2017.01.16

데이터 유출로 인한 비용은 총 얼마나 들까?

Ryan Francis | CSO
최근 IBM의 한 연구에 따르면, 데이터 침해에 따른 평균 비용이 2015년 미화 380만 달러에서 지난해 400만 달러로 늘어났다. 데이터 침해에 따른 비용에 영향을 미칠 수 있는 요소는 수없이 많지만, 실제 비용이 얼마나 들지 정확히 예측하는 것은 사실상 불가능하다. 데이터 유출 계산기를 사용해 대략 얼마 정도 들지를 예측할 수도 있지만, 한가지 도구만으로는 부족하다. 

보안 업체 비트사이트(BitSight)는 향후 데이터 침해 사고에 따른 실제 비용을 계산할 때 기업들이 염두에 두어야 할 여러 가지 요소를 다음과 같이 정리했다.

지역이 어디인가? 어떤 화폐를 사용하나? 회사 규모는? 
기업이 주로 사용하는 통화의 환율과 같은 간단한 것조차도 정보보안 위반 비용에 영향을 미칠 수 있다. 제한된 고객 데이터를 취급하는(또는 고객 데이터를 전혀 취급하지 않는) 소규모 상점의 경우 데이터 침해에 따른 비용은 대기업이 경험할 수 있는 것보다 현저히 적을 수 있다.

어떤 유형의 데이터나 기록물을 보관하고 있나? 업종은? 
데이터 침해 사고가 발생해 손실되는 데이터의 유형에 따라 비용이 달라져 이는 비용이 많이 드는 가장 큰 요인 중 하나가 된다. 전자메일 주소만 잃어버렸다면 개인식별정보(PII), 민감한 고객 데이터(사회보장 번호 등), 지불카드 정보, 개인건강정보(PHI) 등을 유출해 버리는 것처럼 지급금이 크게 늘어나지 않을 것이다. 기록의 민감도가 높을수록 그에 따른 비용은 더 많이 든다. 예를 들어, 지불카드 정보를 분실한 경우 영향을 받는 사람들에게 무료 신용 모니터링을 제공해야 할 수 있다. 또는 고객의 건강 데이터를 손상시킨 경우 정부기관의 규제를 받을 수 있다.

데이터 침해의 근본 원인은? 
데이터 침해의 근본적인 원인은 유실 기록의 수나 유형에 영향을 줄 수 있으므로 비용과 관련이 있다. 포네몬 인스티튜트(Ponemon Institute)의 최근 연구에 따르면, 제 3자의 조직과 관련된 침해일 경우 더 많은 비용이 드는 것으로 나타났다.

운영 비용은? 
일단 데이터가 유출되면, 운영이 느려지거나 파괴되거나 완전히 중단될 수 있다. 유통사의 경우 매출이 감소할 수 있다. 또 서비스 기업에서는 고객 지원을 제공할 능력을 상실할 수 있다.

데이터 침해 여파는?
기업의 보안 대응 부족으로 데이터 침해 사고가 발생하면 보안 투자에 만전을 기하고자 할 수 있다. 일부 하드웨어나 소프트웨어를 파기한 후 교체하거나 보안을 업그레이드해야 할 수도 있다. 또한 일부 조직에서는 보안 전문가가 부족해 새로운 IT전문가, CIO나 CISO를 고용해야 한다는 점을 알게 될 것이다.

조사 비용은?
데이터 침해 사고를 조사하기 위해 외부 업체에 의뢰해야 한다면, 또는 FBI 같은 수사기관에 의뢰해야 한다면, 이들 서비스는 공격 규모에 따라 최대 6~7배의 비용이 들 것이다.

외부에 알려졌을 때 입을 손실은?
대규모 데이터 침해 사고가 발생해 사람들이 더는 서비스를 사용하거나 제품을 구매할 의사가 없으면 수익, 주가, 회사 평판이 모두 위태로워질 수 있다.

집단 소송을 하게 되면?
데이터 침해 사고 이후 소비자의 집단 소송이 발생하면 비용이 현저하게 증가한다. 또한, 발생한 사고가 심각하다는 것을 의미한다. 즉, 많은 기록이 손상될 경우, 상황이 매우 곤란해질 수도 있다.

매각이나 합병을 진행 중이라면?
M&A 협상 과정이라면, 비즈니스 가치 자체만을 추산할 수 있다. 가령 야후에 대규모 데이터 침해 사고가 발생했다면, 이 회사가 현재 가치는 바뀔 것이다. 버라이즌은 야후의 가치를 평가하면서 M&A를 진행할지 말지를 결정할 것이다. ciokr@idg.co.kr
 



2017.01.16

데이터 유출로 인한 비용은 총 얼마나 들까?

Ryan Francis | CSO
최근 IBM의 한 연구에 따르면, 데이터 침해에 따른 평균 비용이 2015년 미화 380만 달러에서 지난해 400만 달러로 늘어났다. 데이터 침해에 따른 비용에 영향을 미칠 수 있는 요소는 수없이 많지만, 실제 비용이 얼마나 들지 정확히 예측하는 것은 사실상 불가능하다. 데이터 유출 계산기를 사용해 대략 얼마 정도 들지를 예측할 수도 있지만, 한가지 도구만으로는 부족하다. 

보안 업체 비트사이트(BitSight)는 향후 데이터 침해 사고에 따른 실제 비용을 계산할 때 기업들이 염두에 두어야 할 여러 가지 요소를 다음과 같이 정리했다.

지역이 어디인가? 어떤 화폐를 사용하나? 회사 규모는? 
기업이 주로 사용하는 통화의 환율과 같은 간단한 것조차도 정보보안 위반 비용에 영향을 미칠 수 있다. 제한된 고객 데이터를 취급하는(또는 고객 데이터를 전혀 취급하지 않는) 소규모 상점의 경우 데이터 침해에 따른 비용은 대기업이 경험할 수 있는 것보다 현저히 적을 수 있다.

어떤 유형의 데이터나 기록물을 보관하고 있나? 업종은? 
데이터 침해 사고가 발생해 손실되는 데이터의 유형에 따라 비용이 달라져 이는 비용이 많이 드는 가장 큰 요인 중 하나가 된다. 전자메일 주소만 잃어버렸다면 개인식별정보(PII), 민감한 고객 데이터(사회보장 번호 등), 지불카드 정보, 개인건강정보(PHI) 등을 유출해 버리는 것처럼 지급금이 크게 늘어나지 않을 것이다. 기록의 민감도가 높을수록 그에 따른 비용은 더 많이 든다. 예를 들어, 지불카드 정보를 분실한 경우 영향을 받는 사람들에게 무료 신용 모니터링을 제공해야 할 수 있다. 또는 고객의 건강 데이터를 손상시킨 경우 정부기관의 규제를 받을 수 있다.

데이터 침해의 근본 원인은? 
데이터 침해의 근본적인 원인은 유실 기록의 수나 유형에 영향을 줄 수 있으므로 비용과 관련이 있다. 포네몬 인스티튜트(Ponemon Institute)의 최근 연구에 따르면, 제 3자의 조직과 관련된 침해일 경우 더 많은 비용이 드는 것으로 나타났다.

운영 비용은? 
일단 데이터가 유출되면, 운영이 느려지거나 파괴되거나 완전히 중단될 수 있다. 유통사의 경우 매출이 감소할 수 있다. 또 서비스 기업에서는 고객 지원을 제공할 능력을 상실할 수 있다.

데이터 침해 여파는?
기업의 보안 대응 부족으로 데이터 침해 사고가 발생하면 보안 투자에 만전을 기하고자 할 수 있다. 일부 하드웨어나 소프트웨어를 파기한 후 교체하거나 보안을 업그레이드해야 할 수도 있다. 또한 일부 조직에서는 보안 전문가가 부족해 새로운 IT전문가, CIO나 CISO를 고용해야 한다는 점을 알게 될 것이다.

조사 비용은?
데이터 침해 사고를 조사하기 위해 외부 업체에 의뢰해야 한다면, 또는 FBI 같은 수사기관에 의뢰해야 한다면, 이들 서비스는 공격 규모에 따라 최대 6~7배의 비용이 들 것이다.

외부에 알려졌을 때 입을 손실은?
대규모 데이터 침해 사고가 발생해 사람들이 더는 서비스를 사용하거나 제품을 구매할 의사가 없으면 수익, 주가, 회사 평판이 모두 위태로워질 수 있다.

집단 소송을 하게 되면?
데이터 침해 사고 이후 소비자의 집단 소송이 발생하면 비용이 현저하게 증가한다. 또한, 발생한 사고가 심각하다는 것을 의미한다. 즉, 많은 기록이 손상될 경우, 상황이 매우 곤란해질 수도 있다.

매각이나 합병을 진행 중이라면?
M&A 협상 과정이라면, 비즈니스 가치 자체만을 추산할 수 있다. 가령 야후에 대규모 데이터 침해 사고가 발생했다면, 이 회사가 현재 가치는 바뀔 것이다. 버라이즌은 야후의 가치를 평가하면서 M&A를 진행할지 말지를 결정할 것이다. ciokr@idg.co.kr
 

X