최근 사이버리즌 보고서에 따르면 몸값을 지불한 피해 기업 2명 중 1명만이 데이터를 손상 없이 되찾았고, 5명 중 4명은 다시 피해를 입은 것으로 나타났다.
특히 랜섬웨어 공격으로 인한 기업의 실제 피해 비용은 몸값 자체보다 훨씬 더 크다.
지난 2년 동안 한 번 이상 공격자을 당했던 1,008명의 IT 전문가를 대상으로 설문조사를 실시한 결과, 84%가 몸값을 지불하기로 결정했으며, 영국에서는 평균 42만3천 달러에서 미국에서는 140만 달러까지 지불한 것으로 나타났다.
하지만 몸 값을 지불했더라도 47%만이 데이터와 서비스를 손상되지 않은 상태로 되찾을 수 있었다.
한편 몸값을 지불한 후 무려 78%가 다시 공격을 받았으며, 그 중 82%는 1년 이내에 동일한 공격조직에게 공격을 받았다. 그리고 이들 중 63%는 두 번째에 더 많은 돈을 지불하라고 요구받았다. 즉 돈을 지불한다고 해서 향후 보호가 보장되는 것은 아니라는 것을 알아야 한다고 사이버리즌 랜섬웨어 전문가는 말한다.
조직들은 공격자가 민감한 정보를 공개하여 평판과 비즈니스를 잃을 수 있다는 두려움 때문에 몸값을 지불하기로 결정했다. 일부에게는 이것이 가장 빠르고 쉬운 해결책으로 보였다. 다른 기업들은 휴일이나 주말에 해킹을 당했거나 인력이 부족했다고 인정했다. 또 생사가 걸린 문제였기 때문에 돈을 지불했다는 기관도 있었고 백업 파일이 없었다는 기업도 있었다.
보안 전문가들은 랜섬웨어 피해 사례의 46%에서 비즈니스 손실이 100만~1,000만 달러에 달했으며, 16%는 1,000만 달러 이상의 손실을 입은 것으로 추정한다.
데이터와 시스템이 손상되지 않고 반환되거나, 공격자가 암시장에서 데이터를 판매하지 않거나, 다시 공격을 받지 않는다는 보장은 없다. 또한 결제한 금액이 테러나 조직 범죄 자금으로 사용되었다는 증거가 발견되면 형사 고발을 당할 수도 있다.
이 보고서는 또한 악의적인 행위자의 41%가 공급망을 통해, 24%는 직접, 22%는 내부자의 도움을 받아 침입한 것으로 나타났다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★