Offcanvas

How To / 랜섬웨어 / 보안

숨은 비용이 990냥··· 보안 임원을 위한 랜섬웨어 피해액 추정법

2018.05.31 Jaikumar Vijayan  |  CSO


예를 들어, 병원은 환자를 치료할 수 없고, 기술 공급업체는 서비스를 제공할 수 없다. 또 운송업체는 운송을 할 수 없고, 긴급 구조원은 긴급 구조 활동을 할 수 없다. 2016년 11월, 랜섬웨어 공격이 샌프란시스코 대중 교통 시스템 가운데 일부의 매표 시스템 가동을 정지시켰다. 샌프란시스코 시 정부는 보안 엔지니어들이 문제를 고치는 하루 동안 대중 교통 요금을 받을 수 없었다.

다나히는 “경영진과 임원들은 시스템 가동 중단이 비즈니스에 미치는 영향을 토대로 각 시스템의 다운타임 때문에 발생하는 비용을 모델화해야 한다. 샌프란시스코의 랜섬웨어 공격 사고는 이에 대한 교훈을 알려주는 사례다”라고 말했다.

다운타임 때문에 발생하는 비용은 또 있다. 예를 들어, IT 및 보안 담당 직원들이 문제 해결에 시간을 투자해야 하는 데, 이 동안 다른 정상(일상) 업무를 처리하지 못한다. 이 또한 비용이다.

랜섬웨어 공격으로 ‘다운스트림’에 발생하는 비용
기업들이 간과하는 경향이 있는 비용 중 하나는 공급업체와 서드파티에 초래되는 영향이다. 센티넬원의 글로벌 랜섬웨어 보고서에 따르면, 미국 내 서드파티 공급업체 가운데 랜섬웨어 공격에 영향을 받았다고 대답한 비율이 46%에 달한다.

또 생산성 상실, 재무적인 손실을 입었다고 대답한 파트너와 공급업체 비율도 각각 35%와 23%이다. 서드파티가 더 큰 영향을 받은 국가도 있다. 프랑스이다. 멜로는 “랜섬웨어의 ‘낙수 효과’ 때문에 파트너와 공급 사실이 광범위하게 영향을 받을 수 있다. 그런데 이를 간과하는 경우가 많다”라고 지적했다.

기업 평판에 초래되는 비용
라스트라인(Lastline)의 공동 창업자가 겸 최고 아키텍트인 엔진 키르다에 따르면, 측정과 추정이 가장 어려운 비용 항목 중 하나는 평판 손상 및 하락과 관련된 비용이다. 예를 들어, 금융기관은 고객들의 신뢰가 아주 중요하다.

보스턴 소재 노스이스턴 대학(Northeastern University)의 교수이기도 한 키르다는 “대부분 사이버 위협에 대한 준비와 대비가 잘 되어 있다고 가정을 한다. 그런데 고객들이 랜섬웨어 공격이나 사이버위협에 대한 소식을 듣게 되면, 이런 조직을 신뢰하지 않게 된다”라고 말했다.

대형 침해 사고가 발생한 기업들은 규제 감독이 강화되고, 큰 벌금이 부과되곤 한다. 센티넬원의 멜로에 따르면, 상장 기업의 경우 투자자들이 공격 소식을 듣고 주식을 매각하면서 주가가 하락할 수도 있다. 그는 옥스포드 이코노믹스(Oxford Economics)가 몬트리올 소재 CGI의 의뢰를 받아 수행한 2017년의 연구 결과를 예로 들었다.

이 연구 결과에 따르면, 심각한 보안 침해 사고가 발생한 65개 상장 기업의 주가는 평균적으로(그리고 영구적으로) 약 1.8%가 하락했다. FTSE(Financial Times Stock Exchange) 100 지수의 전형적인 기업들의 경우 영구적인 시가총액 상실액이 1억 6,000만 달러에 달한다.

키르다는 “민감한 사용자 데이터가 다수 유출된 사실이 언론에 보도되는 것이 문제가 되지 않는 기업은 존재하지 않는다. 이렇게 평판에 초래되는 피해와 비용은 막대하다”라고 말했다.

랜섬웨어 공격으로 인한 데이터 침해 비용
랜섬웨어 공격으로 보호된 데이터에 부적절한 액세스가 이뤄지지 않았다는 확증이 없는 한, 이를 데이터 침해 사고로 분류해 보고 및 신고해야 한다. 침해 사실을 알리는 비용, 위기 커뮤니케이션 비용이 발생한다는 이야기다.

법과 규정 위반에 따라 벌금을 내야 할 수도 있다. 또 소송이 제기될 수도 있다. 그러면 이와 관련된 비용이 발생한다. 규제 당국이 철저히 조사를 할 수도 있다. 그 결과 연방이나 주 정부 당국이 부과한 의무를 준수해야 하면서 비용이 발생한다.

다나히는 “규제가 엄격한 산업의 경영진과 임원들은 변호사와 컴플라이언스(규제 준수 팀을 만나 공개해야 할 랜섬웨어 공격인지, 영향을 받은 사용자에게 알려야 하는지 파악해 결정해야 한다”라고 말했다. 랜섬웨어 감염이 컴플라이언스와 관련된 사건이 되는 경우가 늘어나고 있는 추세이다. 다니히는 “이 경우, 아주 큰 비용이 발생할 수 있다”라고 말했다. ciokr@idg.co.kr 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.