“침해는 피할 수 없다” 침해 이후 복원력 확보가 조직 생존 가른다

데이터 유출의 비용은 단정하기 어렵지만, 기업이 공격과 정보 노출의 피해자가 되는 사례가 증가함에 따라 그로 인한 재정적 영향은 점차 명확해지고 있다.

업종이나 규모에 관계없이 현대 기업에게 데이터 유출의 재정적 충격은 상당하다. IBM의 ‘2025년 데이터 유출 비용 보고서’에 따르면, 2024년 3월부터 2025년 2월까지 전 세계 평균 데이터 유출 비용은 9% 감소한 444만 달러로, 5년 만에 처음으로 하락세를 기록했다.

IBM은 이 같은 하락의 배경으로 기업 내부 보안팀과 서비스팀의 대응 역량, 그리고 생성형 AI 및 자동화 도입에 따른 유출 탐지 및 차단 속도 개선을 꼽았다.

IBM 후원으로 포네몬연구소가 수행한 이번 보고서는 전 세계 600개 기업의 데이터 유출 사례를 분석한 결과이다. 유출을 탐지하고 차단하며 서비스까지 복구하는 데 걸리는 평균 시간은 241일로, 전년보다 17일 단축됐다.

헬스케어 산업은 모든 업종 중 가장 높은 평균 유출 비용인 742만 달러를 기록했으나, 2024년 대비 235만 달러 감소하며 비용 절감 효과도 확인됐다.

가장 흔한 유출 원인은 피싱 공격(16%)이었으며, 공급망 침해(15%)는 계정 정보 탈취를 제치고 두 번째 주요 공격 벡터로 부상했다.

전직 FBI 방첩 요원이자 현재 NeXasure.ai의 국가 안보 전략가인 에릭 오닐은 CSO와의 인터뷰에서 “유출 비용은 다양한 변수-유출 범위, 소송, 복구 작업, 운영 중단, 평판 훼손, 규제 벌금-로 인해 정확한 산정이 불가능하다”면서, “IBM 수치는 업계 동향을 파악하는 데 유용하지만 어디까지나 추정치”라고 지적했다.

CSO가 인터뷰한 여러 전문가는, 사이버보안 역량 부족, 공급망 취약성, 고도화되는 위협 환경을 데이터 유출의 비용 증가와 대응 어려움의 주된 요인으로 꼽았다.

전 세계 비용 추이

전 세계 평균 비용이 감소한 반면, 미국 기업은 2025년 기준 1,022만 달러로 전년 대비 9% 증가하며 예외적인 양상을 보였다.

IBM 후원 보고서에 따르면 규제 벌금 강화와 유출 탐지 비용 상승이 미국의 비용 증가에 주요 원인이 된 것으로 나타났다.

중동 지역(사우디아라비아 및 아랍에미리트 포함)은 조사 대상 16개국 중 두 번째로 높은 평균 유출 비용인 729만 달러를 기록했다.

캐나다(4만 8,400만 달러)와 영국(4만 1,400만 달러)은 여전히 가장 큰 피해를 입은 상위 10개국 안에 포함됐다. 동남아시아국가연합(ASEAN, 3만 6,700만 달러)과 호주(2만 5,500만 달러), 인도(2만 5,100만 달러)도 상위 15위에 포함됐다.

헬스케어 업계는 여전히 단연코 침해당할 경우 평균 비용이 가장 높은 산업으로, 7만 4,200만 달러를 기록했다. 이는 지난해의 9만 7,700만 달러에서 감소한 수치다.

공격자는 여전히 이 업계의 환자 개인정보(PII)를 중요하게 여기며 지속적으로 노리고 있다. 이 정보는 신원 도용, 보험 사기, 기타 금융 범죄에 활용될 수 있다. 헬스케어 침해는 탐지 및 차단에 평균 279일이 소요돼, 전 세계 평균보다 5주 이상 더 길었다.

산업별 평균 침해 비용

산업	2025년	2024년	변화
헬스케어	7만 4,200만 달러	9만 7,700만 달러	-24%
금융	5만 5,600만 달러	6만 800만 달러	-8.6%
산업	5만 달러	5만 5,600만 달러	-10%
에너지	4만 8,300만 달러	5만 2,900만 달러	-8.7%
기술	4만 7,900만 달러	5만 4,500만 달러	-12%
제약	4만 6,100만 달러	5만 1,000만 달러	-9.7%
전문 서비스	4만 5,600만 달러	5만 800만 달러	-10%
엔터테인먼트	4만 4,300만 달러	4만 900만 달러	+8.3%
미디어	4만 2,200만 달러	3만 9,400만 달러	+7.1%
호텔·숙박업	4만 300만 달러	3만 8,200만 달러	+5.5%

침해 후 평판 손상, 여전히 가장 큰 비용 요인

수치로 측정하기 어려운 면이 많지만, 평판 손상은 침해 이후 발생하는 중대한 비용으로 남아 있다. 포레스터의 수석 애널리스트 앨리 멜렌은 CSO와의 인터뷰에서 “결국 고객 신뢰는 무너뜨리기는 매우 쉽지만, 쌓기는 매우 어렵다”라고 지적했다.

UST의 최고 사업 책임자 밥 듀타일은 다음과 같이 동의했다. “데이터 침해 비용은 일반적으로 시장에서의 경쟁 구도 변화라는 형태로 나타난다. 기업은 자사 브랜드가 더 이상 동일한 가격 프리미엄을 확보하지 못하고, 고객 전환 비용은 높아지며, 시장 점유율이 줄어든다는 사실을 깨닫게 된다. 상장사의 경우, 이러한 비용 영향은 단기적으로 주가 변동에 반영된다.”

듀타일에 따르면, 미국 내 중견 기업이 25만 건 미만의 경미한 침해 사고를 겪을 경우, 계획 수립에 적절한 금액은 8,000만~1억 달러 수준이다. 이 중 약 3분의 1은 평판 손상으로 인한 비즈니스 손실이다.

사이버 보험 한계, 비용 전가 현실화

보험사들은 보장 범위를 더욱 제한하고 있어, 보험에 가입된 상태에서도 기업이 일부 침해 관련 비용을 스스로 부담하게 되는 상황이 발생하고 있다.

포레스터의 멜렌은 사이버 공격 이후 보험을 통해 재정적으로 완전히 회복할 수 있다는 생각은 환상에 불과하다고 지적했다. 멜렌은 “현실적으로 보험은 어떤 형태의 사이버 공격에도 관련된 모든 비용을 보장하지 않는다”면서 “현재 일부 보험사는 랜섬웨어 공격조차 보상 항목에서 제외하고 있다”라고 설명했다.

코얼파이어의 힉스는 또 다른 고려 요소로, 사이버 보험사는 일반적으로 승인된 서비스 제공업체 목록을 가지고 있다고 언급했다. 여기에는 법률 자문사, 포렌식 기업 등이 포함된다.

힉스는 “만약 사용 중인 업체가 보험사의 목록에 없다면, 이를 포함시키기 위해 협의하거나 제공업체를 변경해야 할 수 있다”면서 “이는 비용 상승으로 이어질 수 있는데, 기업은 기존 거래 업체와의 협업량을 기반으로 최대 할인을 받고 있기 때문”이라고 설명했다.

랜섬웨어 피해 기업, 점점 몸값 지급 거부

지난해 랜섬웨어 공격을 받은 기업 중 63%가 몸값 지급을 거부했으며, 이는 전년도(59%)보다 증가한 수치다. 그럼에도 불구하고, 랜섬웨어 사고의 평균 비용은 여전히 5만 800만 달러에 달했다.

또한 법집행기관에 범죄 사실을 신고한 랜섬웨어 피해 기업 비율도 감소했다. 올해는 40%가 신고했으나, 이는 전년도의 53%보다 낮은 수치다.

보안 인력 부족, 침해 비용 증가의 주요 원인

사이버보안 인력 부족은 수년째 업계를 괴롭혀온 문제다. 올해 보고서에 따르면, 전체 기업의 48%가 심각한 보안 인력 부족을 겪고 있다고 응답했으며, 이는 지난해의 53%에서 소폭 감소한 수치다.

IBM의 최신 보고서에 따르면, 보안 인력 부족은 데이터 침해 비용을 증폭시키는 가장 큰 요인 중 하나로, 인력 부족으로 인한 추가 비용은 평균 1만 5,700만 달러에 달했다.

멜렌은 인력 부족이 침해 비용 증가로 이어지는 만큼, 기업은 침해 사고 대응 미숙이 직원에게 미치는 영향을 심각하게 고려해야 한다고 경고했다.

멜렌은 “기업이 직원이나 고객을 보호할 수 없다는 인식이 생기거나, 침해 책임을 직원에게 전가하는 태도를 보인다면, 직원은 이직을 고민하게 될 수밖에 없다”면서 “이는 적대적인 업무 환경으로 비칠 수 있다”라고 분석했다. 이어 “기업은 스스로 책임을 인식하고, 직원과 고객 모두를 보호해야 할 의무가 있다”라고 강조했다.

침해 비용 절감 1위 전략은 데브섹옵스

보고서에 따르면, 침해 비용을 줄이는 데 가장 효과적인 전략은 데브섹옵스 방식의 소프트웨어 개발이었다. 그 뒤를 이어 생성형 AI 및 머신러닝 기반 인사이트 활용, SIEM(보안 정보 및 이벤트 관리) 플랫폼을 통한 위협 탐지 및 대응이 상위 요인으로 꼽혔다.

기업 5곳 중 1곳(20%)은 허가받지 않은 생성형 AI 도구 사용으로 인한 보안 사고로 침해를 겪었다고 보고했다. 보고서는 섀도 생성형 AI 사용이 공급망 침해 및 보안 시스템 복잡성과 함께 침해 비용 증가의 주요 원인으로 부상하고 있다고 분석했다.

보안 인력 및 역량 부족에 직면한 최고정보보안책임자(CISO)는 점점 더 AI 및 자동화 기술을 활용해 이러한 격차를 해소하려 하고 있다.

보안 자동화와 생성형 AI, 침해 비용 절감에 효과

IBM의 최신 보고서에 따르면, 보안 생성형 AI 및 자동화 도구를 사용하는 기업은 침해당할 때 평균 2만 2,200만 달러의 비용을 절감한 것으로 나타났다. 이는 2023년의 1만 7,600만 달러 대비 증가한 수치다.

영국 내에서는 이러한 기술을 보안 운영 전반에 광범위하게 도입한 기업이 연간 침해 비용을 3만 1,100만 파운드까지 낮췄으며, 이는 기술을 사용하지 않은 기업의 평균 비용인 3만 7,800만 파운드보다 훨씬 낮았다. 이러한 기술을 적극 도입한 영국 기업은 전체의 3분의 1에도 못 미치지만, 지난해보다 소폭 증가했다.

영국 기업 중 보안 생성형 AI 및 자동화를 폭넓게 활용한 곳은 데이터 침해 탐지 평균 시간(MTTI) 148일, 차단 평균 시간(MTTC) 42일로, 기술을 활용하지 않은 기업보다 침해 대응 시간을 42일 단축한 것으로 나타났다(비사용 기업: 탐지 168일, 차단 64일).

생성형 AI는 실시간으로 대량의 데이터를 분석하고, 의심스러운 행위를 탐지하며, 경우에 따라 애널리스트보다 먼저 즉각적인 차단 조치를 취할 수 있다.

쿼럼 사이버의 위협 인텔리전스 애널리스트 크레이그 와트는 “이 차이는 수 시간 내 대응과 수일 내 대응 사이의 간극이며, 궁극적으로 비용 절감 효과를 만든다”라고 설명했다. 다만 그는 “생성형 AI가 침해 자체를 없애는 것은 아니다”라고 덧붙였다.

와트는 이어 “자동화는 시간을 벌어주긴 하지만, 현재로선 전체적인 재정적 피해를 억제하는 데까지는 이르지 못하고 있다”라고 분석했다.

위협 인텔리전스 플랫폼 기업 소크레이더(SOCRadar)의 CISO인 엔사르 셰커는 보안 생성형 AI와 자동화가 탐지, 차단, 복구 시간을 단축시켜 침해 대응 속도를 높이는 데 효과적이라고 설명했다.

셰커는 “AI 기반 위협 탐지와 자동화된 대응 워크플로우를 통합한 기업은 사고 수명 주기를 대폭 단축할 수 있으며, 이는 손실 범위를 제한함으로써 침해 비용에 직접적인 영향을 미친다”라고 밝혔다.

그러나 셰커는 이러한 이점이 모든 기업에 동일하게 적용되지는 않는다고 경고했다. “성숙한 프로세스나 적절한 데이터 파이프라인이 없는 기업은 생성형 AI가 약속하는 실질적인 효과를 제대로 누리지 못하는 경우가 많다”라고 지적했다.

AI 관련 보안 침해

현 시점에서 기업의 생성형 AI 인프라 자체를 겨냥한 보안 사고는 제한적이다. 평균적으로 13%의 기업이 생성형 AI 모델이나 애플리케이션과 관련된 침해를 보고했다. 그러나 해당 사고를 경험한 기업의 97%는 AI 접근 제어가 미흡했던 것으로 나타났다.

가장 흔한 보안 사고는 AI 공급망에서 발생했으며, 여기에는 손상된 앱, API, 플러그인 등이 포함된다. 이러한 사고는 연쇄적인 피해로 이어질 가능성이 크며, 실제로 60%는 데이터 유출, 31%는 운영 중단으로 확산됐다.

침해 비용을 관리하는 핵심은 사전 대비

침해 이후 보안에 투자하겠다고 응답한 글로벌 기업 비율은 2025년 49%로, 2024년의 63%에서 크게 줄었다. 침해 후 투자를 계획한 기업 중 절반도 안 되는 비율만이 생성형 AI 기반 보안 솔루션이나 서비스를 중점적으로 고려하고 있는 것으로 나타났다.

침해의 구체적인 비용 규모와 무관하게, 전문가는 사전 준비가 침해 피해 완화의 핵심이라고 입을 모았다.

빠른 사고 대응이 침해 비용 절감의 핵심 요인

UST의 밥 듀타일은 “빠른 사고 대응은 여전히 침해 비용을 낮추는 명확한 핵심 요인”이라며 “가장 큰 손실은 오랜 기간 탐지되지 않거나, 대응이 느리거나 비효율적인 경우에 발생한다”라고 강조했다.

포레스터의 멜렌은 현대 보안은 ‘사후 대응’을 전제로 한 사고 수용 관점을 필요로 한다고 지적했다. 결국 데이터 침해는 언제든지 발생할 수 있다는 현실을 인식해야 한다는 것이다.

멜렌은 “그러한 전제하에, 기업은 어떻게 대응할 것인지, 그리고 어떻게 더 빠르고 효과적으로 복원력을 구축할 것인지 고민해야 한다”면서 “이 문제는 단지 보안 부서만의 과제가 아니며, 기업 전체가 관여해야 한다”라고 설명했다.

이어 “마케팅 부서는 어떤 메시지를 낼 것인지, 영업 부서는 어떻게 고객을 대응할 것인지 등 기업 전반이 침해 이후 고객에게 신뢰를 회복하고 진정성 있게 조치하고자 하는 의지를 보여주는 방식을 사전에 고려해야 한다”라고 덧붙였다.

dl-itworldkorea@foundryco.com

John Leyden editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지