시만텍 ‘2013 글로벌 데이터 유출 피해 분석 보고서’ 발표

기밀 데이터에 대한 보안 교육, 데이터 유출방지·사고대응 계획 필수

[보안뉴스 김태형] 지난해 발생한 데이터 유출 사고의 3분의 2는 사용자 실수(35%)와 시스템 오류(29%) 때문인 것으로 나타나 데이터 유출 사고의 주요 원인은 임직원들의 기밀 데이터 취급 부주의, 시스템 관리 부재, 업계 및 정부 규제 위반 등으로 확인됐다. 한편 사이버 공격에 의한 데이터 유출은 이 두 가지 요인보다 낮은 37%를 차지했다.

이 같은 결과는 시만텍(www.symantec.co.kr)이 시장조사기관 포네몬 인스티튜트(Ponemon Institute)와 함께 ‘2013 글로벌 데이터 유출 피해 분석 보고서(2013 Cost of Data Breach Study: Global Analysis)’를 통해 발표했다.

이번 보고서는 지난 2012년 실제 데이터 유출 사고를 경험한 미국, 영국, 프랑스, 독일, 이탈리아, 인도, 일본, 호주, 브라질 등 9개국 총 277개 기업의 임직원들을 대상으로 10개월간 심층 인터뷰 및 설문조사를 진행해 작성됐으며, 10만건 이상의 데이터가 유출된 ‘메가 데이터 유출 사건’은 제외됐다.

이 보고서에 따르면 2012년 발생한 데이터 유출 사고의 3분의 2는 사용자 실수(35%)와 시스템 오류(29%) 때문으로, 37%을 차지한 사이버 공격보다 높은 것으로 나타났으며, 유출 사고의 주 원인은 임직원들의 기밀 데이터 취급 부주의, 시스템 관리 부재, 업계 및 정부 규제 위반 등으로 확인됐다.

또한 데이터 유출에 따른 피해액도 데이터 건당 평균 136달러(한화 약 15만원)로 2011년 130달러 대비 증가했으며, 보건, 금융, 제약분야의 경우 타 산업에 비해 피해규모가 약 70% 더 많은 것으로 나타났다. 반면 강력한 보안 전략과 대응 계획을 갖춘 기업들은 오히려 피해규모가 감소하는 경향을 보였다.

데이터 유출 주 원인은 사용자 실수와 시스템 오류

이번 조사에서 데이터 유출 사고의 64%는 사용자 실수와 시스템 오류 때문인 것으로 확인됐다. 올해 초 시만텍이 발표한 다른 보고서에서도 직원들의 62%가 회사 데이터를 외부로 유출해도 무방하다고 생각해 대부분 삭제하지 않고 방치하는 등 내부 임직원들에 의한 데이터 유출 문제가 심각하다는 점을 확인한 바 있다.

또한 애플리케이션 장애, 의도치 않은 데이터 덤프, 데이터 전송시 논리상의 오류, 계정이나 인증 오류, 데이터 복구 오류 등을 포함한 시스템 오류 역시 데이터 유출의 주요 원인으로 밝혀졌다.

강력한 대응으로 데이터 유출 피해 최소화 가능

사이버 공격은 데이터 유출 사고의 37%를 차지했는데, 조사 대상 9개국 모두 이로 인해 가장 큰 피해를 입었다고 답했다. 특히 사이버 공격으로 인해 미국은 데이터 건당 277달러(한화 약 31만원), 독일은 214달러(한화 약 24만원)에 달하는 손실을 입었다. 반면 브라질은 71달러 (한화 약 8만원) 인도는 46달러(한화 약 5만원)로 상대적으로 손실이 적었다.

또한 사이버 공격을 받을 가능성이 가장 높은 국가는 독일로 나타났고 호주와 일본이 그 뒤를 이었다.

2012년 전 세계적으로 데이터 유출에 따른 고객 데이터 건당 피해액은 전년보다 증가했으나 미국과 영국 기업들은 강력한 보안 전략과 포괄적인 사고 대응 계획 및 최고정보보안책임자(CISO) 임명으로 데이터 유출에 따른 피해를 최소화했다.

특히 미국과 프랑스는 데이터 유출 복구 컨설턴트를 채용하는 등 손실을 줄이기 위한 노력을 기울인 것으로 나타났다.

데이터 유출에 따른 피해 정도 국가별로 상이

이번 조사 결과 데이터 유출로 인한 피해가 국가마다 다른 것으로 나타났는데, 그 이유는 기업이 직면한 위협의 유형과 각 국가마다 정보보호관련 법이 다르기 때문으로 분석된다. 2012년 데이터 유출에 따른 피해액은 데이터 건당 평균 136달러(한화 약 15만원)로 2011년 130달러보다 다소 증가했다.

오래 전부터 개인정보보호와 사이버 보안 강화를 위한 법률을 시행해온 독일, 호주, 영국 및 미국의 경우 데이터 유출로 인핸 손실 규모가 큰 것으로 나타났다. 독일은 데이터 건당 평균 199달러(한화 약 22만원), 미국은 평균 188달러(한화 약 21만원)로 선두를 기록했으며, 데이터 유출 건당 총 피해액 면에서도 미국은 540만달러(한화 약 61억원), 독일은 480만달러(한화 약 54억원)에 달했다.

   

포네몬 연구소의 래리 포네몬(Larry Ponemon) 회장은 “외부의 사이버 공격자와 날로 진화하는 공격 방식은 기업에 큰 위협이 되고 있지만 내부자에 의한 보안 위협 역시 이에 못지않게 파괴적이고 위험할 수 있다”며 “8년째 전 세계 데이터 유출 사고를 분석해 온 결과 오늘날 기업들이 직면하고 있는 가장 시급한 보안과제는 내부 임직원들이며, 처음 조사했을 때보다 22% 가량 위협이 증가했다”고 말했다.

시만텍코리아 정경원 대표는 “이번 보고서에서 강력한 보안 전략과 사고 대응 계획을 갖춘 기업이 그렇지 않은 기업보다 데이터 유출로 인한 피해가 20% 적었다는 점은 데이터 유출을 방지하기 위해서는 체계적이고 포괄적인 접근 방식이 중요하다는 점을 시사한다”며, “기업들은 PC, 모바일 기기, 네트워크, 데이터센터 등 저장위치에 상관없이 고객의 민감한 정보를 보호할 수 있도록 전체적인 보안 전략을 수립해야 한다”고 말했다.

시만텍은 데이터 유출 사고를 예방하고 피해를 방지하기 위해 다음과 같이 권고하고 있다.

-기밀 데이터 취급에 대한 직원 교육을 실시하라

-데이터 유출 방지(DLP) 솔루션을 이용해 기밀 데이터를 검색하고 외부 유출을 차단하라

-암호화 및 강력한 인증 솔루션을 도입하라

-고객 통보 조치를 포함한 사고 대응 계획을 수립하라

‘2013 글로벌 데이터 유출 피해 분석 보고서’에 대한 보다 자세한 정보와 관련자료는 http://bit.ly/10FjDik에서 확인할 수 있으며 ‘시만텍 데이터 유출 위험 계산(Data Breach Risk Calculator)’ 사이트를 통해 기업의 규모, 업종, 위치 및 보안 관행을 기반으로 예상 데이터 유출 피해액을 계산할 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>