전 세계적으로 사이버 공격의 빈도와 피해 규모가 지속적으로 증가하고 있다. 특히 2008년 이후 15년간의 데이터를 기반으로 한 최신 분석에 따르면, 보안 사고는 기업 재정에 큰 충격을 주며 전략적 보안 투자의 필요성을 더욱 부각시키고 있다. 기업들은 자격 증명 침해, 애플리케이션 취약점 악용, 공급망 공격 등 복합적인 위협에 대응하기 위한 데이터 기반 접근을 요구받고 있다.

사이버 보안 전문 연구기관 사이엔티아 연구소 사이엔티아 인스티튜트(Cyentia Institute)가 사이버보안 및 인프라 보안국(CISA)의 후원을 받아 비즈니스 리더, 위험 관리자, 정책 입안자 및 사이버 보안 전문가에게 포괄적이고 실행 가능한 데이터와 분석을 제공하는 ‘2025년 정보 위험 통찰력 연구(이하 IRIS 2025)’ 보고서를 공개했다.

IRIS 2025는 15년 이상의 과거 사이버 보안 사고 및 재정 손실(2008-2024년)을 조사해 비즈니스가 위험 관리에 접근하는 방식에 직접적인 영향을 미치는 명확하고 진화하는 패턴을 식별했다.

15년간 사이버 사고 650% 증가...평균 손실액 3백만 달러 도달

IRIS 2025에 따르면 2008년부터 2024년까지 보고된 사이버 보안 사고는 650% 증가한 것으로 나타났다. 사고당 평균 재정 손실은 2008년의 19만 달러에서 2024년 기준 거의 300만 달러로 증가했다. 특히 조직에 심각한 손실을 야기한 보안 사고의 경우, 전체 비용이 5배 이상 증가하며 기업의 생존을 위협하는 수준에 도달했다.

이 보고서는 단순 사고 수 증가뿐 아니라, 사고의 영향력이 질적으로도 심화되고 있음을 보여준다. 단발적인 공격보다 장기적 재정 손실로 이어지는 유형이 많아지며, 보안 사고 대응 방식의 전략적 전환이 필요하다는 분석이 뒤따른다. 사이엔티아 연구소는 이러한 변화가 보안 예산 배분 및 위협 대응 방식 전반에 걸쳐 중요한 시사점을 제공한다고 강조한다.

산업별 재정 피해 격차...전문 서비스 최대 25배 증가

IRIS 2025는 업종별로도 뚜렷한 재정 피해 격차를 확인했다. 특히 전문 서비스 분야는 사고로 인한 재정 손실이 25배나 증가한 반면, 소매 분야는 예방 조치를 통해 손실을 크게 줄였다. 이는 산업별 보안 전략 수립에 있어 실질적인 참고 지표로 작용할 수 있다.

보고서는 자산 구조, 정보 시스템 복잡도, 공급망 연결성 등이 산업별 위험도에 영향을 미친다고 분석했다. 따라서 각 산업은 위협 모델을 맞춤화하고, 자사에 적합한 보안 우선순위를 도출할 필요가 있다. IRIS는 이러한 분석이 경영진 및 보안 관리자에게 실행 가능한 전략 수립에 도움을 줄 수 있다고 설명한다.

사용자 자격 증명, 공개 애플리케이션, 공급망 경유 위협 증가

IRIS 2025는 최근 급증하고 있는 위협 유형으로 사용자 자격 증명 침해, 인터넷에 노출된 애플리케이션의 악용, 제3자 공급업체를 매개로 한 공격을 지목했다. 이와 같은 공격은 조직 내부 시스템을 직접 겨냥하지 않고, 외부 경로를 통해 우회하거나 점진적으로 침투하는 양상을 보이고 있다.

이러한 위협 환경 변화에 따라, 보고서는 자격 증명 관리 강화, 접근 통제 정책 재정비, 제3자 리스크 관리 체계 고도화가 필요하다고 지적한다. 특히 공급망 공격은 보안 경계를 조직 외부로 확장시키며, 전통적인 보안 시스템의 한계를 드러내고 있다. 조직은 이제 보안 전략을 내부 중심에서 생태계 중심으로 전환해야 할 시점에 와 있다.

사이엔티아 연구소는 이번 보고서가 기업의 사이버 보안 전략 수립과 리스크 평가에 직접 활용될 수 있는 정량적 데이터를 제공한다고 밝혔다. IRIS 2025는 단순한 트렌드 분석을 넘어, 실제 사고 데이터를 바탕으로 의사결정자가 자원 배분 및 기술 투자 방향을 설정하는 데 활용 가능한 분석 결과를 제시한다.