사업중단·소송·복구 등 직접 비용 24억, 나머지 재발방지 비용

[보안뉴스 김태형] 최근 증가하고 있는 대기업을 상대로 한 표적 공격이 성공했을 경우, 그 피해액이 최대 27억원에 이른다. 이 같은 결과는 카스퍼스키 랩과 B2B International이 공동으로 최근에 수행한 2013년 글로벌 IT 보안 위험 조사에서 밝혀졌다. 

표적 공격은 가장 위험한 종류의 사이버 보안위협 중에 하나이며 전문 해커가 공격의 준비와 실행에 참여하게 된다. 또한, 상당한 자금과 광범위한 IT 지식을 그 바탕으로 하고 있다.

이러한 공격의 최종 목표는 일반적으로 특정 기업의 기밀 정보이기 때문에 기밀 데이터의 유출은 유/무형의 상당한 손실로 직결될 수 있다.

이러한 손실은 얼마나 될까? 수집된 데이터에 따르면, 건 당 평균 피해액은 약 27억원이었으며, 이 중 약 24억원은 기밀 데이터 유출, 사업 중단, 소송, 복구에 따른 직접 비용이고 나머지 약 3억원은 재발 방지를 위한 직원 채용, 교육, 시스템 업데이트 비용 등이었다.

SMB(중견·중소기업)에 대한 표적 공격으로 인한 회사의 손실은 건 당 약 1억원으로 대기업에 비해 낮지만, 회사의 규모(약 100-200명)를 고려하면 그 충격은 상당할 것이다. 1억원 중 약 7천만 원은 사고 처리를 위한 직접 비용이었으며, 나머지는 재발 방지 비용이었다.

피해액이 많은 공격의 또 다른 유형은 네트워크 인프라 해킹으로 인한 공격이다. 표적 공격이 가장 높은 금융 비용 지출을 초래하지만 그것이 유일한 공격 유형은 아닌 것으로 나타났다.

실제로 이번 조사에 응답한 이들의 약 9%만이 지난 1년 동안 표적 공격에 노출되었다고 밝혔으며 훨씬 높은 비율(24%)로 네트워크 인프라가 해킹되었었다고 말했다.

대기업의 경우 네트워크 인프라 공격으로 18.6억원(SMB는 약 8천만원)의 손실이 발생했다고 밝혀 표적 공격에 이어 두 번째로 피해액이 큰 공격 유형으로 나타났다.

기업 데이터를 고의적으로 유출한 경우는 19%였으며 금융 손실은 평균 11억원(SMB는 6천만원)이었습니다. 마지막으로 소프트웨어 취약점을 악용한 공격은 조사 대상 기업의 39%에서 발생했으며 대기업은 평균 7.3억원이었고 중견·중소기업은 7천만원 정도였다.

카스퍼스키 랩은 “표적 공격은 그 구조가 매우 복잡하다. 해커가 공격 대상 기업의 IT 인프라에서 약점을 찾고 실제 공격을 실행하는데 필요한 프로그램을 설치하는 등 오랜 준비 기간이 필요하다”면서 “일반적인 안티 바이러스 솔루션이 악성 코드에 의한 보안위협을 처리할 수 있지만, 이것만으로 이러한 표적 공격의 위협과 싸우기는 버겁다”라고 말했다.

“최신의 사전 방역 및 탐지 기술을 통합한 기업용 솔루션을 사용하면 표적 공격뿐만 아니라 다른 모든 IT 보안위협으로부터 회사를 보호할 수 있을 것이다”라고 회사 측은 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>