데이터 침해로 인한 손실 : 은행과 금융권
Cost of a Data Breach: Banking and Finance
대부분의 산업에서 사이버 보안은 중요합니다. 사이버 보안은 중요하기도 하지만 눈 앞에 바로 이득을 가져다 주지 않는데, 여러 산업분야들 중 특히 헬스케어와 금융산업 에서 더욱더 그러합니다. 금융정보의 침해위협은 단순히 이것으로 끝나는 것이 아니라 고객의 신뢰도 잃을 수 있는데, 특히 금융산업에 있어서 신뢰는 기업 비즈니스의 전부를 차지할 만큼 중요합니다
여전히 고객들은 그들의 민감한 정보를 공유하는 것을 꺼려합니다. 최근 맥킨지가 조사한바에 따르면 어떠한 산업들에서도 데이터보호 신뢰등급에 있어서 50% 이상을 받은 곳이 없습니다. 또한 이 조사에서 가장 놀랄만 한 수치는, 87%의 응답자이 보안환경이 취약한 것으로 알려진 기업의 경우, 어떠한 기업이라도 비즈니스 관계를 축소시킨다는 것 입니다.
종종 일어나는 금융 데이터의 침해가 실제로 발생할때, 이 침해는 항상 해커들로부터 오는 것은 아니며, 종종 취약하게 보호된 제3의 어플리케이션 또는 적합한 유저들의 인증 프로토콜 부족 등에서 나타납니다.
The importance of cybersecurity has touched almost every industry. Beyond that, robust cybersecurity is table stakes for several sectors, particularly health care and the banking and finance industry. Not only is financial data at risk, but so is customer trust. In banking and finance, trust means everything.
Yet, consumers are hesitant to share their confidential data. A recent McKinsey survey revealed that no industry achieved a trust rating of 50% for data protection.
Here’s the most sobering stat: 87% of respondents said they’d refuse to do business with any company that they perceived as having weak security practices.
When banking and finance data breaches occur — and they do happen often — they don’t always stem from a bad actor. Often, breaches come from poorly secured third-party apps or a lack of proper user authentication protocols.
금융데이터의 침해들
Banking and Finance Data Breaches
여러 데이터 침해들이 지난 몇년간 이러한 산업들에 있는 기업들을 공격했습니다. 여기서 우리는 무엇을 어떠한 것을 배울 수 있을까요?
2021년 1월, 해커들은 모건스탠리의 3백만개의 고객 계정을 탈취했는데 7월에 밝혀진 바에 따르면 이 침해는 제3의 밴더가 개입되어 있을 것으로 보인다고 합니다. 은행에서는 해커들이 벤더의 서버에 있는 취약점을 탈취하였고, 공격자들은 고객들의 이름, 주소, 사회보장번호, 생년월일, 회사 이름의 정보에 접근할 수 있었다고 발표하였습니다. 비록 취약점이 빠르게 패치 되었으나 해커들은 결국에 암호화된 파일을 복호화 할 수 있는 키를 얻었습니다.
2021년 11월, 인터넷 금융플랫폼인 로빈후드에서는 그들의 수백만 고객들의 데이터가 침해를 받는 데이터 보안위협이 있었음을 발표하였습니다. 이 회사는 "허가되지 않은 제3자"가 5백만명 고객의이메일 주소와 다른 2백만명의 이름정보를 가져갔다는 소식이 원치않게 누설이 되었습니다. 310명의 유저들의 "추가적인 개인정보"도 도난을 당하였는데 공격자들은 데이터 침해 후에 랜섬웨어 몸값을 지불할 것을 요구했다고 합니다.
Several data breaches struck these industries over the last year. What can we learn from them?
In January of 2021, attackers breached the accounts of three million Morgan Stanley corporate customers. The breach, reported in July, involved a third-party vendor. Attackers could access client names and addresses, social security numbers, date of birth and company names. The bank reported that attackers successfully exploited a vulnerability in the vendor’s server. Although the vulnerability was quickly patched, attackers still managed to obtain a decryption key for the encrypted files.
In December of 2021, crypto exchange Bitmart suffered a large-scale security breach. Attackers made away with $200 million worth of cryptocurrency. And all the bad actors had to do? Steal a single private key.
In November of 2021, online trading platform Robinhood announced a data security incident that affected millions of its customers. The company divulged that an “unauthorized third party” was able to obtain the email addresses of five million people and the full names of two million others. For 310 users, “additional personal information” was stolen. The attackers allegedly demanded a ransom payment following the breach.
2021년도 금융권 데이터 침해비용은 얼마나 될까?
How Much Does a Financial Breach Cost in 2022?
2022년 데이터 침해의 보고서에 따르면, 1건의 침해당 평균 비용이 헬스케어 산업 뒤로, 금융산업이 두번째로 높다고 합니다. 헬스케어기업들의 평균 침해 비용이 1천만의 최고 기록을 갱신을 하였으며, 금융기관의 손실은 침해당 5백만 달러에 이른다고 합니다.
데이터 침해 비용의 보고서에서 볼 수 있는 긍정적인 면은 데이터 침해를 발견하는데에 드는 평균 일자가 2021년 287일에서 2022년도에 277일로 줄이서 즉, 10일 , 3.5% 감소하였다는 것 입니다. 또한 침해된 공격이 머물러 있는 일수도 2021년도 75일에서 2022년도 70일로 줄어들었습니다.
According to the 2022 IBM Cost of a Data Breach Report, the finance industry had the second highest average cost per breach, trailing only health care. While the average health care breach costs hit a new record high of $10.10 million (an increase of almost 42% since the 2020 report), financial organizations averaged $5.97 million per breach.
On a positive note, the Cost of a Data Breach report revealed that the average number of days to identify and contain a data breach fell from 287 in 2021 to 277 in 2022, a reduction of 10 days or 3.5%. The average number of days to contain a breach also fell in 2022 — from 75 days in 2021 to 70 days in 2022.
금융권에 존재하는 위협과 도전들
Risks and Challenges for Banking and Finance
비용이 많이 발생되는 데이터 침해는, 상황의 한 면 입니다. 다른 면을 본다면,
우선, 많은 기업들은 발전하는 디지털 전환과 기술혁신을 빠르게 따라가야 하며, 디지털 서비스, 클라우드 컴퓨팅, 인공지공 등이 중요한 역할을 합니다. 금융기관들은 고객의 요구사항을 만족시키기 위해서 반드시 새로운 어플리케이션, 디바이스, 인프라 구성요소들을 더욱 활용 해야만 하는데, 결국 이러한 것들은 해커들이 할 수 있는 공격의 표면을 늘려주는 것에 불과합니다.
은행과 금융권들은 또한 해가 지날수록 더욱 복잡한 규제의 대상이 됩니다. 데이터 보호와 사생활 법규는 계속 변화하고 있으며, 컴플라이언스를 이행하지 못하는 것에 대한 벌금도 가중되고 있습니다.
제 3자의 위기를 관리하는 것이 모든 기업에서는 중요 하지만 은행과 금융권은 특히 경계심을 갖고 벤더들과 제 3자의 공급기업들이 안전한지를 확인해야만 합니다. 제 3의 침입은 금융서비스 분야의 잠재적인 사이버 공격의 취약한 부분에서 꼭 명심해야 할 부분 입니다. 결국에 검증할 수 없는 보안의 공급기업들과 벤더들에 따라 기업의 침해의 여부는 결정이 되어가고 있습니다.
마지막으로, 하이브리드 근무환경이 인기를 얻게 됨에 따라서 기업들의 위험도 증가하고 있습니다. 재택근무와 하이브리드 업무는 보호해야 하는 중요데이터를 갖고 있는 기업들에게 더 위협적이지만 해결해야 하는 숙제를 부여합니다.
Costly data breaches are only one side of the coin.
First, the industry must keep up with evolving digital transformation and technology innovations. Digital services, cloud computing and artificial intelligence (AI) play a key role. To meet customer demand, financial institutions must leverage more new applications, devices and infrastructure components. These, in turn, only increase their attack surface.
Next, banking and finance are subject to more complex regulations with each passing year. Data protection and privacy standards constantly change, and fines for non-compliance increase.
Third-party risk management is critical for any industry. However, banking and finance must be extra vigilant in ensuring vendors and third-party suppliers are secure. Third-party breaches underscore the financial services sector’s potential vulnerability to cyberattacks. After all, it increasingly relies on suppliers and vendors who cannot guarantee cybersecurity.
Finally, as the hybrid workplace gains popularity, so does an organization’s risk. Remote and hybrid work presents a more daunting challenge for industries with more critical data to protect.
데이터 침해 비용을 줄이는 것
Lowering Data Breach Costs
비록 위협환경이 확대가 되고 침해가 일어날 지라도, 적극적인 보안 도구는 효과가 있습니다. 데이터침해비용에 대한 보고서는 얼마나 현재 보안전략으로 침해의 평균비용을 줄일 수 있는지를 알려주고 있습니다 .
Although the threat landscape is expanding and breaches happen, proactive security measures work. The Cost of a Data Breach report shows how current security strategies can lower the average cost of a breach.
인공지능 보안과 자동화
Security AI and Automation
AI, 머신러닝, 분석, SOAR와 같은 보안자동화를 설치한 기업들은 평균적으로 이러한 기술을 사용하지 않는 기업에 비해서 3백만 달러의 비용을 절약하였습니다.
Organizations that employ security automation like AI, machine learning, analytics and automated security orchestration saved on average $3.05 million per breach compared to firms using no security AI and automation.
XDR
Extended Detection and Response
데이터침해의 침해상황에서 XDR의 효과에 대한 분석이 2022년도에 처음으로 진행되었습니다. 눈에 들어오는 것은 고도의 위협 탐지대응의 툴을 설치한 기업들은 침해당 평균 9.2%정도 비용을 절약하였습니다. 이러한 비용절약이 크게 눈에 띄는 수치는 아니지만, 침해기간이 거의 1달 감소하는 놀랄만한 효과가 있었습니다.
2022 is the first time the report examined the effects of Extended Detection and Response (XDR) technologies on the cost of a data breach. Notably, organizations that deployed advanced threat detection and response tools averaged a savings of 9.2% per breach. While these savings may not seem significant, the true impact is realized in the reduction of breach duration — nearly one month.
사고대응
Incident Response
사고대응의 계획을 테스트하고 실제 사고를 대응하는 기업들은 현장에 이러한 팀이 없는 회사들과 비교 하였을 때, 침해당 2백만 달러의 비용을 절약하였습니다.
Companies that have dedicated incident response (IR) teams and test their IR plan significantly reduced the average cost of a data breach by $2.66 million per breach compared to those with no IR team or no IR testing in place.
위험 수치화
Risk Quantification
생산성 손실, 대응 또는 복구의 비용, 침해영향, 평판 그리고 침해의 판결과 벌금에 대한 부분을 위험 수치화의 방법으로 중요하게 나타낼 수 있습니다. 이렇게 위험을 수치화를 하고 있는 기업들은 그렇지 않은 기업들 대비해서 침해당 평균 2백만 달러의 비용을 절약했습니다.
Risk quantification can highlight financial loss types by impact, loss of productivity, cost of response or recovery, reputation impact and fines and judgments. Companies using risk quantification saved $2.10 million per breach on average versus those that don’t.
제로트러스
Zero Trust
제로트러스트의 접근법은 유저들의 신분정보 또는 네트워크 그 자체가 이미 침해를 받았을지 모른다고 가정하는 것으로, 오히려 이 방법은 유저, 데이터, 리소스들 간에 연결을 계속적으로 확인을 합니다. 이러한 제로트러스접근법이 전체 데이터 침해 비용에 긍정적이 영향을 끄친다는 것은 놀랍지 않은 일 입니다. 제로트러스트 접근법을 이용하는 기업들은 뒤늦게 이를 도입한 기업들에 비해 평군 1백 50만 달러의 비용을 절약하였습니다.
이러한 통계는 그 산업에 속한 기업들의 요구사항에 약간의 촉매제 역할을 하기에, 더 많은 기업들이 적극적으로 보안 전략과 보다 나은 클라우드 운영환경에 투자를 하게 만들며, 결국 데이터 침해의 그 피해의 정도는 줄어들 수 있게 됩니다.
The zero trust approach assumes that user identities or the network itself may already be compromised. Instead, it relies on AI and analytics to continuously validate connections between users, data and resources. Not surprisingly, zero trust has a net positive impact on data breach costs, saving companies with a mature zero trust deployment $1.51 million on average per breach versus those with early adoption of zero trust.
These statistics provide the dose of optimism the industry needs. As more organizations invest in proactive security strategies and better cloud management practices, the impact and risk of a data breach can be reduced.
https://securityintelligence.com/articles/cost-data-breach-banking/