2013.06.19

277 곳의 데이터 누출 사고 분석 '포네몬 보고서 브리핑'

Thor Olavsrud | CIO

데이터 누출 사고가 발생하면 해커와 범죄 단체가 헤드라인을 차지하곤 한다. 그러나 대부분의 데이터 누출은 사람의 실수와 애플리케이션 오류, 예기치 못한 데이터 덤프, 데이터 전송 과정에서의 논리 오류 등 시스템의 결함이 원인이다. 즉 데이터 누출 사고를 방지하는 가장 중요한 부분 중의 하나는 직원 교육을 통해 사소한 실수가 없도록 하는 것이다.

시만텍과 포네몬 인스터튜트(Ponemon Institute)가 발표한 새 연구 결과에 따르면, 2012년 발생한 데이터 누출의 64%가 사람의 실수와 시스템 문제가 원인이었다.

보안 연구 씽크탱크인 포네몬 인스터튜트의 설립자이자 대표인 래리 포네몬은 "외부의 해커와 진화하는 해킹 기법이 기업에 큰 위협이 되는 것은 사실이다. 그러나 내부와 관련된 위협도 이에 못지 않게 파괴적이다. 8년 동안의 데이터 누출 연구는 현재 기업이 직면한 가장 절박한 문제 가운데 하나가 직원들의 행위임을 보여주고 있다. 처음 조사 시점 이후 22%가 증가했다"라고 말했다.

데이터 누출을 줄이기 위한 핵심은 교육
시만텍의 로버트 해밀톤 제품 마케팅 디렉터는 "가장 큰 원인을 감안할 때, 데이터 누출을 줄이기 위한 핵심은 직원 교육이다. 2가지 방법이 있다. 보안 인식을 제고하는 트레이닝을 하고 데이터 손실 방지 등의 기술을 도입하는 것이다. 우리는 이를 직원 교육으로 분류하고 있다. 중요한 것은 실시간으로 대응해야 한다는 것이다. 데이터 전송을 차단하는 것이 아니라 직원을 교육시켜야 한다는 의미다"고 말했다.

조사에 따르면 탄탄한 보안 및 사고 대처 계획을 수립해 이행하고, 최고보안책임자(CISO)를 임명하는 방법으로 데이터 누출에 따른 비용을 약 20% 줄일 수 있다.

시만텍 정보 보안 그룹의 아닐 차크라바라시 부사장은 "탄탄한 보안 및 사고 대처 계획을 수립해 이행하는 기업들이 그렇지 않은 기업들보다 보안 침해에 따른 비용 손실이 20% 적었다. 이를 감안하면, 잘 정립되고 종합적인 대책이 아주 중요하다는 사실이 분명해진다. 기업들은 PC, 모바일 기기, 기업 네트워크, 데이터 센터 등 보관 장소와 상관 없이 고객과 관련된 중요 비밀 정보를 보호해야만 한다"라고 강조했다.

데이터 누출에 따른 비용 증가
데이터 누출로 초래되는 피해 비용이 증가하고 있는 추세다. 시만텍과 포네몬의 조사 결과에 따르면, 2011년 누출 레코드당 데이터 누출에 따른 피해 비용이 130달러였으며, 2012년에는 136달러로 증가했다.

포네몬 인스터튜트는 하버드 대학의 로버트 카플란 교수가 개발한 ABC(Activity-based costing model: 활동 기준 원가 계산 모델)을 이용해 8년간 이 벤치마크 연구를 수행했다.

포네몬의 설명에 따르면, 이 모델은 먼저 데이터 누출 사고나 연구를 가져와, 고객 신뢰도와 천(Churn), 2차 천을 직접 유지하기 위한 활동, 포렌직과 조사 활동, 사고 대응, 통지, 법, 컨설팅, 외부 커뮤니케이션, 콜 센터 활동, 고객 획득 비용 증가를 조사하는 것이다.

포네몬은 9개 국가 16개 산업의 277개 기업의 데이터 누출 사고 사례를 조사했다. 여기에는 데이터 누출 피해 비용을 잘 알고 있는 IT 컴플라이언스 및 정보 보안 책임자 1,400명과의 인터뷰가 포함되어 있다.

포네몬은 "설문 조사가 아니다. 현장을 대상으로 한 연구이다. 우리는 직접 비용과 간접 비용 모두를 포착했다. 그러나 간접 비용에 기회 비용을 포함시키지는 못했다. 측정이 불가능한 비용이기 때문이다. 상대적으로 보수적인 접근을 했다고 할 수 있다. 또 방대한 규모의 연구다. 데이터 포착을 위해 현장에서 9개월 반을 보내야 했다"고 설명했다.

한편 포네몬은 초대형 데이터 누출 사고는 대상으로 삼지 않았다고 말했다. 결과가 왜곡될 수 있기 때문이다. 포네몬 인스터튜트는 1,000~100,000 레코드 정도의 데이터 누출 사고에 초점을 맞췄다.

데이터 누출 비용이 가장 높은 국가는 독일, 그 다음은 미국
미국과 독일에서의 데이터 누출 사고가 가장 많은 비용을 야기시켰다. 레코드 당 데이터 누출 비용은 2012년 기준 미국이 188달러(2011년 194달러에서 감소), 독일이 199달러(2011년 191달러에서 증가)였다. 총 비용도 미국이 540만 달러, 독일이 480만 달러로 가장 높은 수준이었다.




2013.06.19

277 곳의 데이터 누출 사고 분석 '포네몬 보고서 브리핑'

Thor Olavsrud | CIO

데이터 누출 사고가 발생하면 해커와 범죄 단체가 헤드라인을 차지하곤 한다. 그러나 대부분의 데이터 누출은 사람의 실수와 애플리케이션 오류, 예기치 못한 데이터 덤프, 데이터 전송 과정에서의 논리 오류 등 시스템의 결함이 원인이다. 즉 데이터 누출 사고를 방지하는 가장 중요한 부분 중의 하나는 직원 교육을 통해 사소한 실수가 없도록 하는 것이다.

시만텍과 포네몬 인스터튜트(Ponemon Institute)가 발표한 새 연구 결과에 따르면, 2012년 발생한 데이터 누출의 64%가 사람의 실수와 시스템 문제가 원인이었다.

보안 연구 씽크탱크인 포네몬 인스터튜트의 설립자이자 대표인 래리 포네몬은 "외부의 해커와 진화하는 해킹 기법이 기업에 큰 위협이 되는 것은 사실이다. 그러나 내부와 관련된 위협도 이에 못지 않게 파괴적이다. 8년 동안의 데이터 누출 연구는 현재 기업이 직면한 가장 절박한 문제 가운데 하나가 직원들의 행위임을 보여주고 있다. 처음 조사 시점 이후 22%가 증가했다"라고 말했다.

데이터 누출을 줄이기 위한 핵심은 교육
시만텍의 로버트 해밀톤 제품 마케팅 디렉터는 "가장 큰 원인을 감안할 때, 데이터 누출을 줄이기 위한 핵심은 직원 교육이다. 2가지 방법이 있다. 보안 인식을 제고하는 트레이닝을 하고 데이터 손실 방지 등의 기술을 도입하는 것이다. 우리는 이를 직원 교육으로 분류하고 있다. 중요한 것은 실시간으로 대응해야 한다는 것이다. 데이터 전송을 차단하는 것이 아니라 직원을 교육시켜야 한다는 의미다"고 말했다.

조사에 따르면 탄탄한 보안 및 사고 대처 계획을 수립해 이행하고, 최고보안책임자(CISO)를 임명하는 방법으로 데이터 누출에 따른 비용을 약 20% 줄일 수 있다.

시만텍 정보 보안 그룹의 아닐 차크라바라시 부사장은 "탄탄한 보안 및 사고 대처 계획을 수립해 이행하는 기업들이 그렇지 않은 기업들보다 보안 침해에 따른 비용 손실이 20% 적었다. 이를 감안하면, 잘 정립되고 종합적인 대책이 아주 중요하다는 사실이 분명해진다. 기업들은 PC, 모바일 기기, 기업 네트워크, 데이터 센터 등 보관 장소와 상관 없이 고객과 관련된 중요 비밀 정보를 보호해야만 한다"라고 강조했다.

데이터 누출에 따른 비용 증가
데이터 누출로 초래되는 피해 비용이 증가하고 있는 추세다. 시만텍과 포네몬의 조사 결과에 따르면, 2011년 누출 레코드당 데이터 누출에 따른 피해 비용이 130달러였으며, 2012년에는 136달러로 증가했다.

포네몬 인스터튜트는 하버드 대학의 로버트 카플란 교수가 개발한 ABC(Activity-based costing model: 활동 기준 원가 계산 모델)을 이용해 8년간 이 벤치마크 연구를 수행했다.

포네몬의 설명에 따르면, 이 모델은 먼저 데이터 누출 사고나 연구를 가져와, 고객 신뢰도와 천(Churn), 2차 천을 직접 유지하기 위한 활동, 포렌직과 조사 활동, 사고 대응, 통지, 법, 컨설팅, 외부 커뮤니케이션, 콜 센터 활동, 고객 획득 비용 증가를 조사하는 것이다.

포네몬은 9개 국가 16개 산업의 277개 기업의 데이터 누출 사고 사례를 조사했다. 여기에는 데이터 누출 피해 비용을 잘 알고 있는 IT 컴플라이언스 및 정보 보안 책임자 1,400명과의 인터뷰가 포함되어 있다.

포네몬은 "설문 조사가 아니다. 현장을 대상으로 한 연구이다. 우리는 직접 비용과 간접 비용 모두를 포착했다. 그러나 간접 비용에 기회 비용을 포함시키지는 못했다. 측정이 불가능한 비용이기 때문이다. 상대적으로 보수적인 접근을 했다고 할 수 있다. 또 방대한 규모의 연구다. 데이터 포착을 위해 현장에서 9개월 반을 보내야 했다"고 설명했다.

한편 포네몬은 초대형 데이터 누출 사고는 대상으로 삼지 않았다고 말했다. 결과가 왜곡될 수 있기 때문이다. 포네몬 인스터튜트는 1,000~100,000 레코드 정도의 데이터 누출 사고에 초점을 맞췄다.

데이터 누출 비용이 가장 높은 국가는 독일, 그 다음은 미국
미국과 독일에서의 데이터 누출 사고가 가장 많은 비용을 야기시켰다. 레코드 당 데이터 누출 비용은 2012년 기준 미국이 188달러(2011년 194달러에서 감소), 독일이 199달러(2011년 191달러에서 증가)였다. 총 비용도 미국이 540만 달러, 독일이 480만 달러로 가장 높은 수준이었다.


X