격은 공급자와 같은 비즈니스 파트너를 공격하면서 발생하는 유출입니다. 연구 결과에 따르면 1/5에 가까운 데이터 유출 원인이 공급망 손상이었으며 이러한 공격은 더 많은 비용 발생으로 이어지고 주기도 길어졌습니다.
연구에서는 데이터 유출의 약1/5은 공급망 공격으로 인한 것이었습니다. 공급망 공격으로 인한 평균 총 비용은 446만 달러입니다. 이 비용은 전체 평균 데이터 유출 비용인 435만 달러보다 높았으며, 차이는 11만 달러 또는 2.5%였습니다.
위 그래프는 28가지 요소가 데이터 유출의 평균 비용에 미치는 영향을 보여줍니다. 유출 비용을 낮추는 평균 이하 비용과 관련된 요소, 즉 비용 완화 항목과 평균 이상 비용과 관련된 요소, 즉 비용 증폭 요소로 구분됩니다.
인공지능 플랫폼, DevSecOps 접근 방식, 인시던트 대응 팀 활용은 데이터 유출의 비용을 줄이는 데에 가장 큰 영향을 주는 세 가지 요소입니다. 반면, 보안 시스템의 복잡성, 조직이 클라우드로 마이그레이션 하는 과정에서 발생하는 클라우드 마이그레이션 및 규정 준수 실패는 평균 비용에서 가장 높은 순 증가율과 관련된 3가지 요인이었습니다.
보안 AI와 자동화 구현은 인시던트와 침입 시도를 식별하고 봉쇄 시 사람의 개입을 보완하거나 대체하는 보안 기술을 적용하는 것을 의미합니다. 이러한 기술은 AI, 머신 러닝, 분석, 자동화된 보안 오케스트레이션을 기반으로 합니다.
이와는 반대로 수십 개의 도구와 복잡한 비통합 시스템에 걸쳐 수동 입력으로 구동되는 프로세스가 존재하며, 이 두 방식 간에는 데이터를 공유하지 않습니다.
보안 AI와 자동화를 완전히 구축하거나 부분적으로 구축한 조직의 비율을 2021년에서 2022년 사이에 65%에서 70%로 5%가 증가했습니다.
보안 AI와 자동화를 완전히 구축한 조직은 그렇지 않은 경우보다 평균 유출 비용이 305만 달러가 더 낮았으며, 65.2%의 차이를 보여 연구 중 가장 큰 비용 절감 효과를 거두었습니다.
보안 AI와 자동화를 완전히 구축한 조직의 평균 총 데이터 유출 비용은 315만 달러입니다. 보안 AI와 자동화를 구축하지 않은 조직은 평균 총 비용이 620만 달러입니다.
또한, 보안 AI와 자동화를 완전히 구축한 조직은 그렇지 않은 조직보다 훨씬 빠르게 유출을 감지하고 억제할 수 있습니다. 보안 AI와 자동화를 완전히 구축한 조직은 데이터 유출을 파악하는데 평균 181일, 억제하는데 68일이 소요되어 총 주기는 249일입니다. 그렇지 않은 조직의 경우 데이터 유출을 파악하는데 평균 235일, 억제하는데 88일이 소요되어 총 주기는 323일입니다. 보안 AI와 자동화를 완전히 구축한 조직보다 74일이 더 길었습니다.
클라우드 보안이 완성되어 있는 조직의 경우 데이터 유출 비용이 평균 이하였습니다. 클라우드 환경 보안이 완성되어 있는 조직의 경우 초기 단계에 있는 조직보다 유출 비용이 평균 66만 달러 더 적었습니다. 완성 단계의 조직은 유출 비용이 평균 387만 달러인데 반해 중간 단계의 조직은 439만 달러, 초기 단계의 조직은 453만 달러, 클라우드 보안 과정을 아직 시작하지 않은 조직은 459만 달러였습니다. 완성 단계와 초기 단계의 비용 차이는 완성 단계의 조직에서 15.7%의 비용 절감 효과가 있음을 나타냅니다.
클라우드 환경 보안이 완성 단계에 있는 조직은 초기 단계에 있는 조직보다 훨씬 빠르게 데이터 유출을 식별하고 억제할 수 있습니다. 완성 단계의 조직은 유출 식별에 평균 176일이 걸렸고 억제하는데 61일이 걸려 총 기간은 237일입니다. 이 주기는 글로벌 평균인 277일보다 40일이 적었으며, 초기 단계의 조직보다 64일이 적어 2개월 이상 또는 23.8%의 차이를 보였습니다. 클라우드 보안 과정을 시작하지 않은 조직은 유출을 식별하고 억제하는 데 훨씬 오랜 시간이 걸렸습니다.
많은 조직이 보안 팀의 자리를 채우는 데 어려움을 겪었습니다. 충분한 인력을 보유하고 있다고 밝힌 조직의 경우 팀에 배치할 직원이 부족한 조직에 비해 데이터 유출 비용 측면에서 상당한 비용 절감 효과를 보았습니다.
보안 팀 기술이 부족하다고 응답한 조직의 데이터 유출 비용이 평균 이상이었습니다. 인력이 충분한 조직의 평균 데이터 유출 비용은 401만 달러였습니다. 그에 반해 보안 팀 인력이 부족한 조직의 평균 데이터 유출 비용은 456만 달러로 그 차이는 55만 달러 또는 12.8%였습니다.
100만 건 이상의 공격 기록이 있는 대규모 유출은 대부분의 기업에서 일반적으로 겪는 일이 아닙니다. 그러나 대규모 유출은 소비자와 산업에 큰 영향을 미칩니다.
데이터 사태의 재정적 영향을 최소화하기 위한 권장사항
정책 및 암호화를 사용하여 클라우드 환경에서 중요한 데이터를 보호합니다.
클라우드 환경에서 호스팅되는 데이터의 양과 가치가 증가함에 따라 조직은 클라우드 호스팅 데이터베이스를 보호하기 위한 조치를 취해야 합니다. 완성 단계의 클라우드 보안 사례는 클라우드 보안 사례가 없는 것에 비해 72만 달러의 비용을 절감할 수 있으며 그 이상의 효과를 볼 수 있다는 것을 인지해야 합니다.