데이터 유출, 사이버 공격보다 취급부주의탓

지난해 전 세계에서 발생한 데이터 유출 사고의 상당수는 사이버 공격보다 취급 부주의 때문인 것으로 조사됐다.

13일 시만텍은 시장조사업체 포네몬 인스티튜트와 공동으로 '2013 글로벌 데이터 유출 피해 분석 보고서'를 발표하면서 이 같이 설명했다.

이 보고서는 지난해 실제 데이터 유출 사고를 경험한 미국, 영국, 프랑스, 독일, 이탈리아, 인도, 일본, 호주, 브라질 등 9개국 총 277개 기업의 임직원들을 대상으로 10개월간 심층 인터뷰 및 설문조사를 진행해 작성됐다. 이중 10만건 이상의 데이터가 유출된 '메가 데이터 유출 사건'은 제외됐다.

보고서에 따르면 지난해 발생한 데이터 유출 사고의 3분의 2는 사용자 실수(35%)와 시스템 오류(29%) 때문으로, 37%을 차지한 사이버 공격보다 높은 것으로 나타났다.

유출 사고의 주 원인은 임직원들의 기밀 데이터 취급 부주의, 시스템 관리 부재, 업계 및 정부 규제 위반 등으로 확인됐다.

데이터 유출에 따른 피해액은 데이터 건당 평균 136달러(약 15만원)로 2011년 130달러 대비 소폭 증가했다. 이 중 보건, 금융, 제약 분야의 경우 타 산업에 비해 피해규모가 약 70% 더 많은 것으로 나타났다. 반면 강력한 보안 전략과 대응 계획을 갖춘 기업들은 오히려 피해가 감소하는 경향을 보였다.

이 조사에서 데이터 유출 사고의 64%는 사용자 실수와 시스템 오류 때문인 것으로 확인됐다. 또한 애플리케이션 장애, 의도치 않은 데이터 덤프, 데이터 전송시 논리상의 오류, 계정이나 인증 오류, 데이터 복구 오류 등을 포함한 시스템 오류 역시 데이터 유출의 주요 원인으로 밝혀졌다.

데이터 유출 사고의 37%를 차지한 사이버 공격은 조사 대상 9개국 모두 이로 인해 가장 큰 피해를 입었다고 답했다. 특히 미국은 데이터 건당 277달러(약 31만원), 독일은 214달러(약 24만원)에 달하는 손실을 입었다. 반면 브라질은 71달러 (약 8만원), 인도는 46달러(약 5만원) 손실에 그쳤다. 또한 사이버 공격을 받을 가능성이 가장 높은 국가는 독일로 나타났고 호주와 일본이 그 뒤를 이었다.

지난해 전 세계적으로 데이터 유출에 따른 고객 데이터 건당 피해액은 전년보다 증가했으나 미국과 영국 기업들은 강력한 보안 전략과 포괄적인 사고 대응 계획 및 최고정보보안책임자(CISO) 임명으로 데이터 유출에 따른 피해를 최소화했다. 특히 미국과 프랑스는 데이터 유출 복구 컨설턴트를 채용하는 등 손실을 줄이기 위한 노력을 기울인 것으로 나타났다.

조사 결과 데이터 유출로 인한 피해가 국가마다 다른 것으로 나타났다. 그 이유는 기업이 직면한 위협의 유형과 각 국가마다 정보보호관련 법이 다르기 때문으로 분석된다.

오래 전부터 개인정보보호와 사이버 보안 강화를 위한 법률을 시행해 온 독일, 호주, 영국 및 미국의 경우 데이터 유출로 인핸 손실 규모가 큰 것으로 나타났다. 독일은 데이터 건당 평균 199달러(약 22만원), 미국은 평균 188달러(약 21만원)을 기록했다. 데이터 유출 건당 총 피해액 면에서도 미국은 540만달러(약 61억원), 독일은 480만달러(약 54억원)에 달했다.

포네몬 연구소의 래리 포네몬 회장은 외부 사이버 공격자와 날로 진화하는 공격 방식은 기업에 큰 위협이 되고 있지만 내부자에 의한 보안 위협 역시 이에 못지 않게 파괴적이고 위험할 수 있다며 8년째 전 세계 데이터 유출 사고를 분석해 온 결과 오늘날 기업들이 직면하고 있는 가장 시급한 보안과제는 내부 임직원들이라고 밝혔다.