기업들의 공격 완화 기술 도입에 강제성을 두자
효율적인 보안예산 산정 역시 절약의 한 부분

[보안뉴스 주소형] 사이버 공격으로 초래되는 피해를 경제적으로 따져봤다. 피해규모가 계속해서 늘어나고 있는 가운데 글로벌 보안컨설팅 전문기업인 포네몬(Ponemon)사가 HP 엔터프라이즈 보안(HP Enterprise Security)의 후원을 받아 관련 보고서를 발간했다. 최근 6년 간 미국은 사이버 공격으로 인한 피해규모가 매년 20%씩 증가했으며 올해 사이버범죄에 대한 예상 피해비용은 1,500만 달러 수준이다.


“사이버공격의 양과 질이 모두 높아지고 있다. 이에 따라 보안예산을 기업예산의 공식 항목으로 책정하고 공격을 완화하고 방어해보려는 기업들이 늘어나고 있다.” 이번 연구를 진행한 포네몬사의 대표인 래리 포네몬(Larry Ponemon)이 말했다.

기업당 사이버범죄를 위해 소비하는 비용을 2009년과 비교해보면 무려 82%가 상승했다. 올해 해당 비용의 범위는 190만 달러에서 6,500만 달러로 집계됐다. 또한 작은 기업일수록 필요한 비용이 높은 것으로 나타났다. 작은 기업은 큰 기업에 비해 2배 이상 많은 금액을 써야 같은 효과를 누릴 수 있다는 것. 실제로 작은 기업의 사용자당 평균 비용은 1,571달러인 것에 비해 큰 기업은 667달러로 파악됐다.

보고서에 따르면 공격 기간이 길면 길수록 비용도 높아진다. 평균적으로 한 공격당 걸리는 시간은 46일이며 190만 달러 정도가 필요하다.

비용을 종류별로 살펴보면, 탐지·회복·회계 등과 같은 내부적인 요소에 의한 비용의 비중이 55%로 가장 높고, 42%가 외부적인 요소를 위해서다.

공격의 종류별 소요되는 비용의 경우 ‘서비스 거부 공격’이 가장 높은 비용을 요하고 있다. 그 다음으로는 내부자 위협 및 악성 코드가 전체비용의 50%를 반반씩 차지하고 있다.

“SIEM, 침입 예방 시스템, 애플리케이션 보안 테스팅 솔루션, 기업 ERC 솔루션 등과 같이 공격을 완화시키는 기술들은 기업들이 의무적으로 사용할 수 있도록 합법화될 필요가 있다.” SIEM 기술을 사용한 기업과 안한 기업을 비교해보면 그 이유를 바로 알 수 있다. 해당 기술을 적용했을 경우 발생할 수 있는 피해를 막아 결국 총 370만 달러를 절약할 수 있기 때문이다. 뿐만 아니라 포네몬은 기업보안 거버넌스가 줄 수 있는 긍정적인 효과에 대해서도 강조했다.

“기업들은 현명한 결정을 내려야 한다. 비용을 아끼는 것도 중요하지만 효율적으로 쓰는 것도 비용절약의 한 부분이다. 지속적인 점검 및 고급 보안 인력고용 등이 결과적으로 회사 이익에 큰 요소다. 통계를 내보니 보안에 효율적으로 투자한 기업들은 평균적으로 약 280만 달러를 절약할 수 있었다. 고급 인력 및 솔루션 도입으로 인한 절약 규모는 210만 달러 수준으로 집계됐다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>