국내 데이터 유출 사고 원인, 1위 ‘사용자 인증 정보 도용’ ⚡ Privacy Global Edge 2022 사전등록 안내
⚡ 개인정보보호법 위반한 16개 지자체에 과태료 부과
⚡ 한국기업, 2022년 데이터 유출로 기업당 43억, 3,400만원 피해
⚡ 제21회 정보보호대상 공모 안내
|
|
|
개인정보보호 전문가들의 축제 'Privacy Global Edge & Asia Privacy Bridge Forum 2022'가 10월 13일(목) 여의도 전경련회관에서 개최됩니다. 지금 사전등록을 서둘러주세요!. |
|
|
한국 기업, 2022년 데이터 유출로 기업당 43억 3,400억 피해
국내 데이터 유출 사고 원인, 1위 '사용자 인증 정보 도용'
IBM 시큐리티는 한국을 포함한 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’를 발표했는데요.
지난 1년간 전 세계 기업, 데이터 유출로 평균 435만 달러 손실 기록연구에 따르면, 지난 1년간 전 세계 기업이 데이터 유출로 인해 평균 435만 달러의 손실을 기록했어요. 이 수치는 지난 17년간 조사한 결과 가운데 최고 피해액 수치이에요. 한국 기업 역시 지난 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억 3,400만원 상당의 사상 최대 피해액을 기록했어요.
이번 보고서는 전 세계 550개 기업 및 조직이 경험한 실제 데이터 유출 사례를 심층 분석했어요. 조사에 따르면 최근 2년간 보안 사고로 인한 관련 비용이 12.7% 늘어났어요. 이에 보고서는 이러한 비용 상승이 최종 재화 및 서비스 가격 인상을 야기할 수 있다는 점을 지적했어요. 실제로 조사에 참여한 기업의 60%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 답했어요.
더불어 이번 보고서는 데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다는 점을 조명했어요. 조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 총 비용 중 절반 가까운 금액은 사건 발생 1년 이후에 나타나는 등, 기업 비즈니스에 오랫동안 후유증을 남기는 것으로 드러났어요.
한국의 경우, 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순으로, 지난해에 이어 올해도 세 산업 분야가 데이터 보안 위협으로 인해 가장 많은 손실을 본 것으로 드러났어요.
국내 데이터 유출 사고 원인, 1위 ‘사용자 인증 정보 도용’
국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았고, ‘클라우드 구성 오류’와 ‘제3자 소프트웨어의 취약성 공격’이 뒤를 이었다고 해요.
데이터 유출 피해 규모에는 기업의 보안 성숙도가 영향을 미쳤어요. 보고서에 따르면, 제로 트러스트 접근 방식을 도입하지 않은 국내 기업의 피해액은 약 50억원에 달한 한편, 이를 도입 후 성숙기에 접어든 기업의 피해액은 약 38억원을 기록해 선제적인 보안 투자가 실제 금전적인 피해 규모를 낮출 수 있었던 것으로 나타났어요. 한국 기업 10 중 8곳 이상(81%)은 제로 트러스트 접근 방식의 성숙기에 도달했거나 또는 과도기를 지나고 있어 대다수가 보안의 중요성을 인지하고 있는 것으로 드러났어요.
이 밖에도 이번 보고서가 발표한 글로벌 기업의 데이터 유출 대비 보안 실태는 다음과 같아요.
보안 인공지능(AI) 및 자동화로 수백만 달러 비용 절감
보안 AI 및 자동화를 완전히 구현했다고 답한 기업들은 그렇지 않은 기업 대비 평균적으로 305만 달러의 데이터 유출 비용을 절감했다고 밝혔어요.
응답 기업 중 43%는 클라우드 환경 전반에 걸쳐 보안 전략을 적용하지 않거나 이제 막 시작하는 단계라고 응답했어요. 이러한 기업은 클라우드 보안 전략을 채택한 기업 대비 평균 66만 달러 높은 피해액을 기록했어요. 기업이 가장 많이 사용 중인 IT 인프라 모델은 바로 하이브리드 클라우드 모델(45%)인 것으로 나타났는데, 하이브리드 클라우드 인프라 모델을 채택한 기업의 피해액은 평균 380만 달러인 한편, 단일 퍼블릭 또는 프라이빗 클라우드를 활용하는 기업의 피해액은 각각 평균 502만 달러, 424만 달러 상당에 달했어요.
협상이 능사가 아니다
랜섬웨어 피해로 인해 공격자에 몸값을 지불하기로 결정한 기업의 피해액은 그렇지 않은 기업 대비 단 61만 달러 적은 것으로 나타났어요. 이 수치가 몸값 자체 금액을 포함하지 않은 점을 고려하면, 천문학적인 몸값까지 고려할 경우 단순히 몸값을 지불하는 것은 효과적인 전략이 아니라는 점을 시사해요.
보고서는 데이터 유출로 인한 재정적 영향을 최소화하기 위해 제로 트러스트 보안 모델 채택을 통해 민감한 데이터에 대한 무단 액세스를 방지하고, 보안 오케스트레이션·자동화·대응(SOAR) 및 확장된 탐지 및 대응(XDR)에 투자해 탐지 및 대응 시간을 개선할 것을 권장했어요.
김강정 한국IBM 보안사업부 총괄 상무는 “이번 보고서를 통해 점차 많은 국내 기업이 유연한 클라우드 인프라와 현대적인 보안 기술의 중요성을 인지하고 위협에 선제적으로 대응하고 있다는 점을 다시 한번 확인할 수 있었다”며, “복잡한 하이브리드 멀티클라우드 환경에서는 여러 시스템 상에서 데이터를 공유하고 데이터 보안 작업을 중앙 집중화하는 역량을 갖춘 적극적인 보안 방어 체계를 구축하는 것이 그 어느 때보다 중요하다”고 당부했어요
|
|
|
개인정보보호법 위반한 16개 지자체에 과태료 부과
안전조치 의무 위반 등에 따른 과태료 등 처분
개인정보보호위원회는 법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 개인정보보호 의무를 철저하게 준수할 필요가 있다는 점을 고려해 출범 이후 공공기관에 대해 과태료 부과 등 엄격한 조치를 취해오고 있어요. 이번 점검은 ‘텔레그램 n번방’ 사건 등 지자체에서 개인정보 유출·악용 등의 우려가 지속적으로 제기됨에 따라 지자체들의 개인정보관리 실태를 확인하기 위해 착수했고요.
전체 지자체 중 사회복무요원의 개인정보 처리 관련 사전점검 결과 및 개인정보 수준진단 미흡기관 등을 종합적으로 고려, 20개 지자체를 선정해 조사됐어요. 특히, 무분별한 계정 공유, 과도한 권한 부여 등으로 개인정보 남용이 일어나지 않도록 개인정보 처리시스템의 접근권한 관리, 접근통제 부분이 중점적으로 점검됐다고 합니다.
지자체 개인정보관리 실태 점검 결과는?
20개 지자체 중에서 16개 기관이 개인정보보호법 내 안전조치 의무(보호법29조)를 위반한 것으로 확인됐어요. 주요 내용을 살펴보면,
○ 개인정보처리자의 책임 추적성을 확보하기 위한 접근권한 관리 항목 12개 기관 위반
* 개인정보 취급자 별로 사용자 계정을 발급하지 않고 공통 계정을 공유해 사용 7건
* 개인정보 취급자가 바뀌었음에도 종전 취급자의 접근권한을 말소하지 않음 4건
* 개인정보 취급자의 접근 권한 부여/변경/말소 기록을 보관하지 않음 3건
○ 인가받지 않은 자의 개인정보처리시스템에 접근통제 항목은 6개 기관 위반
* 외부에서 개인정보처리시스템 접속 시, 안전한 접속/인증 수단을 적용하지 않음 5건
* 개인정보처리시스템 접속기록을 월 1회 이상 점검하지 않음 4건
* 개인정보 저장 시, 안전한 암호 알고리즘을 사용하지 않음 2건
* 일정시간 시스템 미접속 시, 자동으로 접속이 차단되도록 기술적 조치를 하지 않음 2건
* 인터넷주소(IP) 분석 등을 통해 불법적인 개인정보 유출 시도를 탐지/대응하지 않음 1건
개인정보보호 법규를 위반한 16개 기관의 위반 정도에 따라 기관별로 300만 원에서 360만 원까지 과태료를 부과하고, 적발된 기관의 직원들을 교육하고 재발방지 대책을 마련하는 등의 시정조치를 이행할 것을 권고했어요.
과태료 처분, 적절한가?
2021년 9월, 정부법안 발의에 따른 개인정보보호법에서 공무원이 개인정보 유출 시 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있어요. 하지만, 정당한 권한을 가진 자의 고의 유출의 경우에는 적발이 어렵고 개인정보 침해에 대한 시정 권고 업무를 담당하는 개인정보보호위원회가 징계를 권고할 수는 있으나, 현행 법상 실제 기관 내 징계나 형사처벌에 대한 법적 근거가 없다는 어려움이 있어요.
공공부문 유출사고, 왜 이렇게 많아?
개인정보보호위원회 실태조사 보고서에 따르면,
○ 공공부문 보유 개인정보 규모 방대
- 현재 230개 이상의 공공기관이 100만 명 이상의 개인정보 보유.
공공부문 정보시스템 1만 6000여 개
- 중앙정부 운영 대규모 개인정보처리시스템에 다수의 지방자치단체가 접속하는 등
이용체계가 복잡해 관리가 매우 어려움.
- 보안시스템 구축 예산과 전문인력, 효과적인 관리체계와 제재수단 미흡.
개인정보보호 전담부서가 있는 기관은 3.8%, 전담인력은 0.5명에 불과
개선 대책은?
지난 7월, 관계부처 합동으로 '공공부문 개인정보 유출 방지대책'을 발표, 취급자 계정 발급을 엄격하게 하고 접근 권한을 최소화하며 고의 유출 및 부정 이용 공직자에 대한 '원 스트라이크 아웃' 제도를 도입했어요. 또한, 위험이 큰 집중관리 정보시스템에 대해서는 접속기록관리시스템 도입을 의무화하고, 정보시스템을 구축할 경우 개인정보 영향평가 예산을 필수 반영하며, 시스템 감리 시 개인정보보호 점검을 강화하도록 했고요. 다만, 적정인력 배치가 권고에 머문 점이 아쉽다는 지적도 있어요.
<과거 관련 기사>
|
|
|
과학기술정보통신부와 한국정보보호산업협회에서 기업의 정보보호 인식제고 및 자율적인 정보보호 실천 장려 등을 위해 매년 정보보호 모범 실천기업․개인을 선정하여 시상하고 있습니다. 공모에 대한 자세한 내용은 KISIA 홈페이지에서 확인할 수 있으며, 10월 24일(월)까지 이메일로 접수 가능합니다!
|
|
|
(사)한국침해사고대응팀협의회(CONCERT)
서울시 서초구 서초중앙로 56, 블루타워 7F
|
|
|
|
|
