해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러?이미지 출처 : Branson Conventio
사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다.
그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까?
154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다.
58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다.
포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다.
IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 후원한 회사다.
발로우는 “데이터를 해킹당한 기업은 고객들에게 해킹 발생 사실을 공지해야 하고 신용 모니터링에 대한 비용을 지불해야 한다”고 밝혔다.
“버라이즌은 좋은 회사다. 하지만 58센트로는 우편 요금과 인쇄 비용도 감당할 수 없기 때문에 이번에는 좀 문제가 있어 보인다”고 그는 반박했다.
보험 청구는 얼마나 유용할까?
일반적으로 기업들은 해킹의 전체적인 비용을 보장할 수 있는 보험에 가입하지 않았고 보험에는 간접 비용이나 비즈니스 손실이 포함되지 않는다고 포네몬 연구소의 회장 겸 창업자 래리 포네몬은 밝혔다.
예를 들어, 타겟(Target)의 최근 해킹 사건으로 10억 달러 이상의 비용이 발생한 것으로 추산되지만 보험은 1억 달러 수준에 불과했다고 포네몬은 말했다.
그는 일반적으로 기업들이 고정 자산의 가치의 50%에 해당하는 보험에 가입하지만 지난 달 공개된 포네몬이 진행하고 국제 보험 중개기업 에이온(Aon Plc)이 후원한 연구에 따르면 디지털 자산의 가치의 12%에 해당하는 수준만 보험에 가입하고 있다고 말했다.
또한 포네몬은 기업들이 일반적으로 보험료의 비용을 낮추기 위해 공제를 마련하고 있다고 말했다.
“이 때문에 보험금을 비용 대신에 사용할 때 오류가 발생하는 것이다”고 그는 말했다.
하지만 뉴욕에 위치한 버라이즌의 뉴욕 RISK팀 소속 애널리스트인 제이 제이콥스는 기업들이 사이버 자산 중 일부를 보험에 가입하고 있지 않다는 증거는 존재하지 않는다고 반박했다.
그는 기업들이 일부를 보험에 가입하고 있지 않다면 청구를 제기할 때 범위의 한계에 부딪힐 가능성이 높다고 말했다.
제이콥스는 “그 한계는 대략 50만 달러나 100만 달러쯤 된다”며 “이런 근사치는 패턴으로 나타난다”고 말했다.
또 그는 그 한계가 대규모 해킹 사건에서만 차이를 보이며 이런 것들이 포네몬의 보고서에서는 제외되었다고 말했다.
포네몬은 자체 보고서가 5,000~100,000개 기록 규모의 해킹만을 다루고 있다고 인정했다.
하지만 그는 그 이유가 수백만 달러 규모의 대형 해킹 사건은 여전히 상대적으로 드물고 다양한 종류의 분석이 필요하기 때문이라고 말했다.
예를 들어, 더 많은 기록들에서 고정 비용을 분할하면 기록당 비용은 더 낮아질 것이라고 그는 주장했다.
“이런 데이터 해킹에 관한 모델을 구축하기 위해 더 많은 데이터 포인트(Data Point)가 필요하다”고 그는 말했다. 이어서 포네몬은 “조금씩이긴 하지만 그렇게 될 것이다. 그렇게 나아가고 있다. 하지만 아직까지 이런 거대 규모의 데이터 해킹이 발생한 기업들이 벤치마킹에 충분히 참여하고 있지 않다”고 전했다.
포네몬은 현재까지 11개 기업이 참여하고 있으며, 유의미한 결과를 얻기 위해서는 최소 30개 기업이 필요하다고 밝혔다.
직/간접 비용
포네몬에 따르면, 해킹이 발생했을 때 기업들이 부담해야 하는 다양한 간접 비용이 존재한다. 예를 들어, 해킹 사건에 대응하기 위해 직원들을 동원하면서 동시에 그들의 공백을 메워야 한다.
기업 손실도 상당하기 때문에 데이터 해킹의 전체 비용 중 일부가 증가하게 된다. 고객 이탈 증가, 고객 확보 비용 증가, 평판 및 영업권 피해 등의 총 비용이 전 해의 133만 달러보다 높은 기업당 157만 달러를 기록했다.
“우리는 실제 비용에 기초해 분석 모델을 구축하는데 많은 시간을 보낸다”고 포네몬은 강조했다.
그는 이 부분이 보험 데이터에는 나타나지 않지만 해킹 사건이 발생했을 때 기업들에 발생하는 가장 높은 비용이라고 말했다.
제이콥스는 “간접 비용에 문제가 있으며 이 때문에 보험사들은 간접비를 보상하지 않는 것이다”고 반박했다.
“정량화 하기란 정말 어렵다”고 그는 말했다.
제이콥스는 “버라이즌이 해킹 비용을 전혀 고려하지 않은 이유는 근거가 약한 숫자에만 관심이 쏠려 있기 때문”이라고 지적했다.
그는 버라이즌이 연례 해킹 보고서에서 법적으로 구속력이 있는 표준에 따른 실제 사건, 실제 범죄 과학적 분석, 그리고 해킹에 대해 실제 사람들이 제기한 청구 데이터를 수집한다고 밝혔다.
“전반적인 접근방식은 무결성이 매우 높기 때문에 의견과 설문조사가 아닌 개방적이고 솔직한 데이터를 확보할 수 있다”고 말했다.
특히, 그는 대규모 해킹 사건의 경우 실제 비용이나 기록이 사실은 미미할 수도 있다고 지적했다.
“따라서 기록당 평균 비용을 논하는 것이 무의미하다”고 제이콥스는 말했다. “우리가 기록당 58센트라는 수치를 공개한 이유는 그것이 얼마나 무의미한지 입증하기 위해서였다”고 그는 덧붙였다.
통계적 유효성
마지막으로 포네몬은 버라이즌의 회귀 분석이 흥미롭기는 하지만 반드시 통계적으로 대표성을 띠지도 않는 극소수의 데이터 포인트에 기초하고 있다고 지적했다.
“하지만 버라이즌의 데이터 해킹 조사 보고서의 내용은 흥미롭다”고 말하면서 그는 해킹 자체의 범죄 과학적 분석에 초점을 둔 버라이즌의 데이터 해킹 보고서의 핵심을 언급했다. 포네몬은 버라이즌이 앞으로 이 부분에 초점을 두어야 한다고 조언했다.
“그들은 그 구조를 유지해야 한다”고 포네몬은 말했다.
포네몬의 의견에 대해 제이콥스는 “정말 말도 안 되는 이야기”라고 말했다. “우리는 191개의 샘플을 조사했으며 이런 샘플 규모로 회귀 분석이 불가능할 수가 없다. 191개면 상당히 양호한 수준이다. 그 말은 정말 무지에서 비롯된 잘못된 표현이다”고 그는 설명했다. dl-ciokorea@foundryco.com
