2016 cost of data breach study kor

2016년 데이터 유출 관련 비용

연구: 글로벌 분석

2016년 데이터 유출 관련 비용 연구:

글로벌 분석

Ponemon Institute LLC가 IBM의 의뢰로

2016년 6월에 독자적으로 수행한 벤치마크 연구

Ponemon Institute© 연구 보고서

Ponemon Institute© 연구 보고서 1페이지

2016년1 데이터 유출 관련 비용 연구: 글로벌 분석

Ponemon Institute, 2016년 6월

1부. 서론

IBM과 Ponemon Institute에서 2016년 데이터 유출 관련 비용 연구: 글로벌 분석 보고서를 발간하였습니다. 이번 조사 결과,

참여 기업 383개사의 데이터 유출당 평균 총비용이 지난해 379만 달러에서 4백만 달러로 증가했습니다2. 중요 정보 및 기밀

정보가 포함된 상태에서 사라졌거나 유출된 기록당 평균 비용은 2015년에 154달러였지만 올해는 158달러로

늘어났습니다.

이번 글로벌 연구에서는 비용뿐 아니라 기업에서

향후 24개월 동안 데이터 유출이 1회 이상 발생할

가능성도 살펴봤습니다. 10,000건의 기록이

사라지거나 유출되는 중대 사건이 일어날 확률이

26%로 추정되었습니다.

올해는 기업에서 10,000건 이상의 기록이

글로벌 연구 개요

• 12개국 383개사

• 데이터 유출당 평균 총비용 4백만달러

• 데이터 유출 총비용이 2013년 이후 29% 증가

• 사라졌거나 유출된 기록당 평균 비용은 158달러

• 1인당 비용은 2013년 이후 15% 증가

유출되는 중대한 사건이 일어날 확률이 가장 높은 곳이 브라질과 남아프리카공화국이었습니다. 반면에 독일과 호주는 그

가능성이 가장 낮았습니다.

올해 연구에는 미국, 영국, 독일, 호주, 프랑스, 브라질, 일본, 이탈리아, 인도, 아랍 지역(아랍에미리트, 사우디 아라비아),

캐나다 그리고 이번에 처음으로 포함된 남아프리카공화국의 12개 국가에서 383개 기업이 참여했습니다. 모든 기업이 데이터

유출을 겪은 적이 있으며, 손상된 기록 수를 보면 약 3,000건부터 101,500건을 약간 웃도는 수준까지 다양했습니다3.

여기서 손상된 기록 1건은 데이터 유출로 정보가 사라졌거나 유출된 개인 1명을 기준으로 합니다.

데이터 유출 관련 비용 연구에서 드러난 7대 글로벌 메가트렌드

수년간 모든 업종을 망라하여 2,013개 기업의 데이터 유출을 조사한 결과 다음과 같은 7가지 메가트렌드를 발견할 수

있었습니다 (주요 용어는 3~4 페이지에 정리).

1. 이 조사를 처음 실시한 이후 데이터 유출 관련 비용에는 큰 변동이 없었습니다. 이는 지속적으로 발생하는 비용임을

의미하므로 각 기업은 여기에 대비하고 데이터 보호 전략에 반영해야 합니다.

2. 데이터 유출을 겪은 기업에게 가장 큰 경제적 피해는 비즈니스 상실 비용입니다. 사건 이후 그 여파가 장기간 이어지지

않게 하려면 해당 기업은 고객의 신뢰를 다시 얻기 위해 노력해야 합니다.

3. 여전히 대부분의 데이터 유출은 범죄 목적의 공격 및 악의적 공격에서 비롯됩니다. 게다가 이러한 사건은 탐지 및 억제

에 가장 많은 시간이 소요됩니다. 따라서 기록당 비용이 가장 높습니다.

4. 기업들은 데이터 유출을 탐지하고 억제하는 시간이 길어질수록 해결 비용이 증가한다는 사실을 깨닫고 있습니다. 수년

간의 조사에서 탐지 및 상부 보고 비용이 계속 상승했습니다. 이는 탐지 및 억제 시간 단축을 위한 기술 및 자체 전문성

확보에 대한 투자가 이루어지고 있음을 의미합니다.

1 본 보고서는 현장 조사 완료일이 아닌 발간 연도 날짜로 표시됩니다. 본 보고서에서 다루는 데이터 유출 대다수는 2015년에 발생한 것

2 현지 통화를 미국 달러로 환산

3 이 보고서에서 “손상된 기록당 비용” 및 “1인당 비용”은 동일한 의미


5. 의료, 금융 서비스 등의 규제 대상 업종은 부과되는 벌금 및 평균을 초과하는 비즈니스/고객 상실 비용 때문에 데이터

유출 비용이 가장 높습니다.

6. 데이터 거버넌스 프로그램의 개선으로 데이터 유출 비용을 줄일 수 있습니다. 사건 대응 계획, CISO 임명, 직원 교육,

인식 제고 프로그램, 비즈니스 연속성 관리 전략도 여전히 유효한 비용 절감 방법입니다.

7. 특정 DLP(data loss prevention) 제어 및 활동(예: 암호화, 엔드포인트 보안 솔루션)에 대한 투자는 데이터 유출 예방에

중요합니다. 올해 연구에 따르면 보안 위협을 공유하고 DLP 기술을 도입한 기업에서 사건 비용이 감소했습니다.

이번 조사 결과의 주요 내용 및 기업에 의미하는 바를 간추려 정리하면 다음과 같습니다.

데이터 유출의 비용은 미국과 독일이 가장 높고 브라질과 인도가 가장 낮습니다. 데이터 유출 1인당 평균 비용이 미국은

221달러, 독일이 213달러였습니다. 브라질이 100달러, 인도가 61달러로 최저치를 기록했습니다. 기업이 부담하는 평균

총비용은 미국이 701만 달러, 독일이 501만 달러였습니다. 최저치는 인도가 160만 달러, 남아프리카공화국이 187만

달러였습니다.

데이터 유출 비용은 업종에 따라 달라집니다. 사라졌거나 유출된 기록당 비용의 글로벌 평균은 158달러였습니다. 그러나

의료 기관은 평균 355달러, 교육 기관은 평균 246달러였습니다. 운송($129), 학술 연구($112), 공공 부문($80)에서 기록당

평균 비용이 가장 낮았습니다.

해커와 내부 범죄자가 대부분의 데이터 유출을 일으켰습니다. 올해 연구에서 조사한 전체 유출 중 48%가 악의적 공격 또는

범죄 목적의 공격으로 인해 발생했습니다. 그러한 공격은 기록당 평균 해결 비용이 170달러였습니다. 이와 달리 시스템

오작동은 기록당 138달러, 사람의 실수 또는 태만은 133달러였습니다. 미국과 캐나다의 기업이 악의적 공격 또는 범죄 목적의

공격을 해결하는 데 가장 많이 지출했습니다(각각 기록당 236달러 , 230달러). 인도는 기록당 76달러로 훨씬

적었습니다.

악의적 공격 또는 범죄 목적의 공격은 국가에 따라 큰 차이를 보입니다. 아랍 지역의 전체 데이터 유출 중 60% 및 캐나다의

전체 사건 중 54%는 해커 및 내부 범죄자가 원인이었습니다. 남아프리카공화국의 경우 악의적 공격에서 비롯된 사건은

37%에 불과했습니다. 그 대신 남아프리카공화국의 기업에서는 사람의 실수에 의한 사건의 비율이 가장 높았고 인도는

시스템 오작동 또는 비즈니스 프로세스 오류(각각 37%, 35%)로 인해 데이터 유출이 발생할 가능성이 가장 높았습니다.

사건 대응 팀을 두고 광범위하게 암호화를 사용할 경우 데이터 유출 관련 비용을 줄일 수 있었습니다. 사건 대응 팀이 있으면

데이터 유출의 기록당 비용이 158달러에서 142달러로 16달러 감소했습니다. 한편 제3자 관여로 인한 데이터 유출의 기록당

비용은 158달러에서 172달러로 14달러 증가했습니다.

각종 수치는 데이터 유출 관련 비용이 증가한 이유를 보여줍니다. 데이터 유출 평균 총비용이 5.4% 증가했고 1인당, 즉 기록당

비용은 2.9% 증가했습니다. 데이터 유출의 평균 규모(사라졌거나 유출된 기록 수)는 3.2% 증가했습니다. 정상적인 비즈니스

상황에서 예상되는 고객 이탈보다 많은 경우를 뜻하는 비정상적 고객 이탈은 2.9% 증가했습니다.

고객 상실로 데이터 유출 관련 비용이 더욱 증가했습니다. 프랑스, 일본, 이탈리아와 같은 일부 국가는 데이터 유출 후 고객

이탈 방지에 더 큰 어려움이 있었고 그에 따라 더 많은 비용이 발생했습니다. 고객 이탈이 가장 적었던 국가는 브라질,

남아프리카공화국, 인도입니다. 고객 이탈이 가장 많은 업종은 금융, 의료, 서비스입니다.


일부 국가 및 업종은 고객 이탈에 더 취약한 편입니다. 프랑스가 여전히 고객 이탈률 1위이며 그 다음은 일본입니다. 공공

부문 및 유통 산업은 비정상적 고객 이탈이 가장 낮았습니다. 작은 표본 크기 때문에 업종별 고객 이탈률의 영향을 일반화하기

어렵지만 금융, 의료, 서비스 부문의 비정상적 고객 이탈이 비교적 높고 공공 부문 및 교육 기관은 비교적 낮았습니다.

사라진 기록이 많을수록 데이터 유출 관련 비용이 증가합니다. 383개 기업을 대상으로 한 올해 연구에서는 손상된 기록 수가

10,000개 미만인 사건의 비용이 최저 210만 달러, 50,000개 이상의 기록이 사라진 경우에는 670만 달러에 육박하기도

했습니다.

탐지 및 상부 보고 비용이 캐나다에서 가장 높고 인도에서 가장 낮았습니다. 탐지 및 상부 보고 관련 비용이란 분석 및 조사

활동, 평가 및 감사 서비스, 위기 팀 관리, 경영진 및 이사회와의 커뮤니케이션에 쓰이는 것입니다. 캐나다의 평균 탐지 및

상부 보고 비용은 160만 달러였으나, 인도는 53만 달러였습니다.

전달 비용은 미국에서 가장 높았습니다. 비즈니스 상실 비용은 비정상적 고객 이탈, 고객 확보 활동 증가, 평판 하락,

영업권(good will) 감소에 따른 비용입니다. 미국이 59만 달러, 인도는 2만 달러였습니다.

사건 후 대응 비용은 미국과 독일에서 가장 높았습니다. 사건 후 대응 및 탐지 관련 비용은 미국이 172만 달러, 독일은 154만

달러였습니다. 사후 비용에는 헬프데스크 활동, 인바운드 커뮤니케이션, 특별 조사 활동, 문제 해결, 법적 비용, 제품 할인,

신원 보호 서비스, 감독 기관의 관여 등이 포함됩니다.

데이터 유출 후 고객 상실로 인한 비용 부담은 미국 기업에서 가장 컸습니다. 비즈니스 상실 비용이 미국 기업에서 특히

높았습니다(397만 달러). 여기에는 비정상적 고객 이탈, 고객 확보 활동 증가, 평판 하락, 영업권 감소 등이 포함됩니다.

아랍 지역은 직접 비용이, 미국은 간접 비용이 가장 높았습니다. 직접 비용이란 조사 전문가 투입, 법률 회사 고용, 피해자를

위한 신원 보호 서비스 제공 등의 활동에 직접적으로 지출하는 비용입니다. 간접 비용에는 데이터 유출 해결 과정에 투입된

시간, 공수, 기타 기업의 자원이 포함됩니다. 사건 통지 또는 조사를 위한 직원의 지원도 포함됩니다. 영업권 상실 및 고객

이탈도 간접 비용에 해당됩니다. 아랍 지역은 직접 비용의 비율이 57%로 가장 높았고 미국은 간접 비용의 비율이 66%로

최고였습니다.

일부 국가는 데이터 유출 발생 가능성이 더 높습니다. 지난 3년 동안 데이터 유출이 1회 이상 발생할 가능성도 조사했습니다.

브라질과 남아프리카공화국이 가장 높았습니다. 독일과 호주는 데이터 유출이 일어날 확률이 가장 낮았습니다.

데이터 유출 탐지 및 억제에 걸리는 시간이 비용을 좌우합니다. 기업에서 유출을 탐지하여 억제하는 속도와 경제적 영향의

상관성을 2년 연속 조사했습니다. 탐지 시간 및 억제 시간 모두 악의적 공격 및 범죄 목적의 공격에서 가장 길었고(각각

229일, 82일) 사람의 실수에 의한 사건에서는 훨씬 짧았습니다(각각 162일, 59일).


데이터 유출 관련 비용 FAQ

본 연구의 목적은 무엇입니까? 데이터 유출의 경제적 영향을 정량화하고 장기적인 비용 추이를 관찰하는

것입니다. 비용, 근본 원인, 비용에 영향을 미치는 요인을 더 정확하게 이해한다면 공격을 예방하고 그 피해를

완화하는 데 필요한 투자와 자원의 적정 수준을 결정하는 데 유익할 것입니다.

데이터 유출이란 무엇입니까? 전산화되었거나 기존 문서 형식인 개인의 이름과 의료 기록, 금융 기록 또는

직불카드가 잠재적으로 위험한 상태에 있는 것입니다. 이번 연구에서는 데이터 유출의 주 원인을 3가지로

분류했는데 악의적 또는 범죄 목적의 공격, 시스템 오작동, 사람의 실수입니다. 데이터 유출의 비용은 그 원인

및 사건 시 구현되었던 안전 장치에 따라 달라질 수 있습니다.

손상된 기록이란 무엇입니까? 이 연구에서 정의하는 기록은 자연인(개인)을 식별하는 정보이며, 이 자연인은

데이터 유출로 정보가 사라졌거나 유출된 당사자입니다. 이를테면 개인의 이름과 신용카드 정보 및 기타 개인

식별 정보가 포함된 유통업체의 데이터베이스가 있습니다. 또는 진료한 의사 및 결제 정보가 포함된

의료보험사의 가입자 기록도 해당됩니다. 올해 연구에서 이러한 기록 1건이 사라지거나 유출될 경우 해당

기업이 치러야 할 평균 비용은 158달러였습니다.

어떻게 데이터를 수집합니까? Ponemon Institute 연구진은 10개월에 걸쳐 1,500회 이상의 개별 인터뷰를 실시

하여 심도 있는 정성적 데이터를 수집했습니다. 2016년 조사 대상 기업 선발은 2015년 1월에 시작했고 인터뷰

는 2016년 3월에 완료했습니다. 참여 기업 383곳 각각에서 해당 기업의 데이터 유출 및 그 해결 비용에 대해 잘

알고 있는 IT, 컴플라이언스, 정보 보안 실무자와 얘기를 나눴습니다. 개인 정보 보호를 위해 기업 상세 정보는

수집하지 않습니다.

어떻게 비용을 산정합니까? 데이터 유출의 평균 비용을 계산하기 위해 해당 기업에서 발생한 직접 비용 및 간접

비용 정보를 모두 수집합니다. 직접 비용에는 분석 전문가 투입, 핫라인 지원 외주, 무료 신용 조회 서비스 제공,

향후 제품 및 서비스에 대한 할인 혜택 제공 등이 포함됩니다. 간접 비용에는 자체 조사 및 커뮤니케이션 비용

그리고 고객 이탈 또는 고객 확보율 감소에 따른 고객 상실 추정 가치가 포함됩니다.

벤치마크 조사는 설문 조사와 어떻게 다릅니까? 데이터 유출 관련 비용 연구에서는 분석 단위가 조직(기업)

입니다. 설문 조사에서는 분석 단위가 개인입니다. Ponemon Institute는 이번 연구를 위해 383개 기업을 선발

하여 참여시켰습니다. 데이터 유출의 규모는 손상된 기록 수 기준으로 최소 3,000개부터 최대 101,500개 이상

까지 다양합니다.

이 데이터 유출 평균 비용이 수백만 개의 기록이 사라졌거나 유출된 대형 사건의 경제적 피해를 분석하는 데

쓰일 수 있습니까? 이번 연구의 평균 비용은 Sony 사례와 같이 대개의 기업에서 겪는 전형적인 상황과 다른

초대형 사건에는 적용되지 않습니다. 글로벌 기업의 모집단을 대표하고 보호 대상 정보가 유출되거나 도용될

경우 발생할 비용을 이해하는 데 유의미한 결론을 도출하기 위해 손상된 기록 수가 약 10만 건을 초과하는

사건은 분석에 포함하지 않았습니다.

매년 같은 기업에 대한 추적 조사가 이루어지고 있습니까? 기업 표본은 매년 달라집니다. 즉 동일 기업 표본을

지속적으로 추적 조사하지 않습니다. 일관성을 유지하고자 업종, 인원, 지리학적 조건, 유출 규모와 같은 특성이

유사한 기업을 선발하여 비교합니다. 2005년에 본 연구를 시작한 이래 지금까지 전 세계 2,013개 기업의 유출

사례를 조사했습니다.


글로벌 개요

올해 연구는 미국, 독일, 캐나다, 프랑스, 영국, 이탈리아, 일본, 호주, 아랍 지역, 브라질, 인도 그리고 처음으로 포함된

남아프리카공화국의 12개 국가에서 실시했습니다. 총 383개 기업이 참여했습니다. 국가별 결과는 12개의 개별 보고서에

수록되어 있습니다.

그림 1은 12개 국가의 3년간 데이터 유출 1인당 평균 비용을 미국 달러로 나타낸 것입니다. 그림에서 보여주는 것처럼 국가

표본 간에 상당한 차이가 있습니다.4 모든 국가를 종합한 1인당 평균 비용은 158달러였으며, 작년에는(남아프리카공화국을

제외하고) 154달러였습니다. 미국과 독일이 각각 221달러와 213달러로 여전히 1인당 비용 최고치를 기록했습니다. 인도와

브라질은 각각 61달러와 100달러로 가장 적었습니다.

그림 1. 3년간 데이터 유출의 1인당 평균 비용

글로벌 평균 FY 2016=$158, FY 2015=$154, FY 2014=$145

*일부 연도는 과거 데이터 부재(FY 2016=383, FY 2015=350, FY 2014=315).

단위 : US $

4 1인당 비용은 데이터 유출 총비용을 데이터 유출 규모(사라졌거나 손상된 기록 수)로 나눈 것


2부. 주요 결과

2부에서는 본 연구 조사의 자세한 결과를 다음 순서대로 소개합니다.

• 글로벌 및 업종별 데이터 유출 관련 비용

• 데이터 유출의 근본 원인

• 데이터 유출 관련 비용에 영향을 주는 요인

• 손상 기록 및 고객 이탈 빈도 추이

• 데이터 유출의 비용 요소 추이

• 기업에서 데이터 유출이 발생할 가능성

• 데이터 유출을 탐지하고 억제하는 데 드는 평균 시간

• 비즈니스 연속성 관리가 데이터 유출 관련 비용에 미치는 영향

다음 표는 이번 글로벌 연구의 12개 국가, 표시 기호, 표본 크기, 통화를 정리한 것입니다. 국가별로 연례 보고서가 작성된

연수(예: 캐나다 1년, 미국 11년)도 나와 있습니다.

표 1. 글로벌 연구 개요

표시 기호 국가 표본 수 백분율 통화 연구 연수

AB 아랍 지역* 25 7% AED/SAR 3

AU 호주 26 7% 호주 달러 7

BZ 브라질 33 9% 레알 4

CA 캐나다 24 6% 캐나다 달러 2

DE 독일 33 9% 유로 8

FR 프랑스 30 8% 유로 7

ID 인도 37 10% 루피 5

IT 이탈리아 24 6% 유로 5

JP 일본 27 7% 엔 5

SA 남아프리카공화국 19 5% ZAR 1

UK 영국 41 11% GBP 9

US 미국 64 17% 미국 달러 11

합계 383 100%

*AB는 사우디아라비아 및 아랍에미리트 소재 기업의 통합 표본.

다음 그래프는 12개 국가, 383개 기업의 분포를 보여줍니다. 미국이 64개사로 가장 많고 남아프리카공화국이 19개사로 가장

적습니다.

원 그래프 1. 국가별 조사 표본 수

(n=383)

미국

영국

인도

브라질

독일

프랑스

일본

호주

아랍 지역

캐나다

이탈리아

남아프리카공화국


글로벌 및 업종별 데이터 유출 관련 비용

기업이 부담하는 데이터 유출의 평균 비용은 국가에 따라 다릅니다. 그림 2는 올해 연구의 12개국 평균 총비용입니다. 호주와

남아프리카공화국을 제외하고 모든 국가의 평균 총비용이 전년 대비 증가했습니다. 미국이 평균 총비용 701만 달러를

넘어서면서 1위를 차지했고 501만 달러의 독일이 그 뒤를 이었습니다. 이와 달리 인도와 남아프리카공화국 기업은 각각

160만 달러와 187만 달러로 평균 총비용이 가장 낮았습니다.

그림 2. 3년간 데이터 유출 평균 총비용

글로벌 평균 FY 2016=$4.0, FY 2015=$3.8, FY 2014=$3.50

*일부 연도는 과거 데이터 부재(FY 2016=383, FY 2015=350, FY 2014=315)

단위 : US $M(백만달러)


노출되거나 손상된 기록 수. 그림 3은 조사 대상 12개국의 기업에서 발생한 데이터 유출의 평균 규모입니다. 인도, 아랍

지역, 미국 표본에서 손상된 기록 수 평균이 가장 높습니다. 남아프리카공화국의 손상된 기록 수 평균이 가장 낮습니다.

본 보고서에서는 사라졌거나 유출된 기록 수와 데이터 유출 관련 비용의 관계도 조명합니다.

그림 3. 국가별 유출 기록 수 평균

글로벌 평균 = 23,834(n=383)

2016년 데이터 유출 평균 규모


각종 수치는 데이터 유출 관련 비용이 증가한 이유를 보여줍니다. 그림 3은 데이터 유출 관련 비용의 증가를 설명하는 4가지

지표를 제시합니다. 데이터 유출 평균 총비용이 5.4%, 1인당(기록당) 비용이 2.9% 증가했습니다. 데이터 유출 평균

규모(사라졌거나 유출된 기록 수)는 3.2%, 비정상적 고객 이탈은 2.9% 증가했습니다. 비정상적 고객 이탈은 정상적인

비즈니스 상황에서 예상되는 고객 이탈보다 많은 경우를 의미합니다.

그림 3. 데이터 유출 관련 비용의 지표

전체 표본 수(n=383)

평균 총비용

데이터 유출 평균 규모

비정상적 고객 이탈

1인당 비용


일부 업종은 데이터 유출 관련 비용이 상대적으로 더 높았습니다. 그림 4는 통합 표본의 산업별 1인당 비용을 보여줍니다.

의료, 교육, 금융 등 엄격한 규제를 받는 업종은 1인당 비용이 전체 평균인 158달러보다 현저히 높습니다. 공공 부문, 학술

연구, 운송 부문은 1인당 비용이 전체 평균보다 크게 낮습니다.

그림 4. 산업별 1인당 비용

전체 표본 수(n=383), 단위 : US $

의료

교육

금융

서비스

생명과학

유통

통신

공업

에너지

기술

호텔

소비재

미디어

운송

학술 연구

공공


데이터 유출의 근본 원인

악의적 공격 또는 범죄 목적의 공격에서 비롯된 데이터 유출이 가장 많습니다.5 원 그래프 2는 12개국 통합 표본을 대상으로

데이터 유출의 주 원인을 요약한 것입니다. 48%가 악의적 공격 또는 범죄 목적의 공격과 관련 있으며 25%는 직원 또는

계약직의 태만(인적 요인)이 원인이었고 27%는 IT 및 비즈니스 프로세스 오류를 모두 포함하는 시스템 오작동과 관련

있습니다.6

원 그래프 2. 조사 표본의 데이터 유출 근본 원인 분포


전 세계적으로 악의적 공격에 따른 경제적 피해가 더 큽니다. 그림 5는 데이터 유출의 3대 근본 원인에 대한 1인당 비용을

보여줍니다. 2016년에 악의적 공격 또는 범죄 목적의 공격에 의한 데이터 유출의 비용이 170달러입니다. 시스템 오작동 및

사람의 실수에 의한 사건의 1인당 비용(각각 138달러, 133달러)보다 훨씬 높습니다.

그림 5. 데이터 유출 3대 근본 원인의 1인당 비용


5 내부자 태만은 사후 조사에서 개인의 부주의가 데이터 유출의 원인으로 밝혀진 경우. 악의적 공격은 해커나 내부 범죄자(직원, 계약직, 기타 제3자)가 원인일 수

있음

6 악의적 공격 또는 범죄 목적 공격의 대표적인 유형으로는 악성코드 감염, 내부 범죄자, 피싱/소셜 엔지니어링, SQL 인젝션 등이 있음

악의적 공격 또는 범죄 목적의 공격

시스템 오작동

사람의 실수

악의적 또는 범죄 목적의 공격 시스템 오작동 사람의 실수


데이터 유출 근본 원인의 국가별 차이. 그림 6은 12개국 표본별로 데이터 유출의 주요 근본 원인을 보여줍니다. 아랍 지역이

악의적 또는 범죄 목적의 공격을 받을 가능성이 60%로 가장 높았습니다. 이와 달리 남아프리카공화국과 브라질은 그러한

데이터 유출을 겪을 가능성이 가장 낮았습니다. 그 대신 남아프리카공화국은 사람의 실수에 의한 데이터 유출 비율이 가장

높았고 인도는 시스템 오작동 또는 비즈니스 프로세스 오류 때문에 데이터 유출이 발생할 가능성이 가장 높습니다.

그림 6. 조사 표본의 데이터 유출 근본 원인 분포

(n=383)

악의적 공격 또는 범죄 목적의 공격 시스템 오작동 사람의 실수


3대 근본 원인의 1인당 비용이 국가에 따라 다릅니다. 그림 7은 데이터 유출 3대 근본 원인의 1인당 비용을 국가별로 보여줍니다.

이 결과를 보면 악의적 공격 또는 범죄 목적의 공격에서 비롯된 데이터 유출의 비용이 시스템 오작동 또는 사람의 실수에 의한

사건의 비용보다 높다는 것이 일관되게 나타납니다. 또한 이 그래프에 따르면 국가 표본 간에 상당한 차이가 있습니다. 즉

미국은 악의적 또는 범죄자에 의한 데이터 유출의 비용이 기록당 236달러인데 반해 인도는 이 1인당 비용이 76달러였습니다.

그림 7. 3대 근본 원인의 1인당 비용

(n=383)

악의적 공격 또는 범죄 목적의 공격 시스템 오작동 사람의 실수


데이터 유출 관련 비용에 영향을 미치는 요인

일부 요인은 데이터 유출의 비용을 줄이는 역할을 했습니다. 그림 8은 데이터 유출의 1인당 비용을 증감시킨 16가지 요인을

정리한 것입니다. 사건 대응 팀, 광범위한 암호화 사용, 직원 교육, 위협 공유 참여, 비즈니스 연속성 관리는 1인당 비용을

감소시켰습니다.

제3자의 사건 관여, 클라우드에 대한 광범위한 마이그레이션, 긴급 통지, 유실되었거나 도난 당한 디바이스 때문에 1인당

비용이 증가했습니다(음수로 표시됨). 예를 들어 사건 대응 팀은 데이터 유출 관련 비용을 158달러에서 142달러로 16달러

낮춘 데 반해 제3자가 사고 원인에 관여한 까닭으로 158달러였던 비용이 14달러 늘어난 172달러가 되었습니다.

그림 8. 16가지 요인이 데이터 유출 1인당 비용에 미치는 영향


$158 기준 시

사건 대응 팀

광범위한 암호화 사용

직원 교육

위협 공유에 참여

BCM 관여

광범위한 DLP 사용

CISO 임명

경영진의 관여

데이터 분류 스키마

보험 보장

ID 보호 프로비저닝

컨설턴트 투입

디바이스 유실 또는 도난

긴급 통지

광범위한 클라우드 마이그레이션

제3자 관여


손상된 기록 및 고객 이탈 빈도의 추이

사라진 기록이 많을수록 데이터 유출 비용이 증가합니다. 그림 9는 383개사의 데이터 유출 총비용과 사건 규모의 관계를

보여주는데, 사건 규모 기준 오름차순입니다. 올해 연구에서는 210만 달러 ~ 670만 달러의 비용이 발생했습니다.

그림 9. 데이터 유출 규모별 총비용

전체 표본 수(n=383), 단위 : US $M(백만달러)

고객 이탈이 많을수록 1인당 비용이 증가합니다. 그림 10은 383개 기업의 데이터 유출 1인당 비용을 비정상적 고객 이탈률

오름차순으로 보여줍니다. 기존 고객의 1% 미만을 잃은 기업은 데이터 유출 평균 비용이 270만 달러였지만 기존 고객

이탈률이 4%를 초과한 그룹은 평균 비용이 550만 달러에 달했습니다.

그림 10. 비정상적 고객 이탈 기준 데이터 유출 총비용


10,000 미만 10,000~ 25,000 25,001 ~ 50,000 50,000 초과

1% 미만 1 ~ 2% 3 ~ 4% 4% 초과


일부 국가는 고객 이탈에 더 취약합니다. 그림 11은 12개 국가의 비정상적 고객 이탈률 평균을 보여줍니다. 국가 간에 상당한

차이가 있습니다. 프랑스는 여전히 고객 이탈률이 가장 높았고 그 다음이 일본이었습니다. 공공 및 유통 부문은 비정상적

고객 이탈이 가장 적었습니다.

이러한 결과로 미루어보건대 고객 이탈률이 높은 국가의 기업은 기업의 평판 및 브랜드 가치를 보호하는 고객 유지 활동에

역점을 두어 데이터 유출 관련 비용을 크게 줄일 수 있습니다.

그림 11. 국가 표본별 3년간의 비정상적 고객 이탈률

(n = 383)


일부 업종은 고객 이탈에 더 취약합니다. 그림 12는 2016년 연구에서 벤치마크 대상이 된 기업의 비정상적 고객 이탈률을

보여줍니다. 작은 표본 크기 때문에 업종이 고객 이탈률에 미칠 영향을 일반화하기는 어렵지만 금융, 의료, 서비스 부문은

비정상적 고객 이탈률이 상대적으로 높으며 공공 및 교육 부문은 더 낮은 편입니다.7

그림 12. 벤치마크 기업의 업종별 비정상적 고객 이탈률

(n = 383)

7 공공 부문의 경우 정부 기관 고객에게는 대개 다른 대안이 없으므로 다른 고객 이탈 프레임워크를 적용

금융

의료

서비스

기술

생명과학

공업

통신

소비재

운송

에너지

유통

미디어

호텔

학술 연구

교육

공공


데이터 유출 관련 비용 요소의 추이

탐지 및 상부 보고 비용이 캐나다에서 가장 높고 인도에서 가장 낮았습니다. 탐지 및 상부 보고 관련 비용이란 분석 및 조사

활동, 평가 및 감사 서비스, 위기 팀 관리, 경영진 및 이사회와의 커뮤니케이션에 쓰이는 것입니다. 그림 13에서 보여주는

것처럼, 캐나다의 평균 탐지 및 상부 보고 비용은 160만 달러였으나, 인도는 53만 달러였습니다.

그림 13. 탐지 및 상부 보고 비용

(n = 383), 단위 : US $M(백만달러)

전달 비용은 미국이 가장 높았습니다. 여기에는 연락처 데이터베이스 생성, 모든 규정 요건 확인, 외부 전문가 투입, 우편 요금,

이메일 바운스백, 인바운드 통신 설정과 관련된 IT 활동이 포함됩니다. 그림 14에서 보여주는 것처럼 지금까지는 미국 기업의

통지 비용이 59만 달러로 가장 높았습니다.

그림 14. 통지 비용

(n = 383), 단위 : US $M(백만달러)


데이터 유출 사후 대응 비용은 미국과 독일이 가장 높았습니다. 그림 15에서 보여주는 것처럼 사건 후 대응 및 탐지 관련

비용은 미국이 172만 달러, 독일은 154만 달러였습니다. 사후 비용에는 헬프데스크 활동, 인바운드 커뮤니케이션, 특별 조사

활동, 문제 해결, 법적 비용, 제품 할인, 신원 보호 서비스, 감독 기관의 관여 등이 포함됩니다.

그림 15. 사후 대응 비용

(n = 383), 단위 : US $M(백만달러)

데이터 유출 후 고객 상실로 인한 비용 부담은 미국 기업에서 가장 컸습니다. 그림 16에서 보여주는 것처럼, 비즈니스 상실

비용이 미국 기업에서 특히 높았습니다(397만 달러). 여기에는 비정상적 고객 이탈, 고객 확보 활동 증가, 평판 하락, 영업권

감소 등이 포함됩니다.

그림 16. 비즈니스 상실 비용

(n = 383), 단위 : US $M(백만달러)

비즈니스 상실 비용(백만 달러)


국가별로 다른 데이터 유출 직간접 비용의 비율

아랍 지역은 직접 비용이, 미국은 간접 비용이 가장 높습니다. 직접 비용이란 분석 전문가 투입, 법률 회사 고용, 피해자를

위한 신원 보호 서비스 제공 등에 직접적으로 들어가는 경비입니다. 간접 비용에는 데이터 유출 해결 과정에 투입되는 시간,

공수, 기타 기업의 자원이 포함됩니다. 데이터 유출 사건을 알리고 조사하는 데 기존 직원이 지원하는 것도 포함됩니다.

영업권 상실 및 고객 이탈도 간접 비용에 해당됩니다.

그림 17은 12개국 데이터 유출의 1인당 직접 비용 및 간접 비용을 백분율로 나타낸 것입니다. 직접 비용은 아랍 지역이 57%로

가장 높고 간접 비용은 미국이 66%로 가장 높습니다.

그림 17. 1인당 데이터 유출 비용의 직접 비용과 간접 비용의 비율


1인당 직접 비용 1인당 간접 비용


기업에서 데이터 유출이 발생할 가능성

이번 연구에서는 향후 24개월간 1차례 이상의 데이터 유출이 발생할 가능성도 분석했습니다. 조사 대상 기업의 경험에

기초하여 사라졌거나 유출된 기록 수 및 해당 업종의 2가지 요인을 적용하여 데이터 유출 발생 가능성을 예측할 수

있습니다.

그림 18은 손상 기록 수가 10,000개 ~ 100,000개인 유출 사건이 일어날 주관적 확률을 보여줍니다.8 규모가 커질수록 발생

가능성이 계속 줄어듭니다. 기록 수가 최소 10,000개인 데이터 유출의 발생 가능성은 24개월간 약 26%인 반면 100,000개인

데이터 유출의 발생 가능성은 1% 미만입니다.

그림 18. 최소 10,000개, 최대 100,000개 기록의 데이터 유출 발생 가능성


8 점추정법을 사용하여 표본 응답자로부터 확률 추정치를 확보. CISO, CPO와 같이 비용 평가 인터뷰에 참여한 핵심 관계자는 데이터 유출

사건 10단계(사라졌거나 유출된 기록 수 10,000개 ~ 100,000개)에 대한 발생 가능성 추정치를 제시. 이 추정 작업에는 향후 24개월을 시간

척도로 사용. 383개 기업 각각에 대해 집계 확률 분포를 추정함

유출 기록 수

확

률


일부 국가의 기업은 데이터 유출 발생 가능성이 더 높습니다. 그림 19는 이번 연구 대상인 12개 국가에서 최소 10,000개

기록에 대한 데이터 유출이 발생할 가능성을 요약한 것입니다. 작은 표본 크기 때문에 국가별 차이를 일반화할 수는 없으나

중대한 데이터 유출 사건이 발생할 가능성의 추정치는 국가별로 상당한 차이를 나타냅니다.

브라질과 남아프리카공화국의 추정치가 가장 높습니다. 독일과 호주는 데이터 유출 발생 가능성이 가장 낮습니다.

그림 19. 국가별 10,000개 이상의 기록이 포함된 데이터 유출의 발생 가능성

글로벌 평균 = 25.6%

손상 기록 수 10,000개 이상

*일부 연도는 과거 데이터 부재

전체 표본 수(FY 2016=383, FY 2015=350, FY 2014=315)


데이터 유출 탐지 및 억제까지 소요된 시간이 비용에 미치는 영향

기업의 사건 대응 및 억제 프로세스의 실효성을 평가하는 데 MTTI(Mean Time to Identify) 및 MTTC(Mean Time to Contain)

지표를 사용합니다. MTTI 지표를 사용하여 사건 발생을 탐지하는 데 걸린 시간을 알아냅니다. MTTC 지표는 대응 팀이

상황을 해결하고 최종적으로 서비스를 정상화하기까지 걸린 시간을 측정합니다.

그림 20은 데이터 유출의 MTTI 및 MTTC를 보여줍니다. 전체 표본 383개사에서 MTTI는 201일, 범위는 20일 ~ 569일

이었습니다. MTTC는 70일, 범위는 11일 ~ 126일이었습니다.

그림 20. 데이터 유출의 MTTI 및 MTTC(일)

전체 표본 수(n = 383)

추정 일수

MTTI MTTC


그림 21은 데이터 유출 3대 근본 원인별 MTTI와 MTTC를 보여줍니다. 악의적 공격 또는 범죄 목적의 공격이 MTTI와 MTTC

모두 최고입니다(각각 229일, 82일). 사람의 실수에 의한 데이터 유출에서는 훨씬 짧습니다(각각 162일, 59일).

그림 21. 데이터 유출 근본 원인별 MTTI 및 MTTC(일)

전체 표본 수(n = 383)

그림 22는 12개국 383개사의 데이터 유출 총비용과 평균 시간이 상향 선형 관계에 있음을 보여줍니다. 이 의미 있는 관계는

데이터 유출을 일찍 탐지하지 못하면 더 큰 비용이 발생할 가능성을 시사합니다. 또한 사건 대응 계획을 마련하는 것이

중요함을 알 수 있습니다. MTTI가 100일 미만일 경우 데이터 유출 탐지의 평균 비용은 323만 달러, 100일을 초과할 경우

438만 달러였습니다.

그림 22. MTTI와 평균 총비용의 관계


악의적 또는 범죄 목적의 공격 시스템 오작동 사람의 실수

MTTI(일) MTTC(일)

MTTI < 100일 MTTI ≥ 100일


그림 23에서도 데이터 유출 총비용과 MTTC의 관계가 상향 선형 회귀선으로 나타납니다. 위와 마찬가지로 이 의미 있는

관계는 데이터 유출을 일찍 억제하지 못하면 비용 상승으로 이어질 것임을 나타냅니다. 유출 억제까지 걸린 시간이 30일

미만이면 비용은 318만 달러였습니다. 30일을 초과할 경우 435만 달러였습니다.

그림 23. MTTC와 평균 총비용의 관계


MTTC < 30일 MTTC ≥ 30일


3부. 데이터 유출 비용의 계산 방식

데이터 유출 관련 비용을 계산하기 위해 활동 기준 비용 산정(activity-based costing, ABC)이라는 방법론을 적용합니다. 이

방법론은 각종 활동을 탐지하고 실제 사용에 따른 비용을 부여합니다. 이번 벤치마크 조사에 포함된 기업에 데이터 유출

해결을 위한 모든 활동에 대해 비용을 추정하도록 요청했습니다.

데이터 유출을 탐색하고 즉각적으로 대응하기 위해 일반적으로 다음과 같은 활동을 수행합니다.

• 데이터 유출의 근본 원인을 규명하기 위한 조사 및 분석

• 데이터 유출의 잠재적 피해자 확인

• 사건 대응 팀 조직

• 커뮤니케이션 및 PR 활동 수행

• 데이터 유출 피해자 및 감독 기관에 전달할 통지 문서 및 기타 필수 공개 자료 작성

• 콜 센터 절차 및 전문 교육 이행

데이터 유출을 발견했다면 일반적으로 다음과 같은 활동을 수행합니다.

• 감사 및 컨설팅 서비스

• 방어를 위한 법률 서비스

• 컴플라이언스를 위한 법률 서비스

• 유출 피해자에 대한 무료 또는 할인 서비스

• 신원 보호 서비스

• 고객 이탈 추정치에 근거한 고객 비즈니스 상실

• 고객 확보 및 우수 고객 프로그램 비용

기업에서 이 활동에 대한 비용 범위를 추정하면 아래와 같이 직접 비용, 간접 비용, 기회 비용으로 분류합니다.

• 직접 비용 – 특정 활동을 수행하는 데 드는 직접 비용

• 간접 비용 – 직접적인 자금 지출은 아니지만 투입되는 시간, 공수, 기타 기업의 자원 양

• 기회 비용 – 데이터 유출이 피해자에게 보고되고 미디어에 공개된 후 평판 저하로 인한 비즈니스 기회 상실의 비용

이번 조사는 기업의 데이터 유출 탐지, 대응, 억제, 해결과 관련하여 광범위한 지출을 야기하는 핵심 프로세스 관련 활동에도

주목합니다. 각 활동의 비용이 주요 결과 섹션(2부)에 나와 있습니다. 4대 비용 항목은 다음과 같습니다.

• 탐지 또는 탐색: 기업에서 위험한 상태(저장 중) 또는 전송 중인 개인 데이터의 유출을 적절히 탐지하기 위한 활동

• 상부 보고: 지정된 기한 내에 해당 책임자에게 보호 대상 정보의 유출 사실을 보고하기 위한 활동

• 전달: 기업에서 데이터 주체에게 서신, 전화 통화, 이메일 또는 일반 통지를 통해 개인 정보의 분실 또는 도난 사실을

알리기 위한 활동

• 사후 활동: 유출 피해자가 잠재적 피해를 최소화하기 위해 해당 기업과 연락하여 추가 질문을 하거나 조언을 받을 수

있게 하는 활동. 사후 활동에는 신용 보고서 모니터링, 신규 계정(신용카드) 재발급 등이 포함됩니다.


대부분의 기업은 위와 같은 프로세스 관련 활동 외에도 현재 고객과 미래 고객의 신뢰 상실에 따른 기회 비용도 부담합니다.

따라서 이번 조사는 데이터 유출 사고로 인한 부정적 이미지가 기업의 평판에 영향을 미쳐 비정상적인 고객 이탈률 및 저조한

신규 고객 확보율로 이어질 수 있음을 보여줍니다.

기회 비용을 추정하기 위해 조사 대상 기업 각각에 대해 정의되는 평균 고객 “생애가치(Lifetime Value)”에 근거한 비용

산정법을 적용합니다.

• 기존 고객의 이탈: 데이터 유출 사고의 결과로 관계를 종료할 가능성이 가장 높은 고객 수 추정치. 증분 손실은 유출

사고로 인한 비정상적인 고객 이탈을 가리킵니다. 이 수치는 연간 백분율로서 벤치마크 인터뷰 프로세스에서 경영진이

제시한 추정치에 근거한 것입니다.9

• 저조한 고객 확보: 유출의 결과로 해당 기업과 관계를 맺지 않을 목표 고객의 수 추정치. 이 수치는 연간 백분율로

표시됩니다.

직원 기록과 같은 고객과 무관한 데이터의 유출이 기업의 고객 이탈에 영향을 주지 않을 가능성도 있습니다.10 그러한 경우

데이터 유출이 고객 또는 소비자 데이터(결제 거래 정보 포함)와 무관하다면 비즈니스 비용 범주가 더 줄어들 것으로

예상합니다.

9 고객 이탈이 부분적인 경우도 있음, 즉 피해를 입은 고객이 해당 기업과 계속 관계를 유지하되 고객 활동의 규모가 사실상 감소하는

것. 이러한 부분적 감소는 금융 서비스, 공공 부문과 같이 관계 종료가 상당한 비용 부담을 야기하거나 경제적으로 실현 불가능한

업종에서 두드러짐.

10 이번 연구에서는 시민, 환자, 학생 정보를 고객 데이터로 간주


4부. 기업 구분 및 조사 방식

원 그래프 3은 조사 대상 기업의 주력 산업 분포를 보여주는데, 올해 연구에서는 16개 산업이 선정되었습니다. 금융 서비스

부문의 기업이 가장 많았는데, 여기에는 은행, 보험, 투자 관리, 결제 서비스가 포함됩니다.

원 그래프 3. 조사 표본의 산업 분포


원 그래프 4는 조사 대상 기업의 총 인원 분포를 보여줍니다. 직원 수 1,000명 이상인 기업이 가장 많았습니다.

원 그래프 4. 참여 기업의 글로벌 직원 수


금융

공업

서비스

기술

유통

공공

소비재

에너지

통신

운송

생명과학

미디어

의료

호텔

교육

학술 연구

500명 미만

500 ~ 1,000

1,001 ~ 5,000

5,001 ~ 10,000

10,001 ~ 25,000

25,001 ~ 75,000

75,000명 초과


데이터 수집 방법에서는 실제 회계 정보를 포함하지 않지만 각 대상의 지식 및 경험에 근거한 추정치를 사용했습니다. 각

범주에서 2단계 프로세스를 통해 비용을 산정했습니다. 먼저 조사 수행 시, 개개인에게 아래와 같이 수직선(number line)

형식에서 범위 변수를 표시하여 각 비용 범주의 직접 비용을 추정하게 했습니다.

수직선 사용 방법: 데이터 유출 비용 범주별로 제시된 수직선은 발생한 현금 비용, 인건비, 오버헤드에 대한 최적 추정치를

얻기 위한 방법 중 하나입니다. 위에 제시된 하한과 상한 사이의 한 지점만 표시하십시오. 인터뷰 과정에서 언제라도 수직선의

하한과 상한을 재설정할 수 있습니다.

[비용 범주]의 직접 비용 추정치를 여기에 표시하십시오.

비용 범주별로 점 추정치 대신 수직선을 통해 수치를 얻음으로써 기밀을 유지하고 응답률을 높일 수 있었습니다. 또한 이번

벤치마크 평가에서는 실무자들이 간접 비용과 기회 비용의 추정치도 각각 제시해야 했습니다.

조사 프로세스를 관리 가능한 규모로 유지하고자 데이터 유출 비용 평가에 필수적인 비용 활동 항목으로 제한하는 데 각별한

주의를 기울였습니다. 전문가들과의 논의를 거쳐 비용 활동 항목을 최종적으로 결정했습니다. 정보를 수집하는 즉시 각각을

신중하게 재검사하여 일관성과 완전성을 확인했습니다.

확실한 기밀 유지를 위해 조사 수행 시에 어떠한 기업 관련 정보도 수집하지 않았습니다. 대상 자료는 추적 코드 또는 응답과

참여 기업을 연결할 만한 어떠한 수단도 포함하지 않았습니다.

조사에 포함된 데이터 유출 비용 항목의 범위는 개인 정보를 취급하는 광범위한 비즈니스 업무에 적용되는 확인된 비용

범주로 제한했습니다. Ponemon Institute는 데이터 보호 또는 개인 정보 규정 준수 활동이 아닌 비즈니스 프로세스에 중점을

둔 연구 조사를 통해 더 유익한 결과를 얻을 수 있으리라 확신합니다.


5부. 한계

이번 조사에서는 앞선 연구에서 성공적으로 사용된 비공개 및 독점적 벤치마크 방식을 적용했습니다. 그러나 연구 결과로부터

결론을 도출하기에 앞서 이번 조사 연구의 근본적인 한계를 신중하게 고려해야 합니다.

• 비통계적 결과: 이번 조사는 지난 12개월간 고객 또는 소비자 기록의 유실 또는 도난과 관련된 유출 사건을 겪은 바 있는

전 세계 기업들로 구성된 대표성을 나타내는 비통계적 표본을 사용했습니다. 과학적 표본 선정 방식이 아니었으므로 이

데이터에 통계적 추론, 오차 범위, 신뢰 구간을 적용할 수 없습니다.

• 무응답: 이 조사 결과는 소규모의 대표적 조사 표본에 근거한 것입니다. 이번 글로벌 조사에서 383개 기업이 프로세스를

완료했습니다. 무응답에 따른 편향은 테스트에 포함되지 않았으므로 참여하지 않은 기업의 기본 데이터 유출 비용이

크게 다를 가능성이 있습니다.

• 표본 추출 틀 편향: 이번 표본 추출 틀은 판단에 근거한 것이므로 결과의 품질은 표본 추출 틀이 조사 대상 기업 집단을

얼마나 대표하느냐에 좌우됩니다. Ponemon Institute는 이번 표본 추출 틀이 더 성숙한 개인 정보 보호/정보 보안

프로그램을 운영하는 기업에 치중되었다고 확신합니다.

• 기업 관련 정보: 조사 정보는 민감한 성격의 기밀 사항입니다. 따라서 이번 평가에서는 기업을 식별하는 정보를 수집

하지 않습니다. 또한 개개인이 기업 및 업종에 대한 인구 통계적 정보를 공개하는 데 범주 응답 변수를 사용할 수 있게

했습니다.

• 측정 불가 요인: 간결하고 집중적인 인터뷰 문안을 작성하기 위해 주요 추이, 조직 특성과 같은 다른 중요 변수를 분석

에서 제외했습니다. 제외된 변수가 조사 결과를 얼마나 설명할 수 있느냐는 판단할 수 없습니다.

• 추정 비용 결과: 조사 연구의 품질은 참여 기업의 응답자가 제시한 기밀 답변의 무결성에 좌우됩니다. 특정 검사 및 균형

조정을 조사 프로세스에 포함할 수 있으나 응답자가 정확하거나 진실된 답변을 하지 않을 가능성도 있습니다. 또한 실제

비용 데이터가 아닌 비용 추정 방식을 사용함으로써 뜻하지 않게 편향 및 부정확성을 야기할 수도 있습니다.


이번 연구 보고서에 대한 질문이나 의견이 있거나 (본 보고서를 인용하거나 재사용하는 것에 대한 허가를 포함하여)

본 문서의 추가 사본을 얻으려면 우편, 전화, 이메일을 통해 아래로 문의하십시오.

Ponemon Institute LLC Attn:

Research Department 2308 US 31 North

Traverse City, Michigan 49686 USA

1.800.887.3118 [email protected]

전체 국가 보고서 전문은 www.ibm.com/security/data-breach에서 이용할 수 있습니다.

Ponemon Institute LLC

Ponemon Institute는 기업과 정부 기관에서 책임 있는 정보 및 개인 정보 관리를 정착시키고 발전시키기 위한 독립적인

연구 및 교육에 주력하고 있습니다. 사람 및 조직과 관련된 중요 정보의 관리 및 보안에 영향을 미치는 중요 사안에 대한

고품질의 실증적 연구를 수행하는 것이 Ponemon Institute의 사명입니다.

CASRO(Council of American Survey Research Organizations)의 일원으로서 Ponemon Institute는 엄격한 기밀 유지,

개인 정보 보호, 윤리적 연구 기준을 준수합니다. 개인으로부터 어떠한 개인 식별 정보도 수집하지 않으며 기업

연구에서는 기업 식별 정보도 수집하지 않습니다. 또한 엄격한 품질 기준에 따라 연구 대상에게 무관하거나 의미 없거나

부적절한 질문을 하지 않습니다.

mailto:[email protected]

http://www.ibm.com/security/data-breach

Technology

2016 cost of data breach study kor