IBM의 2024년 데이터 유출 비용 보고서에 따르면 전 세계 평균 유출 비용은 USD 488만 달러에 달하며, 이는 작년의 USD 445만 달러에 비해 크게 증가한 수치이며 팬데믹 이후 가장 큰 폭의 증가입니다.
금융 산업 기업의 경우 비용은 훨씬 더 높습니다. 현재 기업들은 데이터 유출을 처리하는 데 608만 달러를 지출하고 있으며, 이는 전 세계 평균보다 22% 높은 수치입니다.
올해의 데이터 유출 비용(CODB) 보고서에 대해 조직이 알아야 할 사항은 다음과 같습니다.
금융 기업은 모든 산업 중에서 두 번째로 높은 침해 비용을 기록했으며, 의료 분야 공격만이 더 높은 비용을 초래했습니다. 의료와 금융 분야 모두 대규모 침해에서 동일한 비용을 기록했으며, 5천만 건 이상의 레코드가 침해되었을 때 평균 비용은 $375백만까지 급증했습니다.
악의적인 공격은 51%로 금융 분야에서 가장 큰 공격 벡터로 남아 있었지만, IT 장애와 인적 오류는 각각 25%와 24%로 전체 공격의 4분의 1을 차지했습니다.
탐지 시간 측면에서 금융 산업 조직은 유출을 식별하는 데 평균 168일이 걸렸고, 유출을 억제하는 데 51일이 걸렸습니다. 이는 전 세계 평균인 194일, 격리 기간 64일보다는 짧지만 여전히 상당한 기간입니다.
168일은 거의 6개월이라고 할 수 있습니다. 이는 공격자가 시스템에 침투하여 정찰을 수행하고 계정을 손상시키는 데 6개월의 시간이 걸린 것입니다.
간단히 말해, 비용이 증가하고 있습니다.
2021년 금융회사의 데이터 유출로 인한 평균 비용은 572만 달러였습니다. 2022년에는 597만 달러에 달했으며 2023년에도 590만 달러로 안정적으로 유지되었습니다. 올해는 평균 침해 비용이 3% 증가했고, 5천만 건 이상의 기록적인 침해 비용은 4천만 달러 증가했습니다.
하지만 나쁜 소식만 있는 것은 아닙니다. 탐지 시간은 9일 단축되었고, 봉쇄 시간은 5일 빨라졌습니다. 또한 2024년에는 인적 오류가 크게 감소했습니다. 위에서 언급했듯이, 올해 보안 침해 근본 원인의 24%가 우발적 활동과 관련이 있었습니다. 한편, 2023년에는 이 수치가 33%였습니다.
데이터 유출 위험을 줄이기 위해 금융 회사들은 사고 대응(IR)과 ID 및 액세스 관리(IAM)에 더 많은 비용을 지출하고 있습니다. 비용을 절감하면 그 효과가 분명해집니다. IR 팀과 강력한 보안 테스트를 갖춘 기업은 연간 평균 미화 248,000달러를 절감하는 반면, IAM 솔루션을 갖춘 기업은 매년 최대 미화 223,000달러를 절감합니다.
그러나 금융 IT 투자의 가장 큰 성공 사례는 AI와 자동화입니다. 연구 데이터에 따르면 AI와 자동화를 사용하는 기업은 그렇지 않은 기업에 비해 평균 190만 달러를 절감하는 것으로 나타났습니다.
하지만 생성형 AI 이니셔티브 중 보안이 확보된 것은 24%에 불과하다는 점은 주목할 만합니다. 따라서 금융 회사는 이러한 툴을 위한 보안 프레임워크를 개발하지 않으면 AI가 추가적인 위협 벡터가 될 위험을 감수하는 것이 중요합니다.
규제 기관의 철저한 조사와 탐색해야 하는 수많은 규정 준수를 고려할 때 투자와 지능형 보안 관리는 모두 금융 회사에 매우 중요합니다.
예를 들어, 기업들은 은행비밀보호법(BSA)에 따른 자금세탁방지(AML) 규정과 사베인즈-옥슬리법에서 요구하는 업무 분리에 익숙하지만, CCPR, GDPR 및 LGPD와 같은 지역 규제로 인해 어려움을 겪을 수 있습니다. 예를 들어, GDPR에 따라 금융 기관은 전년도 매출의 최대 2% 또는 첫 번째 위반으로 이미 벌금을 받은 경우 4%의 벌금에 처해질 수 있습니다.
간단히 말하자면, 금융회사의 데이터 유출로 인한 비용은 탐지, 제거, 복구 그 이상입니다. 위협을 발견하고 제거하는 데 지연이 발생하면 초기 비용을 초과하는 추가 규제 비용이 발생할 수 있습니다.
그러나 2024년 데이터 유출 비용 보고서에서 알 수 있듯이 IR, IAM 및 AI에 대한 강력한 투자는 기업이 방어를 강화하고 비용을 절감하는 데 도움이 될 수 있습니다.
