IBM은 오늘 연례 데이터 유출 비용(CODB) 보고서를 발표하여 점점 더 정교하고 파괴적인 사이버 위협 환경에서 데이터 유출 비용 증가와 관련된 글로벌 및 지역적 추세를 공개했습니다. 2025년 보고서는 자동화와 인공지능(AI)의 증가하는 역할이 위반 비용 완화에 미치는 영향을 탐구했으며, 처음으로 AI의 보안 및 거버넌스 상태를 연구했습니다.
보고서에 따르면 브라질에서 데이터 유출 1건당 평균 비용은 719만 레알에 달했으며, 2024년에는 675만 레알로 6.5% 증가하여 매우 복잡한 도전에 직면한 사이버 보안 팀에 추가 압박을 가하고 있습니다. 보건, 금융 및 서비스와 같은 부문이 가장 큰 영향을 받은 부문으로 선두를 차지했으며, 각각 평균 비용은 1,143만 레알, 892만 레알 및 851만 레알이었습니다.
국가에서는 광범위하게 안전한 AI 및 자동화를 채택한 조직들이 평균 비용이 648만 브라질 헤알인 반면, 제한된 구현을 가진 조직들은 676만 브라질 헤알의 비용을 보고했습니다. 이 기술을 아직 사용하지 않는 기업들의 평균 비용은 8,780만 헤알로 상승했으며, 이는 사이버 보안 강화를 위한 인공지능의 이점을 강조합니다.
2025년 데이터 유출 비용 보고서는 비용을 증가시키는 요인들을 평가하는 것 외에도 데이터 유출의 재무적 영향을 줄일 수 있는 요소들을 분석했습니다. 가장 효과적인 이니셔티브 중에는 위협 인텔리전스 구현(평균 비용 절감액 R$ 655,110)과 AI 거버넌스 기술 사용(R$ 629,850)이 있습니다. 이러한 비용 절감에도 불구하고, 보고서는 브라질에서 조사된 조직의 29%만이 인공지능 거버넌스 기술을 사용하여 인공지능 모델 공격과 관련된 위험을 완화하고 있음을 확인했습니다. 전반적으로 AI의 거버넌스와 보안이 무시되고 있으며, 브라질에서 조사된 조직의 87%는 AI 거버넌스 정책이 시행되고 있지 않다고 보고했고, 61%는 AI 접근 통제도 갖추고 있지 않습니다.
우리 연구는 빠른 AI 도입과 적절한 거버넌스 및 보안의 부족 사이에 우려스러운 격차가 이미 존재하며, 악의적 행위자들이 이 공백을 이용하고 있음을 보여줍니다. AI 모델의 접근 통제 부재는 민감한 데이터를 노출시키고 조직의 취약성을 높였습니다. 이러한 위험을 과소평가하는 기업들은 중요한 정보를 위험에 빠뜨릴 뿐만 아니라 전체 운영에 대한 신뢰도도 훼손하고 있습니다,”라고 라틴 아메리카 IBM 컨설팅 보안 서비스 파트너인 페르난도 카르본이 설명했습니다.
데이터 유출 비용 증가에 기여하는 요인
보안 시스템의 복잡성은 위반의 총 비용에 평균 R$ 725,359의 증가를 기여했습니다.
연구는 또한 무단 인공지능 도구(섀도우 AI)의 사용이 평균 비용을 R$ 591,400 증가시켰음을 보여주었습니다. 내부 또는 공개 인공지능 도구의 채택은 그 이점에도 불구하고 데이터 유출에 평균 578,850레알의 비용을 추가했습니다.
보고서는 또한 브라질에서 데이터 침해의 가장 흔한 초기 원인을 식별했습니다. 피싱은 위협의 주요 벡터로 부상했으며, 위반의 18%를 차지하여 평균 비용이 718만 레알에 달했습니다. 기타 주요 원인에는 제3자 및 공급망의 약화(15%, 평균 비용 8,980,000 R$)와 취약점 악용(13%, 평균 비용 7,610,000 R$)이 포함됩니다.자격 증명 유출, 내부 오류(우연히 발생한 것), 악의적인 침입자들도 위반의 원인으로 보고되어, 조직이 데이터 보호에 직면한 다양한 도전 과제를 보여줍니다.
2025년 데이터 유출 비용 보고서의 기타 글로벌 발견 사항:
- 13%의 조직이 AI 모델 또는 애플리케이션과 관련된 침해를 보고했으며, 8%는 그러한 방식으로 침해되었는지 알지 못했습니다. 약속된 조직의 97%는 AI에 대한 접근 통제 수단이 시행되지 않았다고 보고했습니다.
- 63%의 침해된 조직은 AI 거버넌스 정책을 가지고 있지 않거나 아직 개발 중입니다. 정책을 가진 사람들 중 34%만이 무단 인공지능 사용을 감지하기 위해 정기적인 감사를 실시하고 있습니다.
- 5개 조직 중 1개가 섀도우 AI로 인한 위반을 보고했으며, 이 기술을 관리하거나 감지하는 정책을 갖춘 곳은 37%에 불과합니다. 그림자 AI를 높은 수준으로 활용한 조직들은 낮거나 사용하지 않는 조직들에 비해 평균 67만 달러의 위반 비용이 더 발생한 것으로 관찰되었습니다. 숨겨진 인공지능 관련 보안 사고로 인해 개인 식별 정보(65%)와 지적 재산권(40%)이 더 많이 유출되었으며, 이는 글로벌 평균(53% 및 33%)보다 높습니다.
- 연구된 위반 사례의 16%는 해커들이 인공지능 도구를 사용한 것으로, 주로 피싱 공격이나 딥페이크 공격에 활용되었습니다.
위반의 재정적 비용
- 데이터 유출 비용데이터 유출의 글로벌 평균 비용은 444만 달러로 5년 만에 처음으로 하락했으며, 미국 내 데이터 유출의 평균 비용은 1022만 달러로 사상 최고치를 기록했습니다.
- 전 세계 위반의 수명 주기가 기록적인 시간에 도달하다침해를 식별하고 대응하는 데 걸리는 평균 시간은 241일로, 내부적으로 침해를 감지하는 조직이 늘어나면서 전년 대비 17일 단축되었습니다. 내부에서 위반을 감지한 조직들은 침입자로부터 통보받은 조직들에 비해 위반 비용으로 90만 달러를 절약했습니다.
- 보건 분야의 위반이 계속해서 가장 비용이 많이 듭니다.평균 742만 달러로, 건강 부문의 침해는 연구된 모든 부문 중 가장 비용이 많이 들었으며, 2024년과 비교하여 235만 달러의 비용이 감소했습니다. 이 부문의 위반은 식별되고 통제되는 데 더 오래 걸리며, 평균 279일로 글로벌 평균인 241일보다 5주 이상 더 걸립니다.
- 구조금 지급 피로감작년에 조직들은 구출 요구에 점점 더 저항했으며, 63%가 지불하지 않기로 선택했으며, 이는 전년의 59%와 비교됩니다. 더 많은 조직이 몸값을 지불하는 것을 거부함에 따라, 협박 또는 랜섬웨어 사고의 평균 비용은 여전히 높게 유지되고 있으며, 특히 공격자가 공개할 경우 (미화 508만 달러).
- 위반 후 가격 인상위반의 결과는 계속해서 억제를 넘어 확산되고 있습니다. 작년보다 감소했음에도 불구하고, 거의 절반의 조직이 위반으로 인해 상품 또는 서비스 가격을 인상할 계획이라고 보고했으며, 거의 3분의 1은 15% 이상의 가격 인상을 보고했습니다.
- 인공지능 위험 증가 속에서 안전 투자 정체.침해 이후 보안에 투자할 계획을 보고한 조직의 수가 크게 감소했습니다: 2025년에는 49%, 2024년에는 63%입니다. 침해 후 보안에 투자할 계획이 있는 사람들 중 절반 미만이 인공지능 기반 보안 솔루션이나 서비스에 집중할 것입니다.
데이터 유출 비용 20년
이 보고서는 Ponemon Institute가 수행하고 IBM이 후원하는 것으로, 데이터 유출의 재무적 영향에 대한 업계의 주요 참고 자료입니다. 보고서는 2024년 3월부터 2025년 2월까지 전 세계 600개 조직의 경험을 분석했습니다.
지난 20년 동안, 데이터 유출 비용 보고서는 전 세계적으로 거의 6,500건의 침해를 조사했습니다. 2005년 최초 보고서에 따르면 모든 위반 사례의 거의 절반(45%)이 분실되거나 도난당한 장치에서 비롯된 것으로 나타났습니다. 단지 10%만이 해킹된 시스템 때문이었습니다. 2025년으로 나아가면서 위협 환경이 급격히 변화했습니다. 오늘날 위협 환경은 주로 디지털이며 점점 더 표적화되고 있으며, 침해는 이제 다양한 악의적 활동에 의해 촉진되고 있습니다.
10년 전에는 잘못된 클라우드 구성 문제조차 모니터링되지 않았습니다. 이제 그들은 주요 위반의 주요 원인 중 하나입니다. 랜섬웨어는 2020년 봉쇄 기간 동안 폭발했으며, 침해 사고의 평균 비용은 2021년 462만 달러에서 2025년 508만 달러로 증가했습니다.
전체 보고서를 보려면 IBM 공식 웹사이트를 방문하세요여기.
