Offcanvas

랜섬웨어 / 보안 / 악성코드

"피싱메일 손실 비용, 직원 연봉으로 따지면..." 오스터만 리서치

2022.10.24 Apurva Venkat  |  CSO
오스터만 리서치에 따르면 기업의 보안 전문가가 각 피싱 이메일을 처리하는 데 걸리는 시간은 평균 60분에 달하며, 이를 연봉으로 환산하면 인당 4만 5천 달러에 육박한다.  
 
ⓒDepositphotos

피싱 공격이 증가함에 따라 이에 대응하는 데 많은 비용이 드는 것으로 밝혀졌다. 오스터만 리서치(Osterman Research)의 새로운 보고서는 피싱 공격의 직접적인 피해액보다 기회 비용을 조명했다. 설문조사에 따르면 IT 및 보안 팀은 총 업무 시간 중 무려 3분의 1에 달하는 시간을 피싱 공격 대응에 쓰고 있다. 구체적인 피해액을 추산하자면 피싱 이메일 한 개에 평균 2.84달러에서 85.33달러 사이의 처리 비용이 발생한다고 보고서는 밝혔다.   

이 보고서가 조명한 피해액은 피싱으로 인한 직접적 피해 비용이 아니라 IT 및 보안 팀의 생산성 손실을 기준으로 한다. 

기업은 이메일 인프라에서 확인된 각 피싱 이메일을 처리하는 데 평균 16~30분을 소비한다고 보고서는 밝혔다. 이 보고서는 이메일 보안업체 아이언스케일스(Ironscales)가 의뢰했다.

오스터만 리서치는 2022년 6월 미국의 IT 및 보안 전문가 252명을 대상으로 설문 조사를 실시했다. 

이안 토마스 아이컨스케일스 제품 마케팅 담당 부사장은 "매일 특정 기업을 공격하는 피싱 이메일의 수는 회사가 속한 산업과 지역을 포함한 무수한 요인에 따라 천차만별이다"라고 말했다.  
 

피싱메일의 '진짜' 피해 비용 셈법 

오스터만 리서치는 IT 및 보안 팀의 피싱 처리 비용을 계산하고자 IT 및 보안 전문가에게 제공되는 평균 급여 및 혜택을 파악했다. 이를 위해 매주 기업에서 피싱에 대처하는 데 시간을 할애하는 기업의 직군을 바탕으로 함수를 만들었다.

직군은 IT 보안 관리자, IT 관리자, 이메일 보안 관리자, 보안 관리자, 이메일 보안 관리자, SOC 관리자 및 SOC 애널리스트 등이 있다. IT 및 보안 전문가의 급여 및 복리후생 비용은 연간 136,528달러, 즉 시간당 68.26달러인 것으로 추산됐다. 

"피싱 이메일 당 평균 비용은 분 단위 범위의 중간 지점에 시간당 평균 비율을 곱하여 계산했다. 예를 들어 '5-15분' 범위의 중간 점은 10분이므로 10분은 68.26달러 = 11.38달러다. 46~60분 범위의 중간 점은 52.5분이다. "'60분 이상' 옵션에서 계산 포인트로 75분을 선택했다"라고 토마스는 설명했다. 

이 계산법을 바탕으로 보고서는 기업이 피싱 이메일 당 2.84달러에서 85.33달러 사이의 비용을 지출한다고 결론지었다. 구체적인 비용은 그들이 피싱 메일을 처리하는 데 들인 시간에 따라 다르다.

기업 내 IT 및 보안 전문가의 수가 증가함에 따라 피싱 관련 활동에 대한 비용도 증가했다. 5명의 IT 및 보안 전문가로 구성된 한 기업이 현재 228,630달러의 연봉과 피싱 처리를 위한 혜택을 지급하고 있다고 보고서는 밝혔다. 이에 비해 10명의 IT 및 보안 전문가를 보유한 기업은 피싱 처리에 연간 457,260달러를 지불하고 있다. 이는 25명의 IT 및 보안 전문가를 보유한 기업의 경우 연간 114만 달러에 이를 수 있다.
 

피싱 메일 당 최대 60분 소요

이 보고서는 기업의 70%가 각 피싱 전자 메일에 16-60분을 소비한다고 명시했다. 여기에는 잠재적인 피싱 전자 메일을 처음 발견한 후 환경에서 완전히 제거할 때까지의 수명 주기가 고려됐다.  

평균적으로 피싱 관련 활동은 기업의 IT 및 보안 팀이 매주 사용할 수 있는 작업 시간의 3분의 1을 소비한다. 이는 피싱 처리를 위해 IT 및 보안 전문가 1인당 45,726달러의 급여와 혜택에 해당한다고 보고서는 지적했다. 

설문 응답자 중 3분의 1은 현재와 예상되는 수준의 피싱이 자신들에게 "위협" 또는 "극도의 위협"을 나타낸다고 생각한다고 말했다. 현재 위협 수준은 지난 12개월 동안 감소했다. 하지만 많은 기업이 원격 근무보다 피싱 위험이 낮은 사무실 근무로 다시 전환한 점을 간과할 수 없다고 보고서는 언급했다. 

또한 오스터만 리서치가 조사한 기업의 67%는 향후 12개월 동안 IT 및 보안 팀이 피싱 전자 메일에 보내는 시간이 그대로 유지되거나 증가할 것으로 예상한다고 응답했다. 

보고서는 마지막으로 "피싱 공격은 앞으로도 더 많아지고, 더 정교해지고, 전통적인 이메일 보안 탐지 기법을 더 교묘하게 피할 것입니다. 설문 조사 결과를 분석하자면 응답자들은 피싱 메일의 구체적인 공격 수법뿐만 아니라 이러한 피싱 위협을 보호할 수 있는 효과적인 솔루션에 더 관심이 있는 듯하다"라고 언급했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.