코로나19로 기업들이 사상 최대 규모의 데이터 유출 피해를 입었다는 조사 결과가 나왔다.
IBM의 보안 조직인 IBM시큐리티는 전 세계 500여 개 기업·조직의 데이터 유출 사례를 분석한 결과 지난해 5월부터 올해 3월 사이 유출 사고 1건 당 평균 손실액이 전년 대비 약 10% 증가한 424만 달러(약 48억9,000만 원)로 집계됐다고 2일 밝혔다. 이는 지난 2005년부터 17년 간 데이터 유출 통계를 내온 이래 가장 높은 손실액이다.
국가별로는 조사 대상 중 미국이 평균 905만 달러(약 104억2,000만 원)로 가장 컸고 중동(693만 달러), 캐나다(540만 달러)가 뒤를 이었다. 한국 기업은 평균 41억1,000만 원의 손실을 입은 것으로 파악됐다.
IBM은 코로나19로 원격근무가 확대되면서 기업들이 보안 사고를 통제하기 어려웠던 것으로 분석했다. 실제 의료, 소매, 제조 등 업무 방식을 갑작스럽게 디지털로 전환한 전통 업종들에서 데이터 유출 피해액이 급증했다. 의료 업계는 사고 당 피해액이 923만 달러(약 106억3,000만 원)로 전년 대비 200만 달러 증가했다. 또 데이터 유출 사고의 가장 주요한 원인은 사용자 인증 정보 도난으로 나타났다. 고객 이름이나 이메일, 비밀번호 등이 노출되는 유형이 전체 피해 사례의 44%를 차지했다.
조사에 참여한 28개 한국 기업 중 데이터 유출 사고 피해액이 가장 큰 산업은 금융, 서비스, 정보기술(IT) 순이었다. 피해 유형으로는 이메일 유출이 평균 67억6,000만 원의 손실을 끼쳐 가장 규모가 컸다. 사회공학적 해킹(52억9,000만 원), 피싱(49억 2,000만 원) 등이 뒤를 이었다. 사회공학적 해킹이란 개인정보를 활용해 상대방의 감정, 심리 등을 공략하는 해킹 기법이다. 가까운 지인인 척 접근해 더 깊은 정보를 빼내는 수법 등이 여기에 해당한다.
IBM은 비록 코로나19 이후 진행된 디지털 전환이 데이터 유출 사고 비용을 증가시켰지만 디지털화가 많이 진행된 기업일 수록 관련 비용이 적게 든다고 지적했다. IBM은 보고서에서 “디지털 전환을 겪지 않은 조직의 비용이 평균 16%(약 75만 달러) 더 많이 투입됐다”며 “보안 자동화 전략(위험 감지부터 탐지, 대응까지 시스템이 자동으로 운영되는 전략)이 없는 조직은 자동화 전략을 완전 구축한 조직보다 두 배 이상의 비용을 감당해야 했다”고 전했다.
