이번 보고서에 따르면 사이버 보안공격은 전세계적으로 하루 38만건, 연간 1억3700만건에 육박하고, 이 중 33%인 4500만건이 악성코드 공격으로 가장 많았다. 이어 지속적인 탐색과 스캔 28%, 무단 액세스 15%, 장기간에 걸친 점진적 공격도 12%(APT)를 차지했다.
 
사이버 보안 공격의 발생률은 산업군에 따라 크게 달라, 의료 및 사회보장 서비스가 주 평균 공격건수 1억건을 넘어 가장 높았고, 운송(980만), 서비스(550만)에 이어 금융과 보험이 360만 건으로 공격 발생률이 높은 산업군으로 꼽혔다.
 
또한 공격의 동기는 49%의 공격이 우발적 요인이었으나 금융범죄, 산업스파이, 혹은 테러행위나 도용을 위해 의도적으로 공격을 시도한 빈도수가 23%에 달했다. 그 밖에 고용주나 일자리에 대한 불만이 15%, 사회적 운동 등 이념적 공격이 7%로 뒤를 이었다.
 
사이버 공격의 경우 외부 공격이 전체 44%를 차지했지만, 악의적 의도를 지닌 내부자 공격 역시 23%로 밝혀져, 내부 보안도 상당히 위험한 것으로 지적됐다. 심지어 전체 공격자의 9%밖에 되지 않는 고의성 없는 의도치 않은 데이터 유출사고가 매주 50.9건으로 집계돼 정보 보안에 대비한 기업과 기관의 인식 전환이 시급한 것으로 파악됐다.
 
IT보안 사고는 사이버 공격이 성공적으로 표적을 무너뜨린 경우를 말한다. 100만번의 공격 중 실제 공격에 성공하는 횟수는 사실상 1.07건에 불과하다. 그러나 IT보안 사고의 경우 단 한 건의 사고도 그 파장과 피해가 걷잡을 수 없이 커질 수 있어 위험요소가 매우 크다.
 
실제 한 건의 보안 사고를 해결하기 위한 비상 대응 서비스를 수행하는데 들어가는 비용도 만만치 않은 것으로 조사됐다.

스팸메일이나 악성코드를 전파하는 악성 봇(Bot)에 감염된 네트워크를 해결하는 비용에만 평균 12만달러가 소요된다. 이 외에도 네트워크 손상 복구 9만2000달러, 이메일 손상과 데이터유출 복원 작업에 6만달러 등 최소 33만 달러 이상의 비용 지출이 발생한다.

여기에 시스템 가동 중단과 직원 업무 중단으로 인한 손실, 나아가 회사 브랜드 가치 실추로 인한 피해까지 감안하면 실로 천문학적인 수치다.
 
실제 보안사고의 잠재적 원인의 80%가 일반 사용자의 실수나 부실한 시스템 관리가 원인이다. 이 가운데 42%가 잘못 구성된 시스템이나 애플리케이션의 문제였고, 31%는 최종 사용자 오류 였으며, 취약한 코드나 이를 이용한 타켓 공격은 12%에 그쳐 IT보안 사고 역시 사전 대비가 중요한 것으로 나타났다.
 
이 회사 이장석 대표(글로벌 테크놀러지 서비스 총괄)는 “비즈니스의 복잡성과 상호 연결성이 증가하는 IT 주도의 혁신이 가속화되면서, 기업과 기관이 당면하는 사이버 위협도 증가하고 있다”며 “IT보안 사고를 예방하고 사후 충격을 완화하기 위한 똑똑한 정책 수립과 대책 마련에 대해 기업과 기관의 경영진을 중심으로 심각하게 검토해야한다”고 강조했다.
 
이번에 발표된 IBM 사이버 보안 지수(Cyber Intelligence Index) 백서(영문)는 IBM 웹사이트(http://ibm.co/ZjcHoS) 에서 내려받을 수 있다.