Home > 전체기사

데이터 침해 사고의 비용, 너그럽게 계산하면 나중에 눈물 흘린다

  |  입력 : 2022-02-24 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
데이터 침해 사고는 매우 비싼 이벤트다. 다만 눈에 보이는 피해와 숨은 피해가 혼재되어 있어 간과되기 일쑤다. 비용 산정이 제대로 되지 않으면 보안 투자가 적절히 이뤄지지 않고, 이는 사고 가능성을 높이는 결과로 이어진다.

[보안뉴스 문가용 기자] 정문에 자물쇠를 단단히 걸어 잠그면 집안에 있는 귀중품이 안전하게 보호될 확률이 올라간다는 사실을 알고 있다면, 당신은 자물쇠를 채울 것인가, 말 것인가? 가장 논리적이며 간단한 답은 “채울 것이다”이다.

[이미지 = utoimage]


이야기를 ‘인터넷’으로 돌려보자. 인터넷이라는 기술이 처음 개발되었을 때 해킹이나 보안 사과와 같은 개념은 세상에 존재하지 않았다. 자물쇠라는 게 세상에 없는 상태로 대문들이 만들어진 거나 다름이 없다. 인터넷의 개발 목적은 빠르고 편리한 정보의 공유였지, 천재적인 IT 기술자들의 다양한 공격이라는 건 상상조차 할 수 없었다. 시간이 흐르면서 보안 사고와 해킹 공격이 좀 더 보편적인 개념이 됐지만, 그럼에도 아직 많은 조직들이 인터넷 상의 위험에 대해 잘 이해하지 못하고 있는 듯하다.

데이터 침해로부터 조직을 보호한다고 했을 때, 기업들은 ‘우리 회사가 진짜 공격에 당할 가능성’과 ‘우리 산업에서 발생하는 해킹 공격의 빈도(피해 규모)’에 집중하려는 경향을 보인다. 그리고 그 궁금증을 해결하기 위해 각종 뉴스 매체들과 헤드라인을 훑는다. 하지만 신문에 나온 소식들만으로 실제 해킹 공격의 피해 규모와 공격 가능성을 가늠하기는 매우 힘들다. 또한 그 두 가지 궁금증을 함께 풀어가야 하지, 산업 따로 우리 회사 따로 생각해서는 예측이라는 것이 더 부정확해진다. 둘은 연결되어 있기 때문이다.

사이버 보안은 ‘리스크’와 깊은 관련이 있는 개념이다
‘데이터 침해 사고’에 대한 방어와 대책을 고민한다고 했을 때 기업들이 가장 먼저 생각해야 할 건 ‘데이터 침해 사고가 발생했을 때 우리 회사는 얼마의 피해를 입을까?’이다. 이 질문을 해결하기 위해서는 각종 ‘리스크 요소들’을 탐구하고, 그에 대한 비용 산정을 할 수밖에 없을 것이다. 물론 리스크에 따른 비용을 가늠하려면 우리 회사와 우리 산업의 실제 피해 가능성까지도 고려해야 하니, 위에 언급한 두 가지 질문이 마냥 쓸모 없는 것만은 아니다.

리스크에 대한 비용 계산이 어느 정도 나오면 그 다음부터 견적을 비교하는 게 가능해진다. 실제 공격이 발생했을 때의 피해액과, 그러한 사건이 발생하지 않도록 하거나 피해를 최소화 하기 위해 보안에 투자하는 금액을 비교할 수 있게 된다는 것이다. 여느 사업적 리스크를 판단하는 것과 비슷하다. 물론 이 금액은 어디까지나 ‘예상치’이기 때문에 정확할 수는 없다. 이 점 역시 염두에 두어야 한다.

하지만 대다수의 기업들이 피해액을 계산할 때 실제보다 훨씬 적은 금액을 상정하는 편이다. 예를 들어 랜섬웨어 공격의 경우, 대부분 범인들이 요구하는 돈과 크게 다르지 않은 금액을 피해액으로 이해한다. 실상 그 금액은 전체 피해액의 일부일 뿐인데 말이다. 복구, 사업 중단, 브랜드 신뢰도 하락, 인적 피해, 국가 안보 피해 등과 같은 ‘숨은 피해액’들을 잘 찾아내야 한다. 물론 유형적으로 금액이 딱 나오지 않을 수 있다. 다만 이런 보이지 않는 피해가 발생한다는 걸 인지하는 게 중요하다.

금전적 피해
해킹 사고를 실제로 당한 기업들의 경험을 빌리자면, 소송과 관련된 비용이 피해액의 가장 큰 부분을 차지한다고 한다. 그 다음은 복구 비용이 크다. 때론 GDPR 등과 같은 규정에 의거한 벌금이 나올 수 있는데, 그 금액 역시 만만치 않은 비중을 차지하며, 소송 비용이나 복구 비용보다 비쌀 수도 있다. 그 외에 고객이나 직원들에게 고지하는 비용, 외부 보안 전문가 초빙 비용 등도 굵직하게 추가될 수 있다.

이런 것들이 실제 외부로 빠져나가는 비용들이라면, 원래 우리 회사 계좌에 입금되었어 야하는데 되지 않는 비용들도 존재한다. 해킹 공격 때문에 생산 시스템이 마비되었다면, 그 시간 동안 서비스나 물건이 소비자들에게 나가지 않았을 것이고, 그 만큼 수익이 줄어드는 게 당연하다. 이것도 상당히 큰 피해이고, 경우에 따라 회사 주가가 하락할 수도 있다.

만약 고객의 의료 정보, 개인정보, 민감 정보를 요구하거나 활용하는 회사라면 데이터 유출 사고 한 방이 브랜드 신뢰도를 큰 폭으로 하락시킬 수도 있다. ‘내 개인정보를 제대로 간수 못하는 회사에서 물건을 살 수 없어’라고 생각하는 소비자들이 점점 늘어나고 있기도 하다. 뿐만 아니라 데이터 침해 사고가 세상에 알려지기라도 한다면 어떨까? 잠재 고객들도 잃는 꼴이 된다. 이 역시 ‘원래는 발생했었어야 할 수익이 사라지는’ 유형의 피해다.

사회 기반시설과 국가 안보
엑스페리안(Experian)에서 최근 발표한 ‘2022 데이터 침해 산업 예상도’에 의하면 전력망이나 댐, 통신망 등과 같은 사회 기반시설을 겨냥하여 물리적이며 사회적인 피해를 일으키는 유형의 사이버 공격이 증가할 것이라고 한다. 콜로니얼 파이프라인 사건과 같은 일이 더 많이 발생할 수 있다는 뜻이다. 이는 콜로니얼 파이프라인이라는 조직이 입은 피해가 사회 전체의 문제로 확대된다는 뜻이기도 하다. 콜로니얼 파이프라인이 아니라 국방 기관이나 군 무기 개발 업체였다면 어떨까? 국가 안보 문제로까지 사태가 커진다.

IBM과 포네몬(Ponemon)은 2020년 5월부터 2021년 3월까지 전 세계에서 발생한 데이터 침해 사고 10만 건을 분석한 결과 보고서를 발표한 바 있다. 산업별로 구분해서 봤을 때 데이터 침해를 허용함으로써 가장 비싼 값을 치러야 했던 건 의료 분야였다. 평균 피해액이 923만 달러로 계산됐다. 이는 전년도 조사에서보다 200만 달러 오른 수치다. 하지만 의료 산업의 진짜 문제는 해킹 사고로 환자의 생명을 잃을 수 있다는 것이다. 이는 돈으로 환산하기 어려운 피해이다. 금액적으로만 봐도 다른 산업보다 큰 피해를 입는 게 의료 분야인데, 누군가의 생명까지도 위험해지니 해킹 사고에 대한 부담이 클 수밖에 없다.

데이터 침해 사고나 랜섬웨어 사건이나, 기업이 입는 피해는 천문학적으로 커지기 십상이다. 아직 실제 피해가 발생하지 않은 기업들은 예상 피해액을 계산할 때 너그러워지려는 함정에서 벗어나야 한다. 그렇지 않으면 실제 사건이 발생했을 때, 후속 처리 과정에서 큰 혼란에 빠질 수 있다. 그리고 보안에 대해 제대로 된 투자를 하기도 힘들어진다.

‘아예 이뤄지지 않는 것보다 늦게라도 이뤄지는 게 낫다’라거나 ‘늦었다고 생각한 때가 가장 빠른 것이다’라는 말은 사이버 보안에서만큼은 위험한 교훈이 될 수 있다. 한 번 허용한 피해만으로도 회사 전체가 휘청거릴만한 손실이 발생할 수 있기 때문이다. 자물쇠가 대문을 단단히 지켜주는 걸 알면서도 ‘훔쳐갈 게 없어’라며 문을 열어둘 것인가? 아니면 자물쇠 모양의 장난감을 달 것인가? 보안에 대한 투자를 감행하는 우리의 자세가 튼튼한 자물쇠를 찾는 사람의 그것과 닮은 것인지, 그 돈도 아까워하고 있는 것인지 돌아볼 필요가 있다.

글 : 제리 카포네라(Jerry Caponera), VP, ThreatConnect
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)