보안

[딜라이트닷넷] 한국 기업, 1년간 보안사고로 수백만달러 손실… 20%만 예방

이종현 기자

[IT전문 미디어 블로그=딜라이트닷넷]

ⓒ클라우드플레어

한국 기업이 지난 1년간 사이버보안 사고로 수백만달러의 손실을 입었다는 조사 결과가 나왔다. 또 조사에 응한 한국 기업 중 61%는 지난 1년간 사이버보안 사고를 경험했다고 답했으며 예방하기 위한 준비가 돼 있었다고 한 곳은 20%에 불과한 것으로 나타났다.

콘텐츠 전송 네트워크(CDN) 및 사이버보안 서비스를 제공 중인 클라우드플레어는 아시아태평양 지역의 사이버보안 현황을 조명한 ‘미래를 위한 보안: 아태지역 사이버보안 준비성 조사’ 보고서를 발표했다.

해당 보고서는 한국을 포함한 아태지역의 사이버보안 준비성에 대한 최신 데이터를 공유한다. 갈수록 증가하는 사이버보안 사고에 조직들이 어떻게 대처하고 있는지, 대비 수준은 어느 정도인지, 어떤 결과를 경험하고 있는지 등에 대해 다뤘다.

조사에 따르면 한국 응답자 61%는 지난 1년간 사이버보안 사고를 경험한 것으로 나타났다. 이중 36%는 10건 이상의 사이버보안 사고를 경험했는데, 주로 웹공격(50%)과 분산서비스거부(DDoS) 공격(50%), 피싱(46%), 내부자 위협 및 인증정보 탈취(38%)로 발생한 것으로 확인됐다. 가장 많은 사고를 겪은 분야는 게임, 여행, 관광 및 숙박업, 교육 분야다.

국내에서 사이버보안 사고가 빈번하게 발생하고 있음에도 사전 준비는 미흡한 수준이라는 것이 클라우드플레어의 진단이다. 한국 응답자의 20%만이 평소 사이버보안에 충분히 대비하고 있다고 답했고, 실제로 준비성 부족으로 인해 수백만달러의 비용이 발생하고 있다고 지적했다.

응답자의 72%는 지난 1년간 최소 100만달러 이상의 재정적 영향을 받았으며 대기업은 46%가 최소 200만달러 이상의 재정적 영향을 받았다고 답했다. 사이버보안 사고로 인해 영향을 받은 분야는 재무제표뿐만이 아닌데, 응답자들은 금전적인 손실 외에도 직원 데이터 손실(59%), 고객 및 클라이언트 데이터 손실(47%), 독점 지식 손실(44%) 등에도 영향을 미쳤다.

사이버보안 대비 측면에서는 한국 응답자의 52%가 조직 전체 정보기술(IT) 예산의 11~20%를 사이버 보안에 할당하고 있다고 답했다. 하지만 사이버보안 대비와 관련해 조직이 직면한 가장 큰 과제로는 61%가 자금 부족을 꼽았으며, 인재 부족이 48%로 그 뒤를 이었다. 전체 IT 예산의 21% 이상을 사이버 보안에 투자하는 산업은 에너지, 공공 서비스 및 천연자원 산업(38%), 여행, 관광 및 숙박업(32%), 그리고 소매업(27%) 순이었다.

김도균 클라우드플레어 한국 지사장은 “많은 조직들이 복잡한 사이버 보안 문제에 직면하고 있는 지금, 단순히 관련 지출을 늘리거나 제품을 확장하는 것만으로는 최상의 결과를 얻기 어려운 상황”이라며 “조직의 의사결정자들이 사이버 보안을 필수 전략 요소로 인식할 수 있도록 지원하는 강력한 보안 문화를 구축하는 것이 중요하다”고 강조했다.

한화의 데이터 유출을 협박 중인 록빗의 다크웹 웹사이트. 18일까지 협상에 응하지 않을 경우 모든 데이터를 공개하겠다고 한 상태다.

데이터 유출을 겪을 경우 그 피해는 개별 기업에 국한되지 않는다. 이는 최근 발생한 한화솔루션 데이터 유출 사고에서도 확인할 수 있다. 한화솔루션은 랜섬웨어 그룹 록빗(LockBit)에 의해 데이터 유출을 겪었다. 록빗은 총 864기가바이트(GB), 70만4372개 파일을 보유 중이라고 밝혔다. 한화솔루션의 중국 법인에서 데이터 유출이 발생한 것으로 추정되는 중이다.

록빗이 한화의 데이터라며 샘플로 공개된 것은 한자 및 영문으로 돼 있는 도면, 엑셀파일, 계약서류 등이다. 록빗은 한화솔루션이 세계협정시(UTC) 기준 9월18일까지 협상에 응하지 않을 경우 데이터를 모두 공개하겠다고 공표한 상태인데, 유출 샘플 데이터 중에는 포스코와의 기밀유지 협약(Confidentiality Agreement) 문서도 포함돼 있다.

한화솔루션은 2022년 기준 매출액 9조6863억원, 당기순이익 1조593억원을 기록했다. 그리고 한화솔루션의 정보보호현황 공시에 따르면 2022년 정보보호 투자액은 60억원이다. 매출대비 정보보호 투자액 비율은 0.06%에 불과하다.

[이종현 기자 블로그=데이터 가드]

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널