“클라우드 및 주요 인프라가 여전히 높은 위험에 노출돼 있다”
보고서에 의하면 랜섬웨어와 파괴적 공격이 주요 인프라 기업의 침해 유형 중 28%를 차지했다. 이는 글로벌 공급망을 교란시키고자 해당 부문을 표적으로 삼는 위협 행위자가 있다는 사실을 나타낸다.
이어 보고서는 美 바이든 행정부가 연방기관에 제로 트러스트 보안 모델 도입을 의무화한 사이버 보안 행정 명령을 내린 지 1년이 지났지만 이번 설문조사에 참여한 주요 인프라 기업 가운데 이를 채택했다고 밝힌 곳은 21%에 불과했다고 전했다.
클라우드 컴퓨팅 인프라는 보안이 미숙하다는 점에서 쉬운 타깃으로 꼽히고 있다. 보고서는 “43%의 기업이 초기 단계에 있거나, 클라우드 환경 전반에 보안 관행을 적용하지 않았다고 답했다. 그 결과, 보안이 성숙한 기업에 비해 평균 66만 달러 이상의 높은 침해 비용이 발생하는 것으로 조사됐다”라고 전했다.
아울러 하이브리드 클라우드를 도입한 기업(45%)의 침해 비용이 퍼블릭 또는 프라이빗 클라우드 모델만 채택하는 기업보다 낮은 것으로 드러났다. 하이브리드 클라우드의 침해 비용은 평균 380만 달러인 반면, 퍼블릭 클라우드와 프라이빗 클라우드는 각각 502만 달러, 424만 달러를 기록했다.
전반적으로 클라우드에서 침해의 45%가 발생했다. 하지만 43%의 기업은 아직 초기 단계에 있거나, 또는 클라우드 인프라를 보호하기 위한 보안 솔루션 구축을 시작하지 않았다고 답했다. 이 밖에 자격증명 유출(19%)이 데이터 침해의 주요 원인이었으며, 가장 많은 비용을 초래한 것은 피싱(16%)이었다. 피싱의 평균 침해 비용은 491만 달러에 달했다.
“침해 비용으로 가장 큰 타격을 받은 의료 부문”
의료 서비스 부문은 지난 12년 동안 침해 비용이 높았던 곳이며, 올해 침해 건당 평균 비용은 전년 대비 100만 달러 증가한 무려 1,010만 달러를 기록했다. 전 세계 평균의 2배가 넘는 수치다.
한편 보고서는 몸값을 지불한 기업의 평균 침해 비용이 지불하지 않은 기업에 비해 61만 달러 적었다고 밝혔다(지불한 몸값 제외). 하지만 소포스(Sophos)에 의하면 2021년 81만 2,000달러에 도달한 평균 몸값을 고려할 때, 몸값을 주기로 한 기업은 더 높은 총비용을 부담할 수 있다(여기서 총비용은 복구에 할당되는 자본도 포함한다).
이번 설문조사에 참여한 기업의 62%는 보안 인력이 부족하다고 밝혔으며, 이렇게 답한 곳은 인력이 충분하다고 답한 기업보다 침해 비용이 평균 55만 달러 더 많았다. 보안 AI와 자동화를 구축해 평균 305만 달러의 비용을 줄일 수 있다고 보고서는 덧붙였다.