2015.06.09

'154달러 대 58센트' 데이터 가치는 건당 얼마로 봐야할까?

Maria Korolov | CSO
해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러?


이미지 출처 : Branson Convention and Visitors Bureau


사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다.

그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까?

154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다.

58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다.

포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다.


IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 후원한 회사다.

발로우는 "데이터를 해킹당한 기업은 고객들에게 해킹 발생 사실을 공지해야 하고 신용 모니터링에 대한 비용을 지불해야 한다"고 밝혔다.

"버라이즌은 좋은 회사다. 하지만 58센트로는 우편 요금과 인쇄 비용도 감당할 수 없기 때문에 이번에는 좀 문제가 있어 보인다"고 그는 반박했다.

보험 청구는 얼마나 유용할까?
일반적으로 기업들은 해킹의 전체적인 비용을 보장할 수 있는 보험에 가입하지 않았고 보험에는 간접 비용이나 비즈니스 손실이 포함되지 않는다고 포네몬 연구소의 회장 겸 창업자 래리 포네몬은 밝혔다.

예를 들어, 타겟(Target)의 최근 해킹 사건으로 10억 달러 이상의 비용이 발생한 것으로 추산되지만 보험은 1억 달러 수준에 불과했다고 포네몬은 말했다.

그는 일반적으로 기업들이 고정 자산의 가치의 50%에 해당하는 보험에 가입하지만 지난 달 공개된 포네몬이 진행하고 국제 보험 중개기업 에이온(Aon Plc)이 후원한 연구에 따르면 디지털 자산의 가치의 12%에 해당하는 수준만 보험에 가입하고 있다고 말했다.

또한 포네몬은 기업들이 일반적으로 보험료의 비용을 낮추기 위해 공제를 마련하고 있다고 말했다.

"이 때문에 보험금을 비용 대신에 사용할 때 오류가 발생하는 것이다"고 그는 말했다.

하지만 뉴욕에 위치한 버라이즌의 뉴욕 RISK팀 소속 애널리스트인 제이 제이콥스는 기업들이 사이버 자산 중 일부를 보험에 가입하고 있지 않다는 증거는 존재하지 않는다고 반박했다.

그는 기업들이 일부를 보험에 가입하고 있지 않다면 청구를 제기할 때 범위의 한계에 부딪힐 가능성이 높다고 말했다.

제이콥스는 "그 한계는 대략 50만 달러나 100만 달러쯤 된다"며 "이런 근사치는 패턴으로 나타난다"고 말했다.

또 그는 그 한계가 대규모 해킹 사건에서만 차이를 보이며 이런 것들이 포네몬의 보고서에서는 제외되었다고 말했다.




2015.06.09

'154달러 대 58센트' 데이터 가치는 건당 얼마로 봐야할까?

Maria Korolov | CSO
해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러?


이미지 출처 : Branson Convention and Visitors Bureau


사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다.

그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까?

154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다.

58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다.

포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다.


IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 후원한 회사다.

발로우는 "데이터를 해킹당한 기업은 고객들에게 해킹 발생 사실을 공지해야 하고 신용 모니터링에 대한 비용을 지불해야 한다"고 밝혔다.

"버라이즌은 좋은 회사다. 하지만 58센트로는 우편 요금과 인쇄 비용도 감당할 수 없기 때문에 이번에는 좀 문제가 있어 보인다"고 그는 반박했다.

보험 청구는 얼마나 유용할까?
일반적으로 기업들은 해킹의 전체적인 비용을 보장할 수 있는 보험에 가입하지 않았고 보험에는 간접 비용이나 비즈니스 손실이 포함되지 않는다고 포네몬 연구소의 회장 겸 창업자 래리 포네몬은 밝혔다.

예를 들어, 타겟(Target)의 최근 해킹 사건으로 10억 달러 이상의 비용이 발생한 것으로 추산되지만 보험은 1억 달러 수준에 불과했다고 포네몬은 말했다.

그는 일반적으로 기업들이 고정 자산의 가치의 50%에 해당하는 보험에 가입하지만 지난 달 공개된 포네몬이 진행하고 국제 보험 중개기업 에이온(Aon Plc)이 후원한 연구에 따르면 디지털 자산의 가치의 12%에 해당하는 수준만 보험에 가입하고 있다고 말했다.

또한 포네몬은 기업들이 일반적으로 보험료의 비용을 낮추기 위해 공제를 마련하고 있다고 말했다.

"이 때문에 보험금을 비용 대신에 사용할 때 오류가 발생하는 것이다"고 그는 말했다.

하지만 뉴욕에 위치한 버라이즌의 뉴욕 RISK팀 소속 애널리스트인 제이 제이콥스는 기업들이 사이버 자산 중 일부를 보험에 가입하고 있지 않다는 증거는 존재하지 않는다고 반박했다.

그는 기업들이 일부를 보험에 가입하고 있지 않다면 청구를 제기할 때 범위의 한계에 부딪힐 가능성이 높다고 말했다.

제이콥스는 "그 한계는 대략 50만 달러나 100만 달러쯤 된다"며 "이런 근사치는 패턴으로 나타난다"고 말했다.

또 그는 그 한계가 대규모 해킹 사건에서만 차이를 보이며 이런 것들이 포네몬의 보고서에서는 제외되었다고 말했다.


X