IBM은 최근 연례 데이터 침해 비용 보고서를 발표하여 인도에서 데이터 침해의 평균 비용이 2024년에 사상 최고인 1억 9,500만 인도 루피에 도달했다고 밝혔습니다. 침해 비용은 2020년 이후 39%, 전년 대비 9% 증가했으며, 침해가 더욱 파괴적이고 사이버 팀에 대한 요구가 더욱 확대되었습니다. 전 세계적으로 침해를 당한 조직의 70%가 침해로 인해 상당하거나 매우 상당한 중단이 발생했다고 보고했습니다.
인도에서 데이터 침해로 인한 부수적 피해가 심화되면서 손실된 사업 및 통지 비용이 전년 대비 비용 급증을 주도했습니다. 운영 중단, 고객 손실, 평판 손상 등 손실된 사업 비용은 약 45% 증가했고 통지 비용은 전년 대비 19% 뛰었습니다. 탐지 및 에스컬레이션 비용의 약간의 증가(동일 기간 동안 약 7%)는 침해 조사의 복잡성을 반영하며, 다시 한번 인도에서 침해 비용의 가장 높은 부분을 나타냅니다.
“올해 IBM의 데이터 침해 비용 보고서의 결과는 사이버 보안에 대한 선제적이고 통합된 AI 기반 접근 방식의 중요성을 강조합니다. 사이버 공격이 속도와 복잡성을 얻으면서 조직에 미치는 영향은 다차원적이 되어 평판, 재무 및 운영 측면에 영향을 미칩니다. 인도가 DPDP 법 2023의 출시를 준비하고 있다는 점을 고려할 때, 기업은 이러한 공격의 규제적 의미를 평가하고 종단 간 준수를 보장해야 합니다. 따라서 데이터 보안을 우선시하고 중요한 자산을 보호하여 적절한 사람만 조직 리소스에 액세스할 수 있도록 하는 것이 필수적입니다.”라고 IBM 인도 및 남아시아의 기술 부사장인 Viswanath Ramaswamy가 말했습니다.
눈에 띄는 공격 벡터
인도에서 가장 흔한 초기 공격 유형은 피싱과 도난 또는 침해된 자격 증명으로 각각 사건의 18%를 차지했습니다. 그 다음은 클라우드 오설정(12%)이었습니다. 비즈니스 이메일 침해는 침해당 평균 총 비용이 2억 1,500만 인도 루피로 가장 비용이 많이 드는 근본 원인이었고, 그 다음으로는 소셜 엔지니어링(2억 1,300만 인도 루피)과 피싱(2억 900만 인도 루피)이 가장 높은 비용이었습니다.
여러 환경에서 데이터 침해 발생
2024년 보고서에 따르면 인도에서 조사된 데이터 침해의 34%는 퍼블릭 클라우드에 저장된 데이터와 관련이 있었고 29%는 여러 환경(퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 포함)에 걸쳐 있었습니다. 퍼블릭 클라우드에 저장된 침해된 데이터는 가장 높은 비용(INR 2억 2,700만)을 차지했고, 여러 환경에 걸친 인시던트는 식별 및 격리하는 데 가장 오랜 시간이 걸렸습니다(327일).
영향을 받는 산업
인도 산업 부문은 데이터 침해로 인해 가장 큰 피해를 입었으며, 평균 비용은 2억 5,500만 인도 루피에 달했고, 그 다음으로는 기술 산업이 2억 4,300만 인도 루피, 제약 산업이 2억 2,100만 인도 루피였습니다. 전 세계적으로 의료, 금융 서비스, 산업, 기술, 에너지 조직과 같은 중요 인프라 부문이 산업 전체에서 가장 높은 침해 비용을 지출했습니다.
비용 감소의 주요 요인
인도에서는 공격적 보안 테스트(레드팀 구성 및 펜/취약점 테스트 등), AI와 머신 러닝 기반 통찰력 구현, 사전적 위협 사냥 등이 연구 대상 조직의 데이터 침해 총비용을 줄이는 데 도움이 되는 요인으로 나타났습니다.
시간 차원
시간은 인도에서 또 다른 관련 요인으로, 보고서는 데이터 침해를 식별하고 봉쇄하는 데 200일 미만이 걸린 조직이 평균 1억 8,400만 루피의 비용을 지출했다고 밝혔습니다. 반면, 데이터 침해 라이프사이클이 200일을 넘은 조직은 평균 2억 500만 루피의 비용을 지출했습니다.
보안 AI 및 자동화의 사례
2023년 보고서의 추세를 이어가면서 보안 AI와 자동화는 연구 대상 조직의 침해 식별 및 격리 속도를 가속화하는 데 중요한 역할을 했습니다. 인도에서 이러한 기술을 광범위하게 사용했을 때, 현지 기업은 데이터 침해 수명 주기를 112일 단축했고 보안 AI와 자동화를 구축하지 않은 조직에 비해 침해 비용이 평균 1억 3,000만 인도 루피 적게 발생했습니다.
이러한 맥락에서 보고서는 인도 조직의 28%가 현재 보안 AI와 자동화를 광범위하게 배포하고 있으며, 2023년에는 20%에 이를 것이라고 반영했습니다. 그러나 현재 연구 대상 조직의 72%가 보안 AI와 자동화를 제한적으로(35%) 또는 전혀 사용하지 않고(37%) 있기 때문에 인도에는 여전히 상당한 성장 잠재력이 있습니다.
