IBM은 오늘 연례 데이터 유출 비용(CODB) 보고서를 발표했습니다. 이 보고서는 점점 더 정교해지고 파괴적인 사이버 위협 속에서 데이터 유출 비용 증가와 관련된 전 세계 및 지역별 동향을 보여줍니다. 2025년 보고서는 유출 비용 완화에 있어 자동화와 인공지능(AI)의 역할 증대를 살펴보고, 최초로 AI 보안 및 거버넌스 현황을 분석했습니다.
보고서에 따르면 브라질에서 데이터 유출로 인한 평균 비용은 719만 헤알(약 80억 원)에 달했으며, 2024년에는 675만 헤알(약 6.5% 증가)로 매우 복잡한 문제에 직면한 사이버 보안 팀에 추가적인 부담을 안겨주었습니다. 의료, 금융, 서비스 부문이 각각 1,143만 헤알(약 1143만 원), 892만 헤알(약 892만 원), 851만 헤알(약 851만 원)의 평균 비용을 기록하며 가장 큰 피해를 입었습니다.
브라질에서 안전한 AI와 자동화를 광범위하게 도입한 기업은 평균 648만 헤알의 비용을 보고한 반면, 제한적으로 도입한 기업은 676만 헤알의 비용을 보고했습니다. 이러한 기술을 아직 사용하지 않는 기업의 경우 평균 비용은 878만 헤알로 증가하여 사이버 보안 강화에 있어 AI의 이점을 강조했습니다.
2025년 데이터 침해 비용 보고서는 비용을 증가시키는 요인을 평가하는 것 외에도 데이터 침해의 재정적 영향을 줄일 수 있는 요소들을 분석했습니다. 가장 효과적인 이니셔티브로는 위협 인텔리전스 구축(평균 655,110헤알의 비용 절감)과 AI 거버넌스 기술 활용(629,850헤알)이 있습니다. 이처럼 상당한 비용 절감에도 불구하고, 보고서는 브라질에서 조사된 조직의 29%만이 AI 모델 공격과 관련된 위험을 완화하기 위해 AI 거버넌스 기술을 사용하는 것으로 나타났습니다. 전반적으로 AI 거버넌스와 보안은 대체로 무시되고 있으며, 브라질에서 조사된 조직의 87%는 AI 거버넌스 정책을 시행하지 않고 있으며, 61%는 AI 접근 제어 기능이 전혀 없다고 보고했습니다.
"저희 연구에 따르면 AI의 급속한 도입과 적절한 거버넌스 및 보안의 부재 사이에는 이미 우려스러운 격차가 존재하며, 악의적인 공격자들은 이러한 공백을 악용하고 있습니다. AI 모델에 접근 제어가 부재하여 민감한 데이터가 노출되고 조직의 취약성이 커졌습니다. 이러한 위험을 과소평가하는 기업은 중요 정보를 위험에 빠뜨릴 뿐만 아니라 전체 운영에 대한 신뢰도 저하시킵니다."라고 IBM 컨설팅 라틴 아메리카 보안 서비스 파트너인 페르난도 카르보네는 설명합니다.
데이터 침해 비용 증가에 기여하는 요인
보안 시스템의 복잡성으로 인해 침해로 인한 총 비용이 평균 725,359 레알 증가했습니다.
이 연구는 또한 AI 도구(섀도우 AI)의 무단 사용으로 인해 평균 591,400헤알(약 7억 8천만 원)의 비용이 증가한 것으로 나타났습니다. AI 도구(내부 또는 공개) 도입은 그 이점에도 불구하고 데이터 유출에 평균 578,850헤알(약 8억 8천만 원)의 비용을 추가했습니다.
보고서는 브라질에서 가장 빈번하게 발생하는 데이터 유출의 초기 원인을 파악했습니다. 피싱이 주요 위협 요소로 두드러졌으며, 유출의 18%를 차지하여 평균 718만 헤알(R$)의 비용을 초래했습니다. 다른 주요 원인으로는 제3자 및 공급망 침해(15%, 평균 898만 헤알(R$) 비용)와 취약점 악용(13%, 평균 761만 헤알(R$) 비용)이 있습니다. 자격 증명 유출, 내부(실수) 오류, 악의적인 침입자 또한 유출 원인으로 보고되었으며, 이는 기업이 데이터 보호에 직면한 광범위한 과제를 보여줍니다.
2025년 데이터 침해 비용 보고서의 기타 글로벌 결과는 다음과 같습니다.
- 조직의 13%는 AI 모델이나 애플리케이션과 관련된 침해를 보고했으며, 8%는 이러한 방식으로 침해되었는지 확신하지 못했습니다. 침해를 당한 조직 중 97%는 AI 접근 제어 시스템을 구축하지 않았다고 보고했습니다.
- 위반 사례를 경험한 조직의 63%는 AI 거버넌스 정책이 없거나 아직 개발 중입니다. 정책을 수립한 조직 중 AI의 무단 사용을 적발하기 위한 정기 감사를 실시하는 조직은 34%에 불과합니다.
- 5개 조직 중 1개가 섀도우 AI로 인한 침해를 보고했으며, 이 기술을 관리하거나 탐지하는 정책을 갖춘 조직은 37%에 불과합니다. 높은 수준의 섀도우 AI를 사용하는 조직은 낮은 수준의 섀도우 AI를 사용하거나 전혀 사용하지 않는 조직에 비해 침해 비용이 평균 67만 달러 더 많았습니다. 섀도우 AI와 관련된 보안 사고로 인해 개인 식별 정보(65%)와 지적 재산(40%)이 유출되는 비율은 전 세계 평균(각각 53%와 33%)보다 높았습니다.
- 연구된 침해 사례 중 16%는 해커가 AI 도구를 사용하여 피싱이나 딥페이크 공격을 한 사례입니다.
위반으로 인한 재정적 비용.
- 데이터 침해 비용. 전 세계 데이터 침해 평균 비용은 444만 달러로 5년 만에 처음으로 감소했으며, 미국에서는 데이터 침해 평균 비용이 1,022만 달러로 사상 최고치를 기록했습니다.
- 전 세계 보안 침해 수명 주기가 기록적인 속도로 단축되었습니다 . 더 많은 조직이 내부적으로 보안 침해를 감지함에 따라, 보안 침해를 식별하고 봉쇄하는 데 걸리는 전 세계 평균 시간(서비스 복구 포함)이 241일로 단축되어 전년 대비 17일 단축되었습니다. 또한 내부적으로 보안 침해를 감지한 조직은 공격자로부터 통보받은 조직보다 보안 침해 비용을 90만 달러 절감했습니다.
- 의료 분야의 위반은 여전히 가장 큰 비용을 초래합니다. 의료 분야의 위반은 평균 742만 달러로, 2024년 대비 235만 달러의 비용 절감에도 불구하고 조사 대상 모든 분야 중 가장 큰 비용을 기록했습니다. 이 분야의 위반은 적발 및 봉쇄에 평균 279일이 소요되어 전 세계 평균인 241일보다 5주 이상 더 오래 걸립니다.
- 몸값 지불 피로. 작년에는 몸값 요구에 저항하는 조직이 점차 늘어났으며, 지불을 거부한 조직은 63%로 전년도 59%보다 증가했습니다. 몸값 지불을 거부하는 조직이 늘어남에 따라, 특히 공격자가 몸값을 공개할 경우 갈취 또는 랜섬웨어 공격의 평균 비용은 여전히 높습니다(508만 달러).
- 침해 후 가격 상승. 침해의 여파는 봉쇄 단계를 넘어 지속됩니다. 전년 대비 감소했지만, 전체 조직의 거의 절반이 침해로 인해 상품이나 서비스 가격을 인상할 계획이라고 보고했으며, 거의 3분의 1이 15% 이상의 가격 상승을 보고했습니다.
- AI 위험 증가 속 보안 투자 정체. 침해 발생 후 보안에 투자할 계획이라고 보고한 기업의 수는 2024년 63%에서 2025년 49%로 크게 감소했습니다. 침해 발생 후 보안에 투자할 계획이라고 보고한 기업 중 절반도 채 되지 않는 기업들이 AI 기반 보안 솔루션이나 서비스에 집중할 것으로 예상됩니다.
데이터 침해로 인한 20년간의 비용
포네몬 연구소(Ponemon Institute)가 수행하고 IBM이 후원한 이 보고서는 데이터 유출의 재정적 영향을 이해하는 데 있어 업계 최고의 참고 자료입니다. 이 보고서는 2024년 3월부터 2025년 2월까지 600개 글로벌 기업의 경험을 분석했습니다.
지난 20년 동안 데이터 침해 비용 보고서는 전 세계적으로 약 6,500건의 침해 사고를 조사했습니다. 2005년 최초 보고서에 따르면 전체 침해 사고의 거의 절반(45%)이 분실 또는 도난된 기기에서 비롯된 것으로 나타났습니다. 해킹된 시스템은 단 10%에 불과했습니다. 2025년으로 넘어가면서 위협 환경은 급격하게 변화했습니다. 오늘날 위협 환경은 주로 디지털 위협으로 변하고 있으며, 점점 더 표적 공격이 증가하고 있습니다. 이제 침해는 다양한 악성 활동으로 인해 발생합니다.
10년 전만 해도 클라우드 구성 오류는 모니터링조차 되지 않았습니다. 하지만 이제는 보안 침해의 주요 원인 중 하나입니다. 2020년 봉쇄 기간 동안 랜섬웨어가 폭발적으로 증가하면서 보안 침해로 인한 평균 비용은 2021년 462만 달러에서 2025년 508만 달러로 증가했습니다.
전체 보고서를 보려면 여기를 .
