아주경제 장윤정 기자= 대기업을 상대로 한 표적 공격이 성공할 경우 그 기업이 입을 피해액은 얼마일까? 건당 최대 27억원이라는 어마어마한 금액에 달한다는 조사 결과가 나왔다.

카스퍼스키 랩과 B2B인터내셔널은 이같은 조사결과를 담은 '2013년 글로벌 IT 보안 위험 조사' 보고서를 14일 발표했다.

이번 조사보고서에 의하면 표적공격에 의한 건 당 평균 피해액은 약 27억 원이었으며, 이 중 약 24억 원은 기밀 데이터 유출, 사업 중단, 소송, 복구에 따른 직접 비용이고 나머지 약 3억 원은 재발 방지를 위한 직원 채용, 교육, 시스템 업데이트 비용 등이다.

또 보고서는 SMB에 대한 표적 공격으로 인한 회사의 손실은 건 당 약 1억 원으로 대기업에 비해 낮지만, 회사의 규모(약 100-200명)를 고려하면 그 충격은 상당할 것이라 추정했다. 1억 원 중 약 7000만 원은 사고 처리를 위한 직접 비용이었으며, 나머지는 재발 방지 비용이다.

표적공격만이 아니라 네트워크 인프라 해킹으로 인한 손실도 심각한 것으로 드러났다. 실제로 이번 조사에 응답한 이들의 약 9%만이 지난 1년 동안 표적 공격에 노출됐고 훨씬 높은 비율(24%)로 네트워크 인프라가 해킹됐다고 밝혔다.

대기업의 경우 네트워크 인프라 공격으로 18억6000만원(SMB는 약 8000만원)의 손실이 발생했다고 밝혀 표적 공격에 이어 두 번째로 피해액이 큰 공격 유형으로 나타났다. 기업 데이터를 고의적으로 유출한 경우는 19%였으며 금융 손실은 평균 11억원(SMB는 6000만원)이다. 마지막으로 소프트웨어 취약점을 악용한 공격은 조사 대상 기업의 39%에서 발생했으며 대기업은 평균 7억3000만원이었고 중견·중소기업은 7000만원 정도다.

카스퍼스키 랩측은 "표적 공격은 해커가 공격 대상 기업의 IT 인프라에서 약점을 찾고 실제 공격을 실행하는데 필요한 프로그램을 설치하는 등 오랜 준비 기간이 필요하다"며 "일반적인 안티 바이러스 솔루션이 악성 코드에 의한 보안위협을 처리할 수 있지만, 이것만으로 이러한 표적 공격의 위협과 싸우기는 버겁다. 최신의 사전 방역 및 탐지 기술을 통합한 기업용 솔루션을 사용해 표적 공격뿐만 아니라 다른 모든 IT 보안위협으로부터 회사를 보호해야한다"고 조언했다.