유출 사고를 겪은 기업 중 보안 투자 계획을 가진 곳은 49%에 불과했다.
IBM이 ‘2025 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report)’를 발표하며 AI 도입 속도가 너무 빠르게 진행돼 보안 및 거버넌스 체계가 따라가지 못하고 있다고 밝혔다.
보고서에 따르면 조사 대상 기업의 13%가 AI 모델 또는 애플리케이션에서 데이터 유출이 발생했다고 보고했으며, 8%는 기업의 AI 시스템이 침해되었는지조차 파악하지 못했던 것으로 나타났다. AI 시스템 침해 사고를 경험한 기업 중 97%는 AI 접근 제어를 제대로 마련하지 않았고, 그 결과 AI 관련 보안 사고의 60%가 데이터 유출로, 31%가 운영 중단으로 이어졌다.
많은 기업이 AI 보안과 거버넌스를 뒤로한 채 AI 도입에만 급급하고 있는데, 이번 조사 결과는 관리되지 않는 AI 시스템은 데이터 유출 가능성이 높으며, 유출 시 비용도 더 크다는 점을 보여준다.
한편 보안 운영 전반에 AI 및 자동화를 광범위하게 활용한 기업은 데이터 유출 비용을 평균 190만 달러 절감하고, 데이터 유출 대응 기간을 평균 80일 단축한 것으로 나타났다. 이번 보고서는 IBM의 후원으로 포네몬 인스티튜트(Ponemon Institute)가 2024년 3월부터 2025년 2월까지 전 세계 기업 600곳을 대상으로 실시한 조사를 기반으로 작성됐다.
이번 보고서에서는 처음으로 AI 보안, 거버넌스 및 접근 제어에 대한 항목이 포함됐다. 이는 AI가 공격하기 쉽고 가치가 높은 대상으로 떠오르고 있음을 시사한다. 데이터 유출을 경험한 기업 63%는 AI 거버넌스 정책이 없거나 아직 개발 중이며, 정책을 보유한 기업 중에서도 비승인 AI를 정기적으로 감사하는 곳은 34%에 불과했다.
기업 5곳 중 1곳은 섀도우 AI로 인해 데이터 유출을 경험했지만, AI를 관리하거나 섀도우 AI를 탐지하는 정책을 보유한 곳은 37%에 그쳤다. 섀도우 AI를 많이 사용하는 기업은 이를 사용하지 않거나 적게 사용하는 곳보다 평균 67만 달러 더 높은 데이터 유출 비용을 기록했다. 섀도우 AI 관련 보안 사고는 개인 식별 정보(65%) 및 지적 재산(40%) 유출 비율이 일반적인 보안 사고에서의 각 데이터 유출 비율(각각 53%, 33%)보다 높았다.
한편, 전체 시스템 침해 사례 중 16%는 공격자가 AI 도구를 활용한 것으로 나타났으며, 주로 피싱 또는 딥페이크 사칭 공격에 사용됐다.
전 세계 평균 데이터 유출 비용은 444만 달러로, 5년 만에 처음 감소했다. 탐지와 대응에 걸린 평균 기간은 241일로 전년 대비 17일 단축됐으며, 유출사고를 내부에서 탐지한 비율이 더 많았다. 내부에서 탐지한 곳은 외부 공격자에 의해 통보받은 경우보다 평균 90만 달러의 비용을 절감했다.
산업별로는 의료 분야가 여전히 가장 높은 비용을 기록했다. 평균 742만 달러로 전년 대비 235만 달러 감소했음에도 불구하고 다른 산업보다 피해 규모가 컸다. 또한 탐지와 대응에 평균 279일이 소요돼 전체 평균인 241일보다 5주 이상 더 길었다.
랜섬웨어 공격 요구에 응하지 않은 기업의 비율은 63%로 직전 해(59%)보다 증가했다. 몸값 지불을 거부한 기업이 더 많았으나 갈취나 랜섬웨어 사고의 평균 비용은 여전히 높은 것으로 나타났다. 특히 공격자에 의해 침해가 공개된 경우, 이 비용은 508만 달러에 달했다.
AI 위험이 증가했음에도 불구하고 보안 투자는 감소한 것으로 나타났다. 유출 사고 이후 보안에 투자할 계획이 있다고 답변한 비율은 2024년 63%에서 2025년 49%로 크게 감소했다. 데이터 유출 사고 후 보안 투자를 계획하고 있는 기업 중에서도 AI 기반 보안 솔루션이나 서비스에 집중하겠다고 답한 기업은 절반 이하에 그쳤다.
조사 결과, 데이터 유출 사고는 단기적 피해를 넘어 장기적 운영 차질로 이어졌다. 대부분 기업이 유출 사고 이후 운영 중단을 겪었으며, 복구에는 평균 100일 이상 소요됐다. 전체 기업의 절반 가까이는 유출 사고로 인해 상품 또는 서비스 가격 인상을 계획하고 있으며, 이 중 약 1/3은 15% 이상의 가격 인상을 고려 중인 것으로 나타났다.
IBM 보안 및 런타임 제품 담당 부사장 수자 비스웨산은 “이번 연구결과는 AI 도입과 감독 간의 격차가 존재하며, 공격자가 이를 악용하기 시작했음을 보여준다”라며, “이번 조사를 통해 AI 시스템에 기본적인 접근 제어조차 부족하다는 점이 드러났고, 이는 민감한 데이터 노출과 모델 조작 위험으로 이어진다. AI가 비즈니스 운영 전반에 깊숙이 자리 잡고 있는 만큼, AI 보안은 필수적으로 갖춰져야 한다. 행동하지 않는 대가는 단순한 재정 손실을 넘어 신뢰, 투명성, 통제력의 상실을 의미한다”라고 말했다.
dl-ciokorea@foundryco.com
