지난해 사이버 공격으로 인한 국내 기업의 손실액이 약 720억달러(약 79조원)에 달해 국내총생산(GDP)의 5%에 육박한다는 조사 결과가 나왔다.
한국마이크로소프트(한국MS)는 18일 서울 광화문 사옥에서 간담회를 열고 ‘사이버 보안 위협 보고서’를 발표했다. 한국, 일본, 중국, 호주를 포함한 아시아태평양 지역 13개국에서 기업 보안 전략을 수립하는 최고경영자(CEO)나 최고보안책임자(CISO) 등 1300명(국가별 100명)을 대상으로 조사한 결과다.
MS가 컨설팅업체 프로스트앤설리번과 공동으로 조사한 이번 보고서에 따르면 지난해 사이버 공격으로 국내 기업이 입은 직간접 손실액이 720억달러인데, 국내 대형 기업은 기업당 약 300억원의 경제손실을 입은 것으로 나타났다.
특히 대형 기업의 손실액 중 90%는 간접적 피해로 인해 발생했다. 보고서에는 직접적인 손실은 기업당 32억원에 그치지만 고객 소실, 평판 훼손과 같은 기회비용 감소로 137억원의 피해를 볼 수 있다고 분석됐다. 또 이런 보안 위협이 확산되면 기업 생태계와 경제 전반에 악영향을 줘 추가 손실이 약 130억원 발생할 수 있다는 계산이다.
김귀련 한국마이크로소프트 보안 담당 부장은 “기업에 대한 사이버 보안 위협은 ‘빙산의 일각’이란 말처럼 빙산의 일부 모양만 보고 있다고 할 수 있다”며 “기업이 전반적으로 조직의 경제적 손실을 과소평가하고 있다”고 말했다.
보고서에 따르면 지난해에는 △인터넷으로 여러 PC를 좀비 PC로 감염시키는 봇넷(botnet) △안전한 사이트나 메일로 위장해 사용자 실수를 유발하는 피싱(phishing) △문서나 운영체제까지 암호화해 금품을 요구하는 랜섬웨어(ransomware)가 주요 보안 위협 형태였다. 3가지 유형을 복합적으로 사용하는 경우가 많았다.
보고서에 따르면 조사에 참여한 국내 기업 중 보안사고를 경험한 곳은 10%, 사이버 공격 사고 여부조차 모른다고 응답한 경우도 29%에 달했다. 국내 응답자의 35%는 사이버 위협을 우려해 디지털 전환을 연기하고 있다고 답했다.
최승환 프로스트앤설리번 이사는 “사이버 범죄자의 해킹 수법이 갈수록 지능화되고 있다”며 “효과적으로 차단하기 위해서는 기업이 디지털 전환에 나설 때 ‘사이버 보안’을 핵심요소로 삼고 조직 내 교육, AI와 자동화를 통한 보안 역량 강화 같은 투자가 중요하다”고 말했다.
MS는 이런 환경에서 파트너 기업이 보안을 강화할 수 있도록 전략을 수립하고 있다고 밝혔다. 보안 생태계를 확장하고 기업 보안 수준을 높이는 방식이다. 또 클라우드 제품은 물론 기업별 온프레미스(직접 서버 운영) 환경에서도 보안 강도를 높이기 위한 통합 보안을 제공하고 있다.
김귀련 한국MS 부장은 “한 기업이 보안을 위해 사용하는 솔루션은 평균 85개 이상으로 이 중 47%는 취약점을 발견해도 패치를 안하는 경우가 있다”며 “MS는 머신러닝과 인공지능(AI)을 활용해 월평균 9억3000만개 사이버 위협을 분석 감시하고 연간 10억달러 이상을 투자하고 있다”고 말했다.