데이터 침해 사고는 매우 비싼 이벤트입니다. 다만 눈에 보이는 피해와 숨은 피해가 혼재되어 있어 간과되기 일쑤입니다. 비용 산정이 제대로 되지 않으면 보안 투자가 적절히 이뤄지지 않고, 이는 사고 가능성을 높이는 결과로 이어집니다.
정문에 자물쇠를 단단히 걸어 잠그면 집안에 있는 귀중품이 안전하게 보호될 확률이 올라간다는 사실을 알고 있다면, 당신은 자물쇠를 채울 것인가요, 말 것인가요? 가장 논리적이며 간단한 답은 “채울 것이다”입니다.
[이미지 = unsplash]
이야기를 ‘인터넷’으로 돌려봅시다. 인터넷이라는 기술이 처음 개발되었을 때 해킹이나 보안 사과와 같은 개념은 세상에 존재하지 않았습니다. 자물쇠라는 게 세상에 없는 상태로 대문들이 만들어진 거나 다름이 없습니다. 인터넷의 개발 목적은 빠르고 편리한 정보의 공유였지, 천재적인 IT 기술자들의 다양한 공격이라는 건 상상조차 할 수 없었습니다. 시간이 흐르면서 보안 사고와 해킹 공격이 좀 더 보편적인 개념이 됐지만, 그럼에도 아직 많은 조직들이 인터넷 상의 위험에 대해 잘 이해하지 못하고 있는 듯합니다.
데이터 침해로부터 조직을 보호한다고 했을 때, 기업들은 ‘우리 회사가 진짜 공격에 당할 가능성’과 ‘우리 산업에서 발생하는 해킹 공격의 빈도(피해 규모)’에 집중하려는 경향을 보입니다. 그리고 그 궁금증을 해결하기 위해 각종 뉴스 매체들과 헤드라인을 훑습니다. 하지만 신문에 나온 소식들만으로 실제 해킹 공격의 피해 규모와 공격 가능성을 가늠하기는 매우 힘듭니다. 또한 그 두 가지 궁금증을 함께 풀어가야 하지, 산업 따로 우리 회사 따로 생각해서는 예측이라는 것이 더 부정확해집니다. 둘은 연결되어 있기 때문입니다.
사이버 보안은 ‘리스크’와 깊은 관련이 있는 개념입니다.
‘데이터 침해 사고’에 대한 방어와 대책을 고민한다고 했을 때 기업들이 가장 먼저 생각해야 할 건 ‘데이터 침해 사고가 발생했을 때 우리 회사는 얼마의 피해를 입을까?’입니다. 이 질문을 해결하기 위해서는 각종 ‘리스크 요소들’을 탐구하고, 그에 대한 비용 산정을 할 수밖에 없을 것이다. 물론 리스크에 따른 비용을 가늠하려면 우리 회사와 우리 산업의 실제 피해 가능성까지도 고려해야 하니, 위에 언급한 두 가지 질문이 마냥 쓸모 없는 것만은 아닙니다.
리스크에 대한 비용 계산이 어느 정도 나오면 그 다음부터 견적을 비교하는 게 가능해집니다. 실제 공격이 발생했을 때의 피해액과, 그러한 사건이 발생하지 않도록 하거나 피해를 최소화 하기 위해 보안에 투자하는 금액을 비교할 수 있게 된다는 것입니다. 여느 사업적 리스크를 판단하는 것과 비슷합니다. 물론 이 금액은 어디까지나 ‘예상치’이기 때문에 정확할 수는 없습니다. 이 점 역시 염두에 두어야 합니다.
하지만 대다수의 기업들이 피해액을 계산할 때 실제보다 훨씬 적은 금액을 상정하는 편입니다. 예를 들어 랜섬웨어 공격의 경우, 대부분 범인들이 요구하는 돈과 크게 다르지 않은 금액을 피해액으로 이해합니다. 실상 그 금액은 전체 피해액의 일부일 뿐인데 말이다. 복구, 사업 중단, 브랜드 신뢰도 하락, 인적 피해, 국가 안보 피해 등과 같은 ‘숨은 피해액’들을 잘 찾아내야 합니다. 물론 유형적으로 금액이 딱 나오지 않을 수 있습니다. 다만 이런 보이지 않는 피해가 발생한다는 걸 인지하는 게 중요합니다.
[이미지 = unsplash]
금전적 피해
이런 것들이 실제 외부로 빠져나가는 비용들이라면, 원래 우리 회사 계좌에 입금되었어 야하는데 되지 않는 비용들도 존재합니다. 해킹 공격 때문에 생산 시스템이 마비되었다면, 그 시간 동안 서비스나 물건이 소비자들에게 나가지 않았을 것이고, 그 만큼 수익이 줄어드는 게 당연하다. 이것도 상당히 큰 피해이고, 경우에 따라 회사 주가가 하락할 수도 있습니다.
만약 고객의 의료 정보, 개인정보, 민감 정보를 요구하거나 활용용함으로써 가장 비싼 값을 치러야 했던 건 의료 분야였습니다. 평균 피해액이 923만 달러로 계산됐습니다. 이는 전년도 조사에서보다 200만 달러하는 회사라면 데이터 유출 사고 한 방이 브랜드 신뢰도를 큰 폭으로 하락시킬 수도 있습니다. ‘내 개인정보를 제대로 간수 못하는 회사에서 물건을 살 수 없어’라고 생각하는 소비자들이 점점 늘어나고 있기도 합니다. 뿐만 아니라 데이터 침해 사고가 세상에 알려지기라도 한다면 어떨까? 잠재 고객들도 잃는 꼴이 됩니다. 이 역시 ‘원래는 발생했었어야 할 수익이 사라지는’ 유형의 피해입니다.
사회 기반시설과 국가 안보
엑스페리안(Experian)에서 최근 발표한 ‘2022 데이터 침해 산업 예상도’에 의하면 전력망이나 댐, 통신망 등과 같은 사회 기반시설을 겨냥하여 물리적이며 사회적인 피해를 일으키는 유형의 사이버 공격이 증가할 것이라고 합니다. 콜로니얼 파이프라인 사건과 같은 일이 더 많이 발생할 수 있다는 뜻입니다. 이는 콜로니얼 파이프라인이라는 조직이 입은 피해가 사회 전체의 문제로 확대된다는 뜻이기도 합니다. 콜로니얼 파이프라인이 아니라 국방 기관이나 군 무기 개발 업체였다면 어떨까요? 국가 안보 문제로까지 사태가 커집니다.
IBM과 포네몬(Ponemon)은 2020년 5월부터 2021년 3월까지 전 세계에서 발생한 데이터 침해 사고 10만 건을 분석한 결과 보고서를 발표한 바 있습니다. 산업별로 구분해서 봤을 때 데이터 침해를 허 오른 수치입니다. 하지만 의료 산업의 진짜 문제는 해킹 사고로 환자의 생명을 잃을 수 있다는 것입니다. 이는 돈으로 환산하기 어려운 피해입니다. 금액적으로만 봐도 다른 산업보다 큰 피해를 입는 게 의료 분야인데, 누군가의 생명까지도 위험해지니 해킹 사고에 대한 부담이 클 수밖에 없습니다.
데이터 침해 사고나 랜섬웨어 사건이나, 기업이 입는 피해는 천문학적으로 커지기 십상입니다. 아직 실제 피해가 발생하지 않은 기업들은 예상 피해액을 계산할 때 너그러워지려는 함정에서 벗어나야 합니다. 그렇지 않으면 실제 사건이 발생했을 때, 후속 처리 과정에서 큰 혼란에 빠질 수 있습니다. 그리고 보안에 대해 제대로 된 투자를 하기도 힘들어집니다.
‘아예 이뤄지지 않는 것보다 늦게라도 이뤄지는 게 낫다’라거나 ‘늦었다고 생각한 때가 가장 빠른 것이다’라는 말은 사이버 보안에서만큼은 위험한 교훈이 될 수 있습니다. 한 번 허용한 피해만으로도 회사 전체가 휘청거릴만한 손실이 발생할 수 있기 때문입니다. 자물쇠가 대문을 단단히 지켜주는 걸 알면서도 ‘훔쳐갈 게 없어’라며 문을 열어둘 것인가? 아니면 자물쇠 모양의 장난감을 달 것인가? 보안에 대한 투자를 감행하는 우리의 자세가 튼튼한 자물쇠를 찾는 사람의 그것과 닮은 것인지, 그 돈도 아까워하고 있는 것인지 돌아볼 필요가 있습니다.
글 : 제리 카포네라(Jerry Caponera), VP, ThreatConnect
출처 : 보안뉴스 (https://www.boannews.com/media/view.asp?idx=105041&page=1&kind=1&search=title&find=)