전 세계 기업들의 데이터 유출 비용이 5년 만에 처음으로 감소했다. AI(인공지능)와 위협 탐지 자동화 기술의 발전, 그리고 기업의 랜섬웨어 대응 인식 제고가 주요 요인으로 꼽힌다.

한국IBM은 21일 서울 여의도 국제금융센터 본사에서 기자간담회를 개최하고 이 같은 내용을 담은 '2025 데이터 유출 비용 연구 보고서'를 발표했다.

IBM이 포네몬 인스티튜트와 작년 3월부터 올해 2월까지 전 세계 600개 조직을 조사한 결과 글로벌 기업들의 평균 데이터 유출 비용은 444만달러(약 62억원)로 집계됐다. 이는 5년 만의 첫 감소다.

보고서는 보안 자동화 시스템의 확산이 비용 절감에 기여했다고 분석했다. 소프트웨어 기획부터 설계, 구현, 테스트, 운영 전 과정에 보안 전략을 녹여내는 데브섹옵스(개발·보안·운영 통합), 수많은 데이터를 분석해 이상 징후를 실시간 탐지하는 보안 애널리틱스, 과거 공격 패턴을 학습해 새로운 위협을 즉각 감지하는 머신러닝 기반 위협 인사이트 등이 대표적이다.

실제로 보안·자동화 시스템을 도입한 기업의 평균 데이터 유출 비용은 362만달러(51억원)로, 이를 활용하지 않은 기업(552만달러·77억원)보다 적었다. 탐지 및 대응 기간도 평균 80일 단축됐다.

다만 위험 요인은 여전하다. 특히 회사의 허가 없이 무분별하게 쓰는 '섀도 AI'가 사이버 보안의 걸림돌로 떠오르고 있다. 섀도 AI는 직원들이 IT나 보안부서의 승인 없이 사용하는 AI를 의미한다. 조사 대상 기업 5곳 중 1곳은 섀도 AI로 인해 데이터 유출을 경험했다. 또 섀도 AI를 자주 사용하는 조직은 이를 쓰지 않거나 적게 활용하는 곳보다 데이터 유출 비용이 평균 67만달러(9억원) 더 많았다.

섀도 AI 관련 보안 사고의 경우 개인 식별 정보(65%)와 지적 재산(40%) 유출 비율이 일반적인 보안 사고 대비 각각 12%포인트, 7%포인트 높았다.

직원들의 섀도 AI 사용에 대한 기업 차원의 대응 방안을 묻는 말에 한국IBM 최고기술책임자(CTO) 이지은 전무는 "해법은 AI 거버넌스(관리 체제)"라며 "IBM은 승인 절차와 모니터링을 통해 직원들이 자유롭지만 안전하게 AI를 활용할 수 있는 체계를 제공한다"고 답변했다.

한편, 해커 조직에 대한 기업들의 저항은 한층 더 거세졌다. 랜섬웨어 피해를 단순히 '돈으로 해결할 수 없는 문제'로 인식하는 분위기가 확산된 것이다. 보고서에 의하면, 지난해 랜섬웨어 공격에 협상하지 않은 조직 비율은 63%로 전년(59%) 대비 4%포인트 늘었다.

이 전무는 "랜섬웨어 공격시 몸값을 지불한다고 하더라도 실제 정말 암호화를 풀어서 데이터가 완벽하게 돌아올지에 대한 확신이 없어졌고, 돈을 내면 또 다른 해커의 공격 대상이 될 수도 있다는 인식이 생기며 기업들이 어떻게든 저항을 하고 있는 상황"이라고 진단했다.

AI 리스크가 확대되는 상황에서도 보안 투자는 줄어드는 추세다. 유출 사고 이후 보안에 투자하겠다고 답한 기업은 2024년 63%에서 올해 49%로 14%포인트 급감했다.