IBM은 7월 27일 랜섬웨어 같은 데이터 침해가 발생하면 피해 조직이 부담하게 되는 데이터 침해 비용에 대한 조사 결과를 발표했다. 이로 인해 데이터 침해 평균 비용은 435만 달러로 과거 최고액이 됐다고 한다. 이런 비용이 상품 가격으로 전가되는 실태 등도 지적한다.
IBM에 따르면 2022년 데이터 침해로 인한 전 세계 평균 비용은 435만 달러. 지난 2년간 13% 가까이 증가하고 있다. 또 조사 대상 조직 중 60%는 데이터 침해를 원인으로 제품과 서비스 가격을 인상하고 있으며 이로 인해 데이터 침해가 전 세계 경제 인플레이션과 비용 증가에 기름을 뿌렸을 가능성도 지적하고 있다.
2021년 3월부터 올해 3월 사이 전 세계 550개 조직이 경험한 데이터 침해를 분석한 이번 보고서에선 대상 조직 중 83%가 2회 이상 데이터 침해를 경험하고 있다. 데이터 침해 비용 50% 가까이가 침해 발생 1년 이상 지나서 생긴 것으로 나타나 시간이 지남에 따라 증가한다고 지적하고 있다. 데이터 침해가 문제가 됐음에도 조사 대상인 중요한 인프라 조직 중 80%가 제로 트러스트 전략을 채택하지 않았으며 이런 조직 침해 비용은 평균 540만 달러로 채택한 조직보다 117만 달러 높아졌다. 이런 조직이 경험하는 데이터 침해 중 28%는 랜섬웨어와 파괴적 공격 때문이었다.
또 랜섬웨어에 대해선 몸값을 지불해선 안 된다고 되어 있지만 이번 보고서에선 다시한번 이를 부각했다. 조사에 따르면 랜섬웨어 피해자가 몸값을 지불하는 걸 선택하면 지불하지 않는 걸 선택했을 경우와 비교해 침해 비용 감소는 평균 61만 달러 밖에 차이가 없었다.
이 감소분에는 몸값 자체가 포함되어 있지 않기 때문에 IBM은 랜섬웨어 피해자가 고액 몸값을 요구하는 걸 감안하면 몸값을 지불하는 것만으론 효과적인 전략이라고 할 수 없다는 걸 시사한다고 지적했다. 또 랜섬웨어 공격에서 요구되는 몸값 금액은 해마다 증가하고 있다. 예를 들어2021년 대형 PC 제조사 에이서가 랜섬웨어 공격 당시 지불한 몸값은 5,000만 달러다.
이번 보고서에선 그 밖에 대상 조직 43%는 클라우드 보안 대책에 미숙하고 충분한 클라우드 보안을 강구한 조직보다 데이터 침해 비용이 평균 66만 달러 높았다고 한다. 또 보안 AI와 자동화를 도입한 조직은 없는 조직보다 데이터 침해 비용이 평균 305만 달러 적어 AI와 자동화에 의해 데이터 침해 비용이 크게 줄일 수 있는 것으로 나타났다.
이런 점에 대해 IBM 측은 기업은 보안 방어에서 공세로 전환해 공격자를 이길 필요가 있다며 이제 적대자 목표 달성을 저지하고 공격 영향을 최소화하기 위해 움직일 때라고 말한다. 기업이 탐지와 대응에 투자하지 않고 방어선 구축이 약할수록 데이터 침해 비용 상승을 조장할 것이며 랜섬웨어 등 공격을 염두에 둔 적극적 대응이 요구된다고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.