보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

“숨겨진 비용이 더 크다” 사이버 공격이 비즈니스에 미치는 영향 심층 분석

사이버 공격의 빈도와 강도가 갈수록 높아지고 있다는 데 반박할 사람은 거의 없을 것이다. 지금까지 대부분의 조직이 사이버 사고를 최소 한 번 이상은 겪었다. 그런데 이러한 사고를 겪은 조직은 그 사고가 조직에 미친 영향을 온전히, 완벽하게 파악하고 있을까? 일반적으로 데이터 유출과 관련하여 발생하는 직접적인 비용은 "숨겨진 비용"에 비하면 미미한 수준이라고 할 수 있다.

 

 


사실 이 "숨겨진" 비용은 사이버 공격이 조직 비즈니스에 미치는 전체 영향의 90%에 이르기도 하는데, 대부분의 경우 사건이 발생하고 2년 이상이 지난 후부터 드러나기 시작한다. 최근 딜로이트 어드바이저리(Deloitte Advisory)는 "사이버 공격의 표면 아래: 비즈니스에 미치는 영향 심층 분석" 연구를 통해 다음과 같은 사항을 발견했다.

딜로이트가 파악한 사이버 공격의 비즈니스 영향은 14가지로 나뉜다. 이러한 각 영향은 "표면 위", 즉 명확히 알려진 사고 비용과 "표면 아래", 즉 숨겨지거나 잘 보이지 않는 비용의 두 가지 범주로 다시 분류된다. 각 범주마다 7가지 영향이 포함된다.

딜로이트에 따르면 현재 시장은 사이버 사고의 비용을 극히 과소평가하고 있다. 비율로는 훨씬 더 작은 표면 위의 잘 드러나는 영향에만 집중하기 때문이다.

딜로이트 앤드 투쉬 LLP(Deloitte & Touche LLP) 파트너이자 딜로이트 어드바이저리 사이버 위험 서비스 부문 책임자인 에밀리 모스버그는 "경영진이 잠재적인 영향을 제대로 파악하지 못하는 이유는 비즈니스를 원상복구하는 데 어떤 어려움을 겪는지에 대해 일반적으로 서로 공유하지 않기 때문"이라며 "그동안 사이버 공격의 영향에 관한 정확한 그림이 없었고 따라서 기업들은 필요한 위험 태세(risk posture)를 제대로 갖추지 못하고 있다"고 말했다.

모스버그는 "논의는 대부분 어떤 취약점이 존재하며 기술적인 영향은 무엇인가에 집중되고 있다"면서 "침해 사실 통보, 그리고 침해 후 보호 메커니즘이라는 극히 좁은 범위에 집중되어 있을 뿐 폭넓은 영향은 무시되고 있는 것으로 보인다"고 덧붙였다.

딜로이트는 사이버 공격의 더 큰 그림을 볼 것을 제안한다.

모스버그는 "이 부분이 과소평가되었다는 생각은 하고 있었다. 다만 우리가 예상하지 못한 부분은 표면 아래의 실질적인 영향이 상당하다는 점, 그리고 사이버 사고에 대한 일반적인 논의에서 이 부분이 빠져 있다는 점"이라고 설명했다.

딜로이트는 사이버 공격의 모든 영향을 보여주기 위해 두 가지 가상의 사례 연구를 제시하고 5년에 걸쳐 각 요소에 손실 금액을 할당했다. 14가지 비즈니스 영향은 다음과 같이 분류된다.


표면 위, 명확히 알려진 사이버 사고 비용

• 침해 사실 고객 통보
• 침해 후 고객 보호
• 규제 기관 명령 이행(벌금)
• 언론 대처/위기 커뮤니케이션
• 법률 비용 및 소송
• 사이버 보안 개선
• 기술 조사

표면 아래, 숨겨지거나 잘 보이지 않는 비용
• 보험료 상승
• 차입을 위한 비용 증가
• 운영 중단
• 고객 관계 가치 손실
• 손실된 계약 수익 가치
• 상표명의 평가 절하
• 지적 재산(IP) 손실

위의 모든 영향 영역 중에서 가장 큰 부분은 운영 중단이다.

EMT 컨설팅(EMT Consulting)의 사장 겸 수석 컨설턴트이며 SIM 사이버보안 그룹 회원인 에릭 토마스는 "각 조직마다 받는 영향은 다르지만 업종별로 공통적인 핵심 영역이 있다. 예를 들어 소매에서는 신용카드 데이터가 가장 중요하다. 의료보건에서는 PIN(개인 식별 정보)이다. 제조업체에게는 지적 재산 손실에 따른 영향이 가장 크다. 그러나 어느 조직에서든 가장 과소평가되는 영향은 바로 비즈니스 중단"이라고 말했다.

토마스는 "시기와 기간에 따라 다르지만 비즈니스 중단은 금전적 피해, 수익 감소, 차입 비용, 고객 서비스, 브랜드 인식, 미래 기회 등에 광범위한 영향을 미칠 수 있다"고 말했다.
국립 아이다호 연구소(Idaho National Laboratory)의 최고 정보 보안 책임자인 대런 반 부벤 역시 같은 생각이다.

반 부벤은 "가장 큰 유형적 영향은 가장 먼저 느끼는 영향, 즉 사고 대응의 경제적인 비용"이라면서 "공격에 대한 억제 및 대응, 침해 조사, 언론 대처, 벌금, 신용 모니터링 서비스, 그러한 공격을 쉽게 반복할 수 없도록 하기 위해 방어를 강화하는 데 사용되는 백엔드 비용 등이다. 중간 규모에서 대규모 조직의 경우 이 비용은 수백만 달러에 이르는 경우가 많다"고 말했다.

그러나 그 외의 무형적인 비용도 있다. 반 부벤은 이 무형적 비용이 "조직이 속한 업종, 조직의 규모, 사고의 특성과 같은 여러 가지 요인에 따라 달라진다"면서 "정보를 충분히 보호할 수 있는 역량의 손실도 여기 포함될 수 있는데, 이에 대해 대량 제조 분야와 금융 분야의 고객은 각기 다르게 반응할 것"이라고 말했다.

반 부벤은 "이와 같은 비용은 측정하기가 어렵지만 투자자, 고객 또는 주요 비즈니스 파트너가 사고에 깊게 연루되는 경우 상당히 커질 수 있다"고 설명했다.

RSA의 수석 기술 책임자인 줄피카 람잔은 사이버 공격의 영향을 가장 크게 받는 5가지 영역을 비즈니스 연속성 저해, 지적 재산 도난, 고객 및 직원 정보와 같은 민감한 데이터의 손실, 규제 기관 명령 이행에 따른 비용, 평판 하락으로 분류한다.

람잔은 "이 5가지의 순서는 조직의 특성과 속한 업종에 따라 달라진다. 비즈니스 연속성에 미치는 영향과 같은 일부 영역은 정량화하기 쉽다. 그러나 평판 하락, 지적 재산 도난 등 금전적 손실을 정확히 계산하기 어려운 요소도 있다"고 말했다. 

 


영향에 따른 비용
계산하기 어렵다고 하지만 딜로이트 분석가들은 시도해 보기로 하고, 보고서에서 사이버 공격을 받은 두 가상의 회사를 만들어 모든 영향에 대한 비용 값을 첨부했다.

둘 중 한 사례는 의료보건 조직의 사고다. 이 조직에게 의료보건 소프트웨어를 공급하는 업체에서 280만 건의 개인 건강 정보(PHI) 기록이 저장된 노트북이 도난되면서 데이터 유출 사건이 발생했다. 14가지 영향 요소를 기반으로 계산한 이 침해 사건의 총 비용은 16억 7,900만 달러다. 세부 항목은 다음과 같다.


표면 위
침해 사실 고객 통보 = 6개월. 1,000만 달러(총 비용의 0.6%)
침해 후 고객 보호 = 3년. 2,100만 달러(총 비용의 1.25%)
규제 기관 명령 이행 = 2년 동안 200만 달러(총 비용의 0.12%)
언론 대처/위기 커뮤니케이션 = 첫 해에 100만 달러(총 비용의 0.06%)
법률 비용 및 소송 = 5년. 1,000만 달러(총 비용의 0.6%)
사이버 보안 개선 = 첫 해 동안 1,400만 달러(총 비용의 0.83%)
기술 조사 = 1주일 동안 100만 달러(총 비용의 0.06%)


표면 아래
보험료 증가 = 3년 동안 4,000만 달러(총 비용의 2.38%)
차입을 위한 비용 증가 = 6,000만 달러(총 비용의 3.57%)
운영 중단 = 3,000만 달러(총 비용의 1.79%)
고객 관계 가치 손실 = 3년 동안 4억 3,000만 달러(총 비용의 25.61%)
손실된 계약 수익 가치 = 3년 동안 8억 3,000만 달러(총 비용의 49.43%)
상표명의 평가 절하 = 5년 동안 2억 3,000만 달러(총 비용의 13.7%)
지적 재산(IP) 손실 = 손실 비용 첨부되지 않음

그렇다면 조직은 이러한 잠재적 손실을 방지하기 위해 무엇을 해야 할까? 모스버그는 4가지 영역에 집중할 것을 권장했다.

모스버그는 궁극적으로 조직이 무엇을 개선해야 하는지 파악하기 위한 4가지 영역을 제시했다. 첫 째는 프로그램적 요소, 즉 조직의 전략과 거버넌스, 정책, 절차, 프레임워크를 살펴보고, 전체적인 프로그램과 관련하여 수정해야 할 공백이 있는지 확인해야 한다.

둘째는 조직의 예방적 보안 통제 수단과 태세를 확인한다. 데이터와 시스템, 환경, 그리고 무엇보다 비즈니스를 보호하기 위한 조치가 마련되어 있는지를 확인하는 것이다. 셋째는 지속적으로 환경을 파악하고 모니터링하기 위해 무엇을 하고 있는지를 살핀다. 시스템 내에서 일어나는 활동을 로깅하기 위한 적절한 도구를 갖고 있는지, 정상적인 범위를 벗어나는 활동을 분석하기 위한 적절한 분석 방법을 확보했는지를 확인한다.

마지막은 대처할 준비가 되었는지, 회복력이 있는지 여부다. 사고에 대처하기 위한 프로세스가 마련되어 있는지, 이러한 프로세스와 계획을 사전에 테스트했는지, 경영진을 포함하여 이를 전파할 대상이 누구인지 알고 있는지가 중요하다.