AI·자동화 기술로 침해 비용 줄었지만 공격자도 AI 활용
[시사저널e=송주영 기자] 해마다 늘어나던 데이터 유출 비용이 5년 만에 처음으로 감소했다. AI와 자동화 기술 도입이 보안 대응을 강화하면서 침해 비용이 일시적으로 줄었지만 공격자 역시 AI를 활용해 수법을 고도화하는 만큼 기업 보안 투자는 더욱 강화돼야 한단 지적이 나온다.
한국IBM은 21일 서울 여의도 국제금융센터 본사에서 기자 간담회를 열고 보안은 단순한 기술이 아니라 기업 생존을 지키는 전략이라며 변화하는 사이버 위협 환경과 이에 대응하기 위한 전략을 제시했다.
이날 소개된 ‘2025 데이터 유출 비용 연구 보고서’는 시장조사업체 포네몬인스티튜트와 공동으로 지난해 3월부터 올해 2월까지 전 세계 16개국 600개 조직을 대상으로 실시한 조사 결과다.
보고서에 따르면 지난해 글로벌 평균 데이터 유출 비용은 444만달러(61억원)로 2019년 이후 꾸준히 증가하다 5년 만에 감소세를 기록했다. 유출 비용은 2019년 386만달러(53억원), 2020년 424만달러(58억원), 2021년 435만달러(59억원), 2022년 445만달러(61억원), 2023년 488만달러(67억원)로 매년 증가했으나 지난해 주춤했다.
이지은 한국IBM 전무는 “AI와 자동화 기술 적용으로 비용 절감 효과가 있었지만 공격자도 AI를 활용해 한층 정교하게 진화하고 있다”며 “공격과 방어가 동시에 고도화되는 상황”이라고 설명했다.
비용 감소 요인으로는 개발·보안·운영 통합(DevSecOps) 확산, AI·머신러닝 기반 대응, 보안 애널리틱스 등 자동화 기술 도입이 꼽혔다. 반면 IoT 확산, AI 도구 활용 등 새로운 IT 환경 변화는 침해 대응 비용을 늘리는 요인으로 작용했다.
대표적 보안사고 유형인 랜섬웨어 역시 대응 방식에 변화가 나타났다. 보고서에 따르면 랜섬웨어 공격으로 인한 평균 비용은 508만달러(69억원)였으며, 피해 조직 가운데 63%가 공격자에게 비용을 지불하지 않은 것으로 조사됐다. 이는 지난해 59%보다 늘어난 수치다.
이 전무는 “랜섬웨어 인식 확산으로 몸값 요구에 저항하는 조직이 늘고 있다”고 말했다.
법 집행기관에 신고한 비율은 40%로 지난해 52%보다 줄었다. 보고서는 법 집행기관이 개입할 경우 피해 비용이 평균 100만달러(13억원) 가량 절감된다고 분석했다.
사이버 공격의 표적도 대기업에서 중견기업, 공급망 생태계, 클라우드 환경으로 확장됐다. 공격방식은 생성형 AI를 활용한 정교한 피싱, 딥페이크 영상, 암호화된 이중 갈취 등으로 진화했으며 권한 관리 미흡이나 패치·백업 부재 같은 내부 취약점도 집중적으로 노렸다.
이에 대해 이 전무는 “권한 관리와 네트워크 세분화, 백업 체계 강화 등 정교한 보안 구조가 필요하다”며 “중요 데이터뿐 아니라 데이터에 접근하는 애플리케이션까지 포괄적으로 보안을 강화해야 한다”고 강조했다.
김경홍 한국IBM 파워사업 총괄 상무도 “클라우드와 AI 등 개방형 환경 확산으로 시스템 유연성을 요구하는 사례가 늘고 있다”며 “경영진은 보안과 유연성 사이에서 균형점을 찾는 것이 핵심 과제”라고 설명했다.