2015 데이터 유출 관련 비용 연구 Cost of Data... · 2015-07-01 · 2013년 이래 1인당...

2015년 데이터 유출 관련 비용 연구 :

글로벌 분석

Ponemon Institute LLC가 IBM의 의뢰로

2015년 5월에 독자적으로 수행한 벤치마크 연구

Ponemon Institute© Research Report

Ponemon Institute© 연구 보고서 1페이지

글로벌 연구 개요

11개국 350개 기업

데이터 유출 관련 총 비용 평균 379만 달러

2013년 이래 데이터 유출 관련 총 비용 23%

증가

기록 분실 또는 도난 건당 평균 비용 154달러

2013년 이래 1인당 비용 12% 증가

20151년 데이터 유출 관련 비용 연구: 글로벌 분석

Ponemon Institute, 2015년 5월

1부. 서론

2014년은 Sony Pictures Entertainment, JPMorgan Chase & Co 등에서 발생한 초대형 데이터 유출 사건

의 해로 기억될 것입니다. 대규모 온라인 공격을 받은 Sony에서는 직원의 개인 데이터 및 회사 차원에

서 주고받은 서신 내용이 유출되었습니다. JPMorgan Chase & Co.의 데이터 유출 사건은 7,600만 가구

및 700만 중소기업에 피해를 입혔습니다.

IBM과 Ponemon Institute는 ‘2015년 데이터 유출 관련 비용 연구: 글로벌 분석’ 연구 보고서를 발간하

였습니다. 본 연구에 참여한 350개 기업의 데이터 유출에 따른 평균 총 비용은 352만 달러에서 379만

달러로 증가했습니다2 . 중요 정보 및 기밀 정보가 담긴 기록의 분실 또는 도난으로 인한 평균 비용도

건당 145달러(2014년)에서 154달러(2015년)로 증가했습니다.

예전에는 경영진 및 이사회가 데이터 유출과 사이버 공격의 리스크에 안일하게 대응했던 적도 있습니

다. 하지만 이미지 실추, 집단 소송, 고비용의 다운타임 등 잠재적 피해에 대한 우려가 커지면서 경영진

은 기업의 보안 프랙티스에 더욱 관심을 갖게 되었습니다.

Ponemon Institute의 최근 연구에서는 설문에

참여한 미국과 영국의 최고경영진의 79%가 데

이터 유출에 효과적으로 대응하는 데 경영진의

참여가 필요하다고 답했습니다. 그리고 70%는

이사회 차원의 감독이 필수적이라 생각합니다.

일례로 JPMorgan Chase의 데이터가 유출된 후

CEO인 Jamie Dimon이 직접 나서 2014년 말까

지 IT 보안에 2억 5천만 달러를 투자할 뿐 아니

라 전담 인력 1,000명을 배치할 것이라고 주주

들에게 알린 바 있습니다.3

작년에 이어 본 연구에서는 어떤 기업이 향후 24개월 내에 1회 이상 데이터 유출을 겪을 가능성을 조

명합니다. Ponemon Institute는 연구에 참여한 기업의 경험을 바탕으로 두 가지 요인, 즉 대규모 기록

분실 또는 도난이 발생한 경위와 해당 기업의 업종에 근거하여 데이터 유출 가능성을 예측할 수 있다

고 확신합니다. 이러한 조사 결과에 따르면, 브라질과 프랑스의 기업은 1만 건 이상의 기록 데이터가

유출될 가능성이 더 큽니다. 반대로 독일과 캐나다의 기업은 데이터 유출 가능성이 가장 낮습니다. 모

든 경우에서 10만 건 이상의 데이터가 관련된 초대형 유출보다는 1만 건 이하의 규모로 데이터가 유출

될 가능성이 더 높습니다.

올해 연구는 미국, 영국, 독일, 호주, 프랑스, 브라질, 일본, 이탈리아, 인도, 아랍 지역(아랍에미리트 및

사우디아라비아), 캐나다(처음으로 포함됨)의 11개 국가, 350개 기업을 대상으로 합니다. 참여 기업 모두

데이터 유출 사건을 통해 크고 작은, 즉 약 2,200개 이하 ~ 101,000개 이상의 기록이 손상된 경험을 가

지고 있습니다4 . 본 연구에서 손상된 기록(compromised record)이란 데이터 유출 사고로 분실된 또는

도난 당한 정보의 당사자 신원이 드러나는 것을 의미합니다.

1 현장 조사 완료일이 아닌 본 보고서 발간 연도입니다. 본 보고서에서 조사한 데이터 유출 사건 중 대다수는 2014

년에 발생했습니다. 2 현지 통화를 미화 달러로 변환한 것입니다.

3 Mathew J. Schwartz 저 ‘New JPMorgan Chase Breach Details Emerge’, 2014년 8월 29일 4 본 보고서에서 “손상 기록당 비용”과 “1인당 비용”은 같은 의미입니다.


본 보고서에서는 데이터 유출의 경제적 영향을 좌우하는 두 가지 요인을 처음으로 반영합니다. 첫 번째

요인은 기업 IT 보안 전략 및 데이터 유출 대응에 대한 경영진의 참여입니다. 두 번째 요인은 데이터

유출 관련 비용을 줄이기 위한 사이버 보험 구매입니다. 데이터 유출의 규모와 경제적 피해가 커짐에

따라, 기업 경영진은 IT 보안을 순수 기술적인 사안이 아닌 더 중대한 비즈니스 리스크로 바라보는 인

식의 전환이 이루어지고 있으며, 이러한 전환으로 인해 사이버 보험에 대한 관심이 커지고 있습니다.

2015년의 데이터 유출 관련 비용 증가의 3가지 주 요인:

사이버 공격의 빈도와 복구 비용이 늘어났습니다. 올해 연구에 따르면 악의적이거나 범죄 목적의 공격

에 의한 데이터 유출 관련 비용이 기록당 159달러에서 170달러로 높아졌습니다. 데이터 유출의 근본

원인 중에서 이러한 공격이 차지하는 비율이 작년에는 42%였지만 올해 연구에서는 47%로 증가했습니

다.

비즈니스 상실이 데이터 유출 관련 비용에 미치는 영향이 커지고 있습니다. 비즈니스 상실은 기업에 가

장 심각한 재정적 타격을 줄 수 있습니다. 이와 관련된 총 비용은 작년 평균 133만 달러였지만 2015년

에는 157만 달러로 증가했습니다. 이러한 비용을 구성하는 요소로는 비정상적인 고객 이탈, 고객 확보

의 어려움 증가, 평판 하락, 영업권 감소 등이 있습니다. 신원 도용에 대한 인식 증대 및 데이터 유출

후 개인 데이터 보안에 대한 고객 우려 증가가 비즈니스 상실 증가로 이어졌습니다.

탐지 및 에스컬레이션 관련 데이터 유출 비용이 늘어났습니다. 분석 및 조사 활동, 평가 및 감사 서비

스, 재난 팀 관리, 경영진 및 이사회와의 커뮤니케이션 비용이 대표적입니다. 금년도 보고서에 따르면

작년 76만 달러였던 평균 총 비용이 올해는 99만 달러로 증가했습니다.

기업 대부분이 사고 대응 절차에 분석 툴을 통합하고 있습니다. 이러한 솔루션을 구축할 경우 데이터

유출의 근본 원인을 더 명확히 들여다볼 수 있으므로 장기적으로는 득이 될 것입니다. 하지만 대개는

이 툴을 통해 데이터 유출을 종합적으로 분석할 수 있어 데이터 유출 관련 비용이 과거보다 늘어날 가

능성이 있습니다.

주요 조사 결과

데이터 유출 관련 비용은 미국과 독일에서 가장 많고, 브라질과 인도에서 가장 적습니다. 1인당 데이터

유출 관련 평균 비용은 미국이 217달러, 독일이 211달러입니다. 최저는 브라질(78달러)과 인도(56달러)

입니다. 전사적 차원의 비용은 미국이 평균 650만 달러, 독일이 490만 달러입니다. 기업 비용이 가장

낮은 국가는 브라질(180만 달러)과 인도(150만 달러)입니다.

데이터 유출 관련 비용은 업종에 따라 다릅니다. 글로벌 데이터 유출 관련 평균 비용은 분실 또는 도난

기록당 154달러입니다. 하지만 의료 분야 기업의 유출 건당 평균 비용은 최고 363달러에 달하며 교육

분야 역시 평균 비용이 최고 300달러입니다. 분실 또는 도난 기록당 비용이 가장 낮은 업종은 운송(121

달러) 및 공공 분야(68달러)입니다. 소매업의 평균 비용은 작년 105달러에서 올해 165달러로 대폭 상승

했습니다.

해커 및 내부 범죄자가 가장 많은 데이터 유출의 원인입니다. 올해의 연구에 따르면 전체 유출의 47%

가 악의적인 또는 범죄 목적의 공격에 의해 발생했습니다. 이러한 공격을 해결하는 데 든 평균 비용은

기록당 170달러입니다. 대조적으로 시스템 오작동은 기록당 142달러, 사람의 실수나 태만은 기록당

134달러의 비용을 발생시킵니다. 미국(기록당 230달러)과 독일(기록당 224달러)이 악의적인 또는 범죄

목적의 공격을 해결하는 데 가장 많은 비용을 지출합니다.

악의적인 또는 범죄 목적의 공격은 국가에 따라 매우 다른 양상을 보입니다. 전체 유출 중 해커 및 내

부 범죄자가 차지하는 비율이 아랍 지역에서는 57%, 프랑스는 55%입니다. 반면 인도에서는 전체 데이

터 유출 중 악의적 공격의 비율이 32%에 불과하며 브라질 역시 30%입니다. 하지만 인도와 브라질은

시스템 오작동에 의한 데이터 유출이 가장 많고, 캐나다의 경우 사람의 실수가 최대 원인입니다.


이사회의 관여와 보험 구매가 데이터 유출 관련 비용을 줄일 수 있습니다. Ponemon Institute는 이사회

가 데이터 유출 시 더 적극적인 역할을 함으로써 얻을 수 있는 긍정적 효과를 처음으로 조사했습니다.

이사회의 관여는 기록당 비용을 5.5달러 낮췄습니다. 보험 가입 시 기록당 4.4달러의 비용 절감 효과가

있습니다.

고객 이탈은 데이터 유출 관련 비용을 높입니다. 프랑스, 이탈리아, 영국, 일본 등의 국가에서는 데이터

유출 후 고객 유지에 더 많은 어려움이 있어 비용 상승으로 이어지기도 합니다. 캐나다, 인도, 브라질은

고객 이탈률이 가장 낮은 국가들입니다. 고객 이탈이 가장 심한 업종은 의료, 제약, 금융 서비스입니다.

통지 관련 비용은 여전히 낮은 수준이지만 비즈니스 상실 비용은 크게 증가했습니다. 비즈니스 상실은

비정상적인 고객 이탈, 고객 확보의 어려움 증가, 평판 하락, 영업권 감소에 따른 비용으로 이어집니다.

평균 비용은 2014년에 145만 달러였던 것이 2015년에는 157만 달러가 되었습니다. 통지 관련 비용은

2014년 19만 달러에서 올해는 17만 달러로 떨어졌습니다.

일부 국가는 데이터 유출 가능성이 높습니다. 작년 연구에서는 1건 이상의 데이터 유출이 발생할 가능

성을 새롭게 분석한 바 있습니다. 데이터 유출 가능성이 국가별로 현저히 다르다는 점은 매우 흥미롭습

니다. 브라질과 프랑스는 1만 개 이상의 기록이 유출될 가능성이 가장 높은 국가들입니다. 캐나다와 독

일은 데이터 유출 가능성이 가장 낮은 국가들입니다.

데이터 유출을 파악하고 억제하기까지의 시간이 비용에 영향을 미칩니다. Ponemon Institute의 연구에

서는 기업이 데이터 유출 사건을 신속히 파악하고 억제하는 능력과 재정적 영향의 상관관계를 처음으

로 규명합니다. 악의적 공격은 평균 256일 만에, 사람의 실수로 인한 데이터 유출은 평균 158일 만에

파악할 수 있습니다. 이미 언급된 대로 악의적인 또는 범죄 목적의 공격으로 인한 데이터 유출에서 가

장 큰 비용을 유발합니다.

비즈니스 연속성 관리는 데이터 유출 관련 비용을 낮추는 데 중요한 역할을 합니다. 유출 해결과 연계

된 비즈니스 연속성 관리를 통해 손상 기록당 평균 비용이 7.1달러 낮아지는 것으로 확인되었습니다.


데이터 유출 관련 비용 FAQ

본 연구의 목적은 무엇입니까? 데이터 유출에 따른 경제적 영향을 정량화하고 비용 추이 변화를 관

찰하는 것입니다. Ponemon Institute는 비용 및 비용에 영향을 미치는 근본 원인과 요인을 더 잘 이

해하면 기업이 공격을 예방하고 그 피해를 완화하는 데 필요한 투자와 자원의 적정 수준을 결정하

는 데 도움이 된다고 확신합니다.

데이터 유출이란 무엇입니까? 유출이란 전자 매체 또는 종이 문서를 통해 개인의 이름, 의료 기록

또는 금융 기록이나 직불카드가 위험에 노출될 수 있는 사건을 의미합니다. Ponemon Institute는 악

의적인 또는 범죄 목적의 공격, 시스템 오작동, 사람의 실수가 데이터 유출의 3대 주요 원인임을 밝

혀냈습니다. 데이터 유출 관련 비용은 그 원인과 데이터 유출 발생 시점의 보호 기능에 따라 달라

질 수 있습니다.

손상 기록이란 무엇입니까? Ponemon Institute는 데이터 유출에서 분실되었거나 도난당한 정보의 당

사자인 자연인(개인)의 신원을 나타내는 정보를 ‘기록’이라 정의합니다. 일례로 개인의 이름이 신용

카드 정보 및 각종 개인 식별 정보와 함께 저장된 소매업체 데이터베이스를 들 수 있습니다. 담당

의사 및 결제 정보가 수록된 건강보험사 가입자 기록도 이에 해당됩니다. 작년 연구에 따르면 이러

한 기록이 분실되거나 도난당할 경우 기업이 부담해야 하는 평균 비용은 기록당 154달러입니다.

어떤 방식으로 데이터를 수집했습니까? Ponemon Institute의 연구자들은 10개월간 1,500회 이상의

인터뷰를 실시하여 심층 정성 데이터(in-depth qualitative data)를 수집했습니다. 2015년 연구 대상

기업의 선발은 2014년 1월에 시작했고 인터뷰는 2015년 3월에 완료했습니다. 350개 기업 각각에서

자사의 데이터 유출 및 유출 해결 관련 비용에 대해 잘 알고 있는 IT, 컴플라이언스, 정보 보안 실

무자와 이야기를 나누었습니다. 개인 정보 보호를 위해 기업 상세 정보는 수집하지 않았습니다.

어떤 방식으로 비용을 계산했습니까? 데이터 유출 평균 비용을 계산하기 위해 기업에 발생한 직접

비용 및 간접비용 정보를 모두 수집했습니다. 분석 전문가 채용, 핫라인 지원 아웃소싱, 무료 신용

모니터링 서비스 제공, 향후 제품 및 서비스에 대한 할인은 직접비용에 포함됩니다. 내부 조사와 커

뮤니케이션, 고객 이탈 및 고객 확보율 감소에 따른 고객 상실 추정치는 간접비용에 포함됩니다.

벤치마크 연구와 설문조사 연구의 차이점은 무엇입니까? 데이터 유출 관련 비용 연구의 분석 단위

는 기업입니다. 설문조사 연구의 분석 단위는 개인입니다. Ponemon Institute는 본 연구를 위해 350

개 기업을 선발했습니다. 데이터 유출 손상 기록의 규모는 최소 2,200개, 최대 101,000여 개입니다.

수백만 개의 기록을 분실하거나 도난당하는 초대형 유출 사고의 경제적 피해를 산정하는 데 데이터

유출 관련 평균 비용을 사용할 수 있습니까? 본 연구의 데이터 유출 평균 비용은 재난 상황이나 초

대형 데이터 유출(예: Sony 사건)에는 적용되지 않습니다. 이는 대부분의 기업이 겪는 일반적인 데이

터 유출이 아니기 때문입니다. 글로벌 기업에 대한 대표성을 확보하고 보호 대상 정보의 분실 또는

도난에 따른 비용을 이해하는 데 유익한 결론을 도출하기 위해 본 연구는 손상 기록이 약 10만 개

이상인 데이터 유출은 조사 대상에서 제외했습니다.

매년 같은 기업에 대한 추적 조사가 이루어지고 있습니까? 해마다 다른 기업 표본이 연구에 포함됩

니다. 즉 동일 기업 표본을 지속적으로 추적 조사하지 않습니다. Ponemon Institute는 일관성 확보를

위해 업종, 인원, 지리학적 조건, 데이터 유출의 규모 등이 유사한 기업을 선발하고 비교합니다.

2005년에 본 연구를 시작한 이래 전 세계 1,629개 기업의 데이터 유출 사례를 조사했습니다.


전 세계 개요

2015년의 연례 연구는 11개 국가(미국, 독일, 캐나다(첫 참여), 프랑스, 영국, 이탈리아, 일본, 호주, 아랍

지역, 브라질, 인도)에서 진행되었고 총 350개 기업이 벤치마크 표본으로 선정되었습니다. 국가별 결과

는 11개의 개별 보고서에 수록되어 있습니다.

그림 1은 11개국에 대한 지난 3년간 연구 결과를 바탕으로 데이터 유출 1인당 평균 비용을 미화로 환

산한 것입니다. 국가 표본 간에 상당한 차이가 있음을 확인할 수 있습니다.5 모든 국가를 종합한 1인당

평균 비용은 154달러이며, (캐나다가 빠진) 작년에는 145달러였습니다. 1인당 비용이 가장 높은 곳은 미

국(217달러)과 독일(211달러)이고, 가장 낮은 곳은 인도(56달러)와 브라질(78달러)입니다.

그림 1. 지난 3년간 데이터 유출 관련 1인당 평균 비용

*과거 데이터 없음

전체 표본 수(2015 회계연도=350, 2014 회계연도=315, 2013 회계연도=277)

단위 : US$

5 1인당 비용은 데이터 유출 관련 총비용을 데이터 유출 규모(분실되거나 도난당한 기록 수)로 나눈 값입니다.

미국

독일

캐나다*

프랑스

영국

이탈리아

일본

호주

아랍 지역*

브라질

인도

2013 회계연도

2014 회계연도

2015 회계연도


2부. 주요 결과

2부에서는 본 연구 조사의 자세한 결과를 다음 순서로 소개합니다.

글로벌 및 업종별 데이터 유출 관련 비용

데이터 유출의 근본 원인

데이터 유출 관련 비용에 영향을 주는 요인

손상 기록 또는 고객 이탈 빈도 추이

데이터 유출 비용 요소 추이

어떤 기업에서 데이터 유출을 경험할 가능성

데이터 유출 파악 및 억제까지의 평균 소요 시간

비즈니스 연속성 관리가 데이터 유출 관련 비용에 미치는 영향

다음 표에는 이번 글로벌 연구의 11개 국가, 표시 기호, 표본 크기, 통화를 보여주며, 연례 보고가 이루

어진 횟수를 국가별로 나타냅니다. 캐나다가 1년으로 가장 짧고 미국이 10년으로 가장 깁니다.

표 1. 글로벌 연구 요약

표시 기호 국가 표본 수 백분율 통화 연례 연구 횟수

AB 아랍 지역 * 25 7% AED/SAR 2

AU 호주 23 7% AU Dollar 6

BZ 브라질 34 10% Real 3

CA 캐나다 21 6% CA Dollar 1

DE 독일 32 9% Euro 7

FR 프랑스 29 8% Euro 6

ID 인도 36 10% Rupee 4

IT 이탈리아 22 6% Euro 4

JP 일본 27 8% Yen 4

UK 영국 39 11% GBP 8

US 미국 62 18% US Dollar 10

합계 350 100%

*아랍 지역(AB)은 사우디아라비아와 아랍에미리트에 위치한 기업 표본을 합한 결과입니다.

다음 그래프는 연구에 참여한 11개국 350개 기업의 분포를 보여주고 있습니다. 미국 기업이 62개로 가

장 많고, 캐나다 기업이 21개로 가장 적습니다.

원그래프 1. 국가별 벤치마크 표본 수

총 350개

미국

영국

인도

브라질

독일

프랑스

일본

아랍 지역

호주

이탈리아

캐나다


글로벌 및 업종별 데이터 유출 관련 비용

기업의 데이터 유출 관련 평균 비용은 국가별로 차이를 보입니다. 그림 2에서는 올해 연구에 참여한

11개국의 데이터 유출 관련 평균 비용 총계가 표시되어 있습니다. 모든 나라에서 평균 총 비용이 지난

해보다 증가했음을 알 수 있습니다. 미국 표본의 경우 653만 달러를 넘어서 최고치를 기록했고, 독일이

489만 달러로 그 뒤를 이었습니다. 반면 브라질과 인도의 기업은 각각 177만 달러, 146만 달러로 가장

낮은 평균 총 비용을 기록했습니다.

그림 2. 지난 3년간 기업의 데이터 유출 관련 평균 총 비용

* 과거 데이터 없음

전체 표본 수(2015 회계연도=350, 2014 회계연도=315, 2013 회계연도=277)

단위 : US$ (millions)

2013 회계연도

2014 회계연도

2015 회계연도

미국

독일

캐나다*

프랑스

영국

이탈리아

일본

호주

아랍 지역*

브라질

인도


노출 또는 손상 기록 수. 그림 3은 본 연구에 참여한 11개국 기업의 데이터 유출 규모 평균을 보여줍

니다. 분실했거나 도난당한 기록 수의 평균이 가장 큰 곳은 아랍 지역, 인도, 미국 기업입니다. 아울러

분실했거나 도난당한 기록의 수와 데이터 유출 관련 비용의 상관관계도 본 보고서에서 확인할 수 있습

니다.

그림 3. 국가별 유출 기록 수 평균

전체 표본 수=350

아랍 지역

인도

미국

독일

브라질

영국

프랑스

캐나다

호주

일본

이탈리아


데이터 유출 관련 비용에는 업종별 차이가 존재합니다. 그림 4는 전체 표본의 업종별 1인당 비용입니

다. 보건, 교육, 제약, 금융 서비스처럼 규제가 엄격한 업종은 전체 평균인 154달러보다 훨씬 높은 비용

을 기록하고 있습니다. 공공 분야, 운송, 연구, 미디어 관련 기업은 평균보다 낮습니다.

데이터 유출 관련 비용이 비교적 일정 수준을 유지한 대부분의 업종과 달리 소매업은 큰 폭으로 증가

했습니다(2014년은 105달러, 2015년은 165달러). 유출 사건에 대한 미디어 보도와 ID 도용에 대한 고객

의 우려 때문에 소매업체는 데이터 유출의 여파를 해소하는 데 더 많은 비용을 지출했습니다.

그림 4. 업종별 1인당 비용

전체 표본 수 =350, 단위 : US$

의료

교육

제약

금융

통신

소매

공업

서비스

소비재

에너지

접객

기술

미디어

연구

운송

공공 분야

＄-


데이터 유출의 근본 원인

악의적인 또는 범죄 목적의 공격이 글로벌 데이터 유출의 가장 큰 원인입니다.6 원그래프 2는 본 연구

에 포함된 11개국 전체 기업을 대상으로 데이터 유출의 근본 원인을 조사한 결과입니다. 47%가 악의적

인 또는 범죄적 목적의 공격과 연관되어 있습니다. 직원 또는 계약직의 태만(인적 요인)과 관련된 비율

은 25%, IT 및 비즈니스 프로세스 오류를 포함한 시스템 오작동과 관련된 비율은 29% 입니다.7

원그래프 2. 벤치마크 표본의 데이터 유출 근본 원인별 분포

전체 표본 수 =350

악의적 공격은 전 세계적으로 가장 많은 비용을 유발하는 요인입니다. 그림 5는 데이터 유출 사건의 3

대 근본 요인별 1인당 데이터 유출 관련 비용을 보여주고 있습니다. 악의적인 또는 범죄 목적의 공격에

서 비롯된 데이터 유출 관련 비용이 작년에는 평균 159달러였지만 올해는 170달러로 증가했습니다. 이

는 시스템 오작동(142달러) 및 인적 요인(137달러)에 의한 1인당 데이터 유출 관련 비용보다 훨씬 높습

니다. 작년에는 시스템 오작동이 평균 126달러, 인적 오류가 평균 117달러였습니다.

그림 5. 데이터 유출의 3대 근본 원인별 1인당 비용


6 ‘내부자 태만’은 사후 조사에서 개인의 부주의가 데이터 유출의 원인이라고 밝혀진 경우입니다. 해커나 내부 범죄

자(직원, 계약직, 기타 제3자)가 일으킨 사건은 ‘악의적 공격’에 해당될 수 있습니다. 7 악의적인 또는 범죄 목적 공격의 가장 흔한 유형으로는 악성 코드 감염, 내부 범죄자, 피싱/Social Engineering, SQ

L 인젝션(injection)이 있습니다.

악의적인 또는 범죄 목적의 공격

시스템 오작동

인적 오류

악의적인 또는 범죄적

목적의 공격

시스템 오작동 인적 오류


그림 6은 11개국 표본 기업의 데이터 유출에 대한 주요 근본 원인을 보여주고 있습니다. 아랍 지역 기

업의 경우 악의적인 또는 범죄 목적의 공격을 받을 가능성이 56%로 가장 높습니다. 반면 인도와 브라

질 기업은 이런 형태의 데이터 유출을 겪을 가능성이 가장 낮습니다. 하지만 인도의 기업은 시스템 오

작동이나 비즈니스 프로세스 실패로 데이터가 유출될 가능성이 가장 높습니다. 브라질과 호주의 기업에

서는 인적 오류로 인한 데이터 유출 가능성이 가장 높습니다.

그림 6. 벤치마크 표본 기업의 데이터 유출 근본 원인 분포

전체 표본 수 =350

악의적인 또는 범죄 목적의 공격 시스템 오작동 인적 오류

아랍 지역

독일

캐나다

미국

영국

프랑스

일본

호주

이탈리아

인도

브라질


그림 7은 각 표본 국가의 3대 근본 원인별 1인당 데이터 유출 비용입니다. 모든 국가에서 악의적인 또

는 범죄 목적의 공격에 인한 데이터 유출 관련 비용이 시스템 오작동이나 인적 오류에 따른 비용보다

높다는 사실을 분명하게 확인할 수 있습니다. 또 이 그래프를 통해 국가 표본 간 차이가 크다는 점도

드러납니다. 일례로 악의적인 또는 범죄 목적의 데이터 유출 사건과 관련된 비용은 미국이 손상된 기록

당 230달러이지만 인도는 71달러에 불과합니다.

그림 7. 데이터 유출의 3대 근본 원인별 1인당 비용


악의적인 또는 범죄 목적의 공격 시스템 오작동 인적 오류

아랍 지역

독일

캐나다

미국

영국

프랑스

일본

호주

이탈리아

인도

브라질


데이터 유출 관련 비용에 영향을 주는 요인

표 2에는 1인당 데이터 유출 관련 비용을 높이거나 낮추는 11가지 요인이 나와 있습니다.

표 2. 1인당 데이터 유출 관련 비용에 영향을 주는 요인

요인 해당 기업 백분율

직원 교육 51%

BCM (Business Continuity Management) 관여 50%

사건 대응팀 48%

CISO 임명 45%

광범위한 암호화 44%

제3자의 관여 36%

컨설턴트 고용 35%

장비 분실 또는 도난 33%

보험 보장 32%

이사회 차원의 관여 31%

신속한 통지 29%

Ponemon Institute는 증분분석법(incremental analysis method)을 통해 요인별 양수(+) 또는 음수(-) 값을

산출했습니다. 그림 8에서 달러($)값이 양수이면 1인당 비용 절감, 음수는 증가를 의미합니다. 이 달러

값은 누적 계산되지 않습니다.

사건 대응 팀, 광범위한 암호화, 직원 교육, 비즈니스 연속성 관리, CISO 리더십, 이사회 차원의 관여,

보험 보장이 데이터 유출 관련 비용을 낮추는 요인임을 확인할 수 있습니다. 음수로 나타난 제3자의 사

건 관여, 장비 분실 또는 도난, 신속한 통지, 컨설팅 서비스는 1인당 데이터 유출 관련 비용을 높이는

요인입니다. 예를 들어 사건 대응 팀은 데이터 유출 관련 비용을 (154달러에서 141.40달러로) 12.60달러

낮춥니다. 반대로 제3자가 데이터 유출 요인에 관여한 경우 해당 비용이 (154달러에서 170달러로) 16달

러 증가합니다.

그림 8. 11가지 요인이 1인당 데이터 유출 관련 비용에 미치는 영향


사건 대응 팀

광범위한 암호화

직원 교육

BCM 관여

CISO 임명

이사회 차원의 관여

보험 보장

컨설턴트 고용

신속한 통지

장비 분실 또는 도난

제3자의 관여

전체 국가 표본


손상 기록 및 고객 이탈 빈도 추이

더 많은 레코드를 잃을수록 데이터 유출 비용이 증가합니다. 그림 9는 350개 기업의 데이터 유출 총

비용과 사고 규모의 관계를 유출 사고 규모 오름차순으로 나타낸 것입니다. 이 회귀선은 데이터 유출

사고의 규모와 총 비용이 선형 관계에 있음을 명확히 보여줍니다. 올해 연구에서 비용의 범위는

116,995달러 ~ 28,290,631달러였습니다.

그림 9. 데이터 유출 규모별 총 비용

회귀 = 절편 + {사고 규모} x β, β는 기울기. 총 표본 수 = 350, 단위 : US$

고객 이탈이 많을수록 1인당 데이터 유출 비용이 증가합니다. 그림 10은 350개 기업의 비정상적 고객

이탈 오름차순으로 1인당 데이터 유출 비용의 분포를 나타낸 것입니다. 회귀선이 위쪽으로 기울어진 것

은 고객 이탈과 1인당 비용의 선형 관계임을 의미합니다.

그림 10. 비정상적 고객 이탈 오름차순 1인당 비용 분포

회귀 = 절편 + {비정상적 고객 이탈} x β, β는 기울기. 총 표본 수 = 350, 단위 : US$

데이터 유출 규모 기준 오름차순

평균 총 비용 회귀

비정상적 고객 이탈률 오름차순

1인당 비용 회귀


일부 국가는 고객 이탈에 더 취약합니다. 그림 11은 이번 조사에 포함된 11개 국가의 비정상적 고객

이탈 평균값을 나타냅니다. 조사 결과, 국가별로 상당한 차이가 드러났습니다. 프랑스는 여전히 고객 이

탈률이 가장 높았고 이탈리아가 그 뒤를 이었습니다. 인도와 브라질은 비정상적 고객 이탈이 가장 적었

습니다.

이러한 결과는 고객 이탈률이 높은 국가의 기업에서 평판 및 브랜드 가치 보호를 위한 고객 보존 활동

에 중점을 둔다면 데이터 유출 비용을 크게 줄일 수 있음을 의미합니다.

그림 11. 3년 간의 국가 표본별 비정상적 고객 이탈률

*과거 데이터 없음

전체 표본 수 FY 2015 = 350, FY 2014 = 315, FY 2013 = 277

2013 회계연도

2014 회계연도

2015 회계연도

아랍 지역

독일

캐나다

미국

영국

프랑스

일본

호주

이탈리아

인도

브라질


일부 산업은 고객 이탈에 더 취약합니다. 그림 12는 2014년과 2015년 연구에서 벤치마크한 기업의 비

정상적 고객 이탈을 보여줍니다. 작은 표본 크기 때문에 업종별 고객 이탈률을 일반화할 수는 없지만

의료, 제약, 금융 서비스, 서비스 업종의 기업은 고객 이탈률이 상대적으로 높은 편이고 공공 및 연구

기업은 상대적으로 낮게 나타납니다.8

그림 12. 벤치마크 기업의 업종별 비정상적 고객 이탈률

전체 표본 수 FY 2015 = 350, FY 2014 = 315

8 정부 공공 기관의 고객은 일반적으로 다른 대안이 없으므로 여기서는 다른 고객 이탈 프레임워크를 적용합니다.

의료

제약

금융

서비스

기술

공업

접객(hospitality)

통신

소비재

운송

에너지

미디어

소매

교육

연구

공공

2014 회계연도

2015 회계연도

0.0%


데이터 유출의 비용 요소 추이

그림 13은 데이터 유출과 관련된 4가지 비용 요소를 나타냅니다. 잠재적으로 가장 큰 경제적 영향을

미치는 비즈니스 상실 요소는 지난 3년간 꾸준히 증가해 왔습니다. 이 비용 요소에는 비정상적인 고객

이탈, 고객 확보의 어려움 증가, 평판 하락, 영업권 감소 등이 포함됩니다.

사후 대응 및 탐지 관련 비용도 3년간 계속 증가했습니다. 사후 비용에는 헬프데스크 활동, 인바운드

커뮤니케이션, 특별 조사 활동, 교정, 법적 비용, 제품 할인, 신원 보호 서비스, 감독 기관의 개입 등이

포함됩니다. 탐지 및 에스컬레이션 관련 데이터 유출 비용에는 주로 분석 및 조사 활동, 평가 및 감사

서비스, 재난 팀 관리, 경영진 및 이사회와의 커뮤니케이션 등이 포함됩니다.

통지 관련 활동은 데이터 유출 비용 요소 중 가장 비중이 적습니다. 여기에는 주로 연락처 데이터베이

스 구축을 위한 IT 활동, 모든 규정 요건 확인, 외부 전문가 채용, 우편 비용, 우편/이메일 수신 불가 시

대체 연락처, 인바운드 커뮤니케이션 설정 등이 포함됩니다.

그림 13. 지난 3년간 4대 데이터 유출 비용 요소의 추이

전체 표본 수 FY 2015 = 350, FY 2014 = 315, FY 2013 = 277, 단위 : US$ (millions)

탐지 및 에스컬레이션 통지 사후 대응 비즈니스 상실

2013 회계연도 2014 회계연도 2015 회계연도


국가별로 다른 데이터 유출 직간접 비용의 비율

직접 비용이란 외부 전문가 채용, 법률 회사 고용 또는 피해자 신원 보호 서비스 제공 등의 활동을 위

해 직접적으로 지출하는 비용입니다. 간접 비용에는 데이터 유출 해결 과정에 투입되는 시간, 노력, 기

타 기업 자원이 포함됩니다. 데이터 유출 사고를 알리는 업무 또는 사고 조사에 기존 직원을 투입하는

것도 해당됩니다. 영업권 상실과 고객 이탈도 간접 비용에 포함됩니다.

그림 14는 11개국 데이터 유출 사고의 간접 비용과 직접 비용을 백분율로 나타낸 것입니다. 미국 기업

은 간접 비용의 비중이 가장 크고 브라질과 아랍 지역은 직접 비용의 비중이 가장 큽니다.

그림 14. 1인당 데이터 유출 비용의 직접 비용과 간접 비용의 비율

총 표본 수 =350

1인당 간접 비용 1인당 직접 비용

아랍 지역

독일

캐나다

미국

영국

프랑스

일본

호주

이탈리아

인도

브라질


기업에서 데이터 유출이 발생할 가능성

이번 연구에서는 향후 24개월간 1차례 이상의 데이터 유출이 발생할 가능성도 분석했습니다. 조사 대

상 기업의 경험에 기초하여 분실했거나 도난 당한 기록 수 및 해당 업종의 2가지 요인을 적용하여 데

이터 유출 발생 가능성을 예측할 수 있습니다.

그림 15는 손상 기록 수가 10,000개 ~ 100,000개인 유출 사고가 일어날 주관적 확률을 보여줍니다.9

규모가 커질수록 발생 가능성이 계속 줄어듭니다. 기록 수가 최소 10,000개인 데이터 유출의 발생 가능

성은 24개월간 약 22%인 반면 10만 개인 데이터 유출의 발생 가능성은 1% 미만입니다.

그림 15. 최소 10,000개, 최대 10만 개 기록의 데이터 유출 발생 가능성

전체 표본 수 = 350

발생 가능한 데이터 유출의 규모(손상된 기록 수)

9 점추정법을 사용하여 표본 응답자로부터 확률 추정치를 얻었습니다. CISO, CPO와 같이 비용 평가 인터뷰에 참여

한 핵심 관계자는 데이터 유출 사고 10단계(분실했거나 도난당한 기록 수 10,000개 ~ 100,000개)에 대한 발생 가능

성 추정치를 제시했습니다. 이 추정 작업에는 향후 24개월을 시간 척도로 사용했습니다. 350개 기업 각각에 대해 집

계 확률 분포를 추정했습니다.


일부 국가의 기업은 데이터 유출 가능성이 더 높습니다. 그림 16은 이번 연구 대상인 11개 국가에서

최소 10,000개 기록에 대한 데이터 유출이 발생할 가능성을 요약한 것입니다. 작은 표본 크기 때문에

국가별 차이를 일반화할 수는 없으나 중대한 데이터 유출 발생 가능성의 추정치는 국가별로 상당한 차

이를 나타냅니다.

브라질과 프랑스는 추정 확률이 가장 높습니다. 독일과 캐나다는 데이터 유출 발생 가능성이 가장 낮습

니다.

그림 16. 국가별 10,000개 이상 기록이 포함된 데이터 유출의 발생 가능성

손상 기록 수 10,000개 이상

*과거 데이터는 없음

전체 표본 수 FY 2015 = 350, FY 2014 = 315

2014 회계연도

2015 회계연도

아랍 지역

독일

캐나다*

미국

영국

프랑스

일본

호주

이탈리아

인도

브라질


데이터 유출 파악 및 억제까지 소요된 시간이 비용에 미치는 영향

그림 17은 데이터 유출의 MTTI(Mean Time To Identify)와 MTTC(Mean Time To Contain)를 보여줍니다.

350개 기업의 전체 표본에서 MTTI는 206일, 범위는 20일 ~ 582일이었습니다. MTTC는 69일, 범위는 7

일 ~ 175일이었습니다.

그림 17. 데이터 유출의 MTTI 및 MTTC(일)

전체 표본 수 = 350

그림 18은 데이터 유출 사고의 3대 근본 원인별 MTTI와 MTTC를 보여줍니다. 악의적이거나 범죄 목적

의 공격이 MTTI와 MTTC 모두 가장 높습니다(각각 256일과, 82일). 인적 요인에 의한 데이터 유출은 두

지표가 훨씬 낮습니다(각각 158일과 57일).

그림 18. 데이터 유출 사고의 근본 원인별 MTTI 및 MTTC(일)

전체 표본 수 = 350

악의적인 또는 범죄

목적의 공격

시스템 오작동 인적 오류

최소 평균 중앙 최대


그림 19는 11개국, 350개 기업의 총 데이터 유출 비용과 MTTI가 상향 선형 관계에 있음을 보여줍니다.

이 의미 있는 관계는 데이터 유출을 조기에 파악하지 못하면 더 큰 비용이 발생할 가능성을 시사합니다.

그림 19. MTTI와 평균 총 비용의 관계

회귀 = 절편 + {MTTI} x β, β는 기울기. 전체 표본 수 = 350, 단위 : US$

그림 20에서도 데이터 유출 총 비용과 MTTC의 관계가 상향 선형 회귀선으로 나타납니다. 위와 비슷하

게 이 의미 있는 관계는 데이터 유출을 조기에 억제하지 못할 경우 비용 상승으로 이어질 가능성을 시

사합니다.

그림 20. MTTC와 평균 총 비용의 관계

회귀 = 절편 + {MTTC} x β, β는 기울기. 전체 표본 수 = 350, 단위 : US$

데이터 유출 MTTI 오름차순



데이터 유출 MTTI 오름차순


비즈니스 연속성 관리가 데이터 유출 비용에 미치는 영향

데이터 유출 사고 대응 프로세스에 비즈니스 연속성 관리 담당자를 참여시키는 기업은 1인당 비용 및

평균 총 비용이 더 낮았습니다. 그림 21을 보면, BCM(Business Continuity Management) 그룹과 비

BCM 그룹의 손상 기록당 유출 비용에서 14달러의 차이가 나타났습니다. 별도의 보고서인 2015년 데이

터 유출 비용 연구: 비즈니스 연속성 관리의 영향 (2015 Cost of Data Beach Study: Impact of Business

Continuity Management)에서는 비즈니스 연속성 관리가 기업의 재정 및 평판과 관련된 데이터 유출의

영향을 어떻게 좌우하는지 집중 조명합니다.

그림 21. BCM의 사고 대응 프로세스 참여가 미치는 영향

전체 표본 수 = 350, 단위 : US$

다음 차트를 보면, BCM 그룹과 비 BCM 그룹의 실제 데이터 유출 사고 평균 총 비용에서 50만 달러

이상의 차이가 나타났습니다.

그림 22. 사고 대응 프로세스에 BCM을 참여시킨 기업과 참여시키지 않은 기업의 데이터 유출 평균 비용

전체 표본 수 = 350, 단위 : US$ (millions)

BCM 참여 BCM 참여 안 함

1인당 데이터 유출 비용


데이터 유출의 평균 총 비용(백만 달러)


비용 차이 외에도 BCM 팀을 데이터 유출 사고 대응 프로세스에 참여시킨 기업은 1년간 10,000개 이상

의 손상 기록이 포함된 데이터 유출 사고가 발생할 가능성이 더 낮았습니다. 그림 23은 BCM 그룹과

비 BCM 그룹의 데이터 유출 발생 가능성이 각각 21.1%와 27.9%임을 보여줍니다.

그림 23. 사고 대응 프로세스에 BCM을 참여시킨 기업과 참여시키지 않은 기업의 데이터 유출 발생 가

능성

전체 표본 수 = 350

앞서 MTTI와 MTTC가 데이터 유출 비용과 선형 관계에 있음을 확인했습니다. 그림 24는 또 다른 흥미

로운 상관관계를 보여줍니다. 즉 BCM을 참여시킨 기업은 데이터 유출을 파악하고 억제하는 데 걸린 시

간(일)이 훨씬 더 짧습니다.

그림 24. 사고 대응 프로세스에 BCM을 참여시킨 기업과 참여시키지 않은 기업의 MTTI 및 MTTC

전체 표본 수 = 350


12개월 이내에 10,000개 이상의 손상 기록이 포함된 데이터 유출이 발생할 가능성

BCM 참여(일) BCM 참여 안 함(일)


3부. 데이터 유출 비용의 계산 방식

데이터 유출 관련 비용을 계산하기 위해 활동 기준 비용 산정(activity-based costing, ABC)이라는 방법

론을 적용합니다. 이 방법론은 각종 활동을 파악하고 실제 사용에 따른 비용을 부여합니다. 이번 벤치

마크 조사에 포함된 기업에게 데이터 유출 해결을 위한 모든 활동에 대해 비용을 추정하도록 요청했습

니다.

데이터 유출을 탐색하고 즉각적으로 대응하기 위해 일반적으로 다음과 같은 활동을 수행합니다.

데이터 유출의 근본 원인을 규명하기 위한 조사 및 분석

데이터 유출의 잠재적 피해자 확인

사고 대응 팀 조직

커뮤니케이션 및 PR 활동 수행

데이터 유출 피해자 및 감독 기관에 전달할 통지 문서 및 기타 필수 공개 자료 작성

콜 센터 절차 및 전문 교육 이행

데이터 유출을 발견한 후에는 일반적으로 다음과 같은 활동을 수행합니다.

감사 및 컨설팅 서비스

방어를 위한 법률 서비스

컴플라이언스를 위한 법률 서비스

유출 피해자에 대한 무료 또는 할인 서비스

신원 보호 서비스

고객 이탈 추정치에 근거한 고객 비즈니스 상실

고객 확보 및 우수 고객 프로그램 비용

기업에서 이 활동에 대한 비용 범위를 추정하면 아래와 같이 직접 비용, 간접 비용, 기회 비용으로 분

류합니다.

직접 비용 – 특정 활동을 수행하는 데 드는 직접 비용

간접 비용 – 직접적인 자금 지출은 아니지만 투입되는 시간, 노력, 기타 기업 자원의 양

기회 비용 – 데이터 유출이 피해자에게 보고되고 미디어에 공개된 후 평판 저하로 인한 비즈니스

기회 상실의 비용

이번 조사는 기업의 데이터 유출 탐지, 대응, 억제, 교정과 관련하여 광범위한 지출을 야기하는 핵심 프

로세스 관련 활동에도 주목합니다. 각 활동의 비용이 주요 결과 섹션(2부)에 나와 있습니다. 4대 비용

항목은 다음과 같습니다.

탐지 또는 탐색: 기업에서 위험한 상태(저장 중) 또는 전송 중인 개인 데이터의 유출을 합리적으로

탐지하기 위한 활동

에스컬레이션: 지정된 기한 내에 해당 책임자에게 보호 대상 정보의 유출을 보고하는 데 필요한 활동

통지: 기업에서 데이터 주체에게 서신, 전화 통화, 이메일 또는 일반 통지를 통해 정보의 분실 또는

도난 사실을 알리기 위한 활동

데이터 유출 사후 활동: 유출 피해자가 잠재적 피해를 최소화하기 위해 해당 기업과 연락하여 추가

질문을 하거나 조언을 받을 수 있게 하는 활동. 사후 활동에는 신용 보고서 모니터링, 신규 계정(신

용카드) 재발급 등이 포함됩니다.


대부분의 기업은 위와 같은 프로세스 관련 활동 외에도 현재 고객과 미래 고객의 신뢰 상실에 따른 기

회 비용도 부담합니다. 따라서 이번 조사는 데이터 유출 사고로 인한 부정적 이미지가 기업의 평판에

영향을 미쳐 비정상적인 고객 이탈률 및 저조한 신규 고객 확보율로 이어질 수 있음을 보여줍니다.

기회 비용을 추정하기 위해 조사 대상 기업 각각에 대해 정의되는 평균 고객 “생애가치(Lifetime Value)"

에 근거한 비용 산정법을 적용합니다.

기존 고객의 이탈: 데이터 유출 사고의 결과로 관계를 종료할 가능성이 가장 높은 고객 수 추정치.

증분 손실은 유출 사고로 인한 비정상적인 고객 이탈을 가리킵니다. 이 수치는 연간 백분율로서 벤

치마크 인터뷰 프로세스에서 경영진이 제시한 추정치에 근거한 것입니다.10

저조한 고객 확보: 유출의 결과로 해당 기업과 관계를 맺지 않을 목표 고객의 수 추정치. 이 수치는

연간 백분율로 표시됩니다.

직원 기록과 같은 고객과 무관한 데이터의 유출이 기업의 고객 이탈에 영향을 주지 않을 가능성도 있

습니다.11 그러한 경우 데이터 유출이 고객 또는 소비자 데이터(결제 거래 정보 포함)와 무관하다면 비

즈니스 비용 범주가 더 낮아질 것으로 예상합니다.

10 고객 이탈이 부분적인 경우도 있습니다. 즉 피해를 입은 고객이 해당 기업과 계속 관계를 유지하되 고객 활동의

규모가 사실상 감소하는 것입니다. 이러한 부분적 감소는 금융 서비스, 공공 부문과 같이 관계 종료가 상당한 비용

부담을 야기하거나 경제적으로 실현 불가능한 업종에서 두드러집니다. 11 이번 연구에서는 시민, 환자, 학생 정보를 고객 데이터로 간주합니다.


4부. 기업의 특징 및 벤치마크 방식

원그래프 3은 주력 업종을 기준으로 한 벤치마크 대상 기업의 분포를 보여줍니다. 올해 연구에서는 16

개 업종이 선정되었습니다. 금융 서비스 부문의 기업이 가장 많았는데, 여기에는 은행, 보험, 투자 관리,

결제 서비스가 포함됩니다.

원그래프 3. 업종별 벤치마크 표본의 분포

전체 표본 수 n=350

원그래프 4는 총 직원 수를 기준으로 한 벤치마크 기업의 분포를 보여줍니다. 직원 수 1,000명 이상인

기업이 가장 많았습니다.

원그래프 4. 대상 기업의 글로벌 직원 수

전체 표본 수 = 350

금융

서비스

공업

소매

공공

기술

소비재

운송

에너지

통신

접객

미디어

제약

의료

Research

교육

500명 미만

500 ~ 1,000

1,001 ~ 5,000

5,001 ~ 10,000

10,001 ~ 25,000

25,001 ~ 75,000

75,000명 초과


데이터 수집 방법에서는 실제 회계 정보를 포함하지 않지만 각 대상의 지식 및 경험에 근거한 추정치

를 사용했습니다. 각 범주에서 2단계 프로세스를 통해 비용을 산정했습니다. 먼저 벤치마크 평가에서

개개인에게 다음 수직선(number line) 형식에서 범위 변수를 표시하여 각 비용 범주의 직접 비용을 추

정하게 했습니다.

수직선 사용 방법: 데이터 유출 비용 범주별로 제시된 수직선은 발생한 현금 비용, 인건비, 오버헤드에

대한 최적 추정치를 얻기 위한 방법 중 하나입니다. 위에 제시된 하한과 상한 사이의 한 지점만 표시하

십시오. 인터뷰 과정에서 언제라도 수직선의 하한과 상한을 재설정할 수 있습니다.

[비용 범주]의 직접 비용 추정치를 여기에 표시하십시오.

비용 범주별로 점 추정치 대신 수직선을 통해 수치를 얻음으로써 기밀을 유지하고 응답률을 높일 수

있었습니다. 또한 이번 벤치마크 평가에서는 실무자들이 간접 비용과 기회 비용의 추정치도 제시해야

했습니다.

벤치마킹 프로세스를 관리 가능한 규모로 유지하고자 데이터 유출 비용 평가에 필수적인 비용 활동 항

목으로 제한하는 데 각별한 주의를 기울였습니다. 전문가들과의 논의를 거쳐 비용 활동 항목을 최종적

으로 결정했습니다. 벤치마크 정보를 수집하는 즉시 각각을 신중하게 재검사하여 일관성과 완전성을 확

인했습니다.

확실한 기밀 유지를 위해 벤치마크 평가에서 어떠한 기업 관련 정보도 수집하지 않았습니다. 대상 자료

는 추적 코드 또는 응답과 참여 기업을 연결할 만한 어떠한 수단도 포함하지 않았습니다.

벤치마크 평가에 포함된 데이터 유출 비용 항목의 범위는 개인 정보를 취급하는 광범위한 비즈니스 업

무에 적용되는 확인된 비용 범주로 제한했습니다. Ponemon Institute는 데이터 보호 또는 개인 정보 규

정 준수 활동이 아닌 비즈니스 프로세스에 중점을 둔 연구 조사를 통해 더 유익한 결과를 얻을 수 있

으리라 확신합니다.


5부. 한계

이번 조사에서는 앞선 연구에서 성공적으로 사용된 비공개 및 독점적 벤치마크 방식을 적용했습니다.

그러나 연구 결과로부터 결론을 도출하기에 앞서 이번 벤치마크 연구의 근본적인 한계를 신중하게 고

려해야 합니다.

비통계적 결과: 이번 조사는 지난 12개월간 고객 또는 소비자 기록의 분실이나 도난과 관련된 유출

사고를 겪은 적이 있는 전 세계 기업들로 구성된 대표성을 나타내는 비통계적 표본을 사용했습니다.

과학적 표본 선정 방식이 아니었으므로 이 데이터에 통계적 추론, 오차 범위, 신뢰 구간을 적용할

수 없습니다.

무응답: 이 조사 결과는 소규모의 대표적 벤치마크 표본에 근거한 것입니다. 이번 글로벌 조사에서

350개 기업이 벤치마크 프로세스를 완료했습니다. 무응답에 따른 편향은 테스트에 포함되지 않았으

므로 참여하지 않은 기업의 기본 데이터 유출 비용이 크게 다를 가능성이 있습니다.

표본 추출 틀 편향: 이번 표본 추출 틀은 판단에 근거한 것이므로 결과의 품질은 표본 추출 틀이 조

사 대상 기업 집단을 얼마나 대표하느냐에 좌우됩니다. Ponemon Institute는 이번 표본 추출 틀이

더 성숙한 개인 정보 보호 또는 정보 보안 프로그램을 운영하는 기업에 치중되었다고 확신합니다.

기업 관련 정보: 벤치마크 정보는 민감한 성격의 기밀 사항입니다. 따라서 이번 평가에서는 기업을

식별하는 정보를 수집하지 않습니다. 또한 개개인이 기업 및 업종에 대한 인구 통계적 정보를 공개

하는 데 범주 응답 변수를 사용할 수 있게 했습니다.

측정 불가 요인: 간결하고 집중적인 인터뷰 문안을 작성하기 위해 주요 추이, 조직적 특성과 같은

다른 중요 변수를 분석에서 제외했습니다. 제외된 변수가 벤치마크 결과를 얼마나 설명할 수 있느냐

는 확인 불가합니다.

추정 비용 결과: 벤치마크 연구의 품질은 참여 기업의 응답자가 제시한 기밀 답변의 무결성에 좌우

됩니다. 특정 검사 및 균형 조정을 벤치마크 프로세스에 포함할 수 있으나 응답자가 정확하거나 진

실된 답변을 하지 않을 가능성도 있습니다. 또한 실제 비용 데이터가 아닌 비용 추정 방식을 사용함

으로써 뜻하지 않게 편향 및 부정확성을 야기할 수도 있습니다.


이번 연구 보고서에 대한 질문이나 의견이 있거나 (본 보고서를 인용하거나 재사용하는 것에 대한 허가

를 포함하여) 본 문서의 추가 사본을 얻으려면 서신, 전화, 이메일을 통해 아래로 문의하십시오.

Ponemon Institute LLC Attn: Research Department

2308 US 31 North

Traverse City, Michigan 49686 USA

1.800.887.3118 [email protected]

전체 국가 보고서 전문은 www.ibm.com/security/data-breach에서 이용할 수 있습니다.

Ponemon Institute LLC 선도적이고 책임 있는 정보 관리

Ponemon Institute는 기업과 정부 기관에서 책임 있는 정보 및 개인 정보 관리를 정착시키고 발전시키

기 위한 독립적인 연구 및 교육에 주력하고 있습니다. 사람 및 조직과 관련된 중요 정보의 관리 및 보

안에 영향을 미치는 중요 사안에 대한 고품질의 실증적 연구를 수행하는 것이 Ponemon Institute의 사

명입니다.

CASRO(Council of American Survey Research Organizations)의 일원으로서 Ponemon Institute는 엄격

한 기밀 유지, 개인 정보 보호, 윤리적 연구 기준을 준수합니다. 개인으로부터 어떠한 개인 식별 정보도

수집하지 않으며 기업 연구에서는 기업 식별 정보도 수집하지 않습니다. 또한 엄격한 품질 기준에 따라

연구 대상에게 무관하거나 의미 없거나 부적절한 질문을 하지 않습니다.

SEW03053-WWEN-03

http://www.ibm.com/security/data-breach

2015 데이터 유출 관련 비용 연구 Cost of Data... · 2015-07-01 · 2013년 이래 1인당...

Documents

Transcript of 2015 데이터 유출 관련 비용 연구 Cost of Data... · 2015-07-01 · 2013년 이래 1인당...