세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
올해 금융업계 정보 유출, 웹 애플리케이션 공격이 가장 큰 원인
  |  입력 : 2017-10-30 10:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
금융 회사, 인간적인 실수보다 사이버 공격으로 정보 유출돼
직원 인증 우회나 SQL 삽입 공격 등 다양한 공격에 대비해야


[보안뉴스 오다인 기자] 금융 회사가 정보 유출을 겪게 되는 가장 큰 원인으로 웹 애플리케이션 공격이 인간적인 실수를 앞질렀다. 보안성 평가 업체 비트사이트(BitSight)가 최근 발표한 보고서에 따르면, 금융 회사는 이제 더 광범위하고 더 위험한 종류의 사이버 공격에 대비해 준비에 나서야 할 것으로 보인다.

[이미지=iclickart]


비트사이트는 지난 3년 간 금융 회사들이 경험한 정보 유출의 유형을 조사했다. 2017년 대기업들이 대규모 사이버 공격에 연이어 당하면서 비트사이트 연구진은 각기 다른 유형의 공격들이 얼마나 확장했으며 그 영향력은 어떠했는지에 대해 파악하고자 했다. 비트사이트 연구진이 발견한 사실은 금융 부문에 가해지는 공격의 유형들에 근본적인 변화가 있다는 점이었다.

“맨 처음 저희의 관심을 끌었던 것은 금융 산업 내 웹 애플리케이션 공격에서 엄청난 증가가 있었다는 점이었습니다. 금융 산업에서 가장 만연한 침해 유형은 웹 애플리케이션 공격이었죠.” 비트사이트의 데이터 분석가 라이언 하이트스미스(Ryan Heitsmith)의 설명이다.

하이트스미스는 비트사이트에서 정보 유출이 ‘인간적인 실수(human error)’에 의해 발생했다고 말할 때, 직원이 실수로 엉뚱한 사람에게 개인정보나 금융정보를 보내는 일과 같은 개별 사고를 일컫는다고 설명했다. 그는 이런 사고들은 웹 기반 공격보다 대개 더 작고 더 제재하기 쉽다고 말했다.

2015년에는 정보 유출 사고의 절반 이상(51%)이 인간적인 실수에 의해 발생했다. 13%는 특권 남용에 의해, 8%는 웹 애플리케이션에 의해 발생했다. 2016년, 인간적인 실수에 의해 발생한 정보 유출 사고는 35%였고, 디도스 공격이 14%, 웹 애플리케이션이 11%로 뒤를 이었다.

올해는 웹 애플리케이션 공격에서 엄청난 증가가 있었다. 2017년 금융 회사들이 겪은 정보 유출 사고의 33%가 웹 애플리케이션 공격에 의해 발생했다. 인간적인 실수는 21%를 차지해 2위로 밀려났다. 하이트스미스는 이 같은 변화에 몇 가지 이유가 있을 수 있다고 말했다. 예컨대, 직원을 교육하는 수준이 높아진 것도 인간적인 실수를 줄이는 데 작용했을 수 있고, 예전보다 구체적인 보고를 하게 된 것도 또 다른 이유일 수 있다는 것이다.

하이트스미스는 “지난 몇 년 간 비트사이트는 대규모 정보 유출 사고에 대한 정보를 수집해왔다”며 “그 결과 사건 보고 자체도 훨씬 더 좋아졌다는 사실을 확인할 수 있었으며 의무적인 침해 보고 요건도 더 엄격해졌다는 사실도 확인됐다”고 말했다. 그는 언론이 정보 유출에 대해 더욱 강력하게 보도하고 있는 추세도 이 같은 위협 지형을 이해하는 데 더 넓은 시야를 제공해주었을 것이라고 덧붙였다.

웹 애플리케이션 공격이나 웹 애플리케이션이 공격 매개가 된 모든 사건을 보면, 회사에 침투하기 위해 직원 인증을 우회한다거나 SQL 삽입 공격을 감행하는 등의 여러 가지 행태가 드러난다.

또한, 비트사이트 연구진은 올해 위협 지형에서 또 다른 변화를 확인하기도 했다. 대개 내부자 위협에 의해 발생하던 사건들이 이제 회사 외부의 공격자에 의해 발생하고 있다는 사실이다. 내부자 위협은 악의를 띄고 벌어질 때도 있지만, 단순히 멍청한 실수에 의해 벌어질 때도 있다고 연구진은 지적했다. 연구진은 모든 내부자 공격이 의도적이거나 광범위하게 벌어지는 것은 아니라며, 외부의 공격자는 다양한 익스플로잇을 활용해 의도적으로 정보를 빼내려 한다고 말했다.

하이트스미스는 웹 애플리케이션 공격에 대해 언급하며, “흥미로운 사실은 이런 공격의 결과로 수많은 기록이 손실되고 유출되기 때문에 그 중요성에 있어서 더 치명적이라는 점”이라고 설명했다. “인간적인 실수로 초래되는 사고들은 하나 또는 두어 건의 기록만 유출되는 경우가 많습니다. 상대적으로 작은 사고라고 볼 수 있죠. 그러나 웹 애플리케이션의 경우, 금융업계에서 저희가 목격한 그 어떤 유출 사고들보다도 평균적인 기록 유출 수가 훨씬 더 많습니다.”

하이트스미스는 금융 회사가 웹 애플리케이션 공격을 감시할 수 있는 방법에는 크게 두 가지 접근법이 있다고 짚었다. 첫 번째는 모든 웹 애플리케이션이 적절하게 구성돼있는지 확인하고 필요한 웹 애플리케이션 보안에 투자하는 것이다. 두 번째는 지속적인 모니터링 플랫폼을 사용해서 서드파티를 감시하는 것이다. 하이트스미스는 금융에서 취약한 지점이 바로 이 서드파티에 대한 감시라고 지적하면서 이 같이 말했다.

웹 애플리케이션 공격이 치솟았다는 건 인간적인 실수에 대해 신경 쓰지 않아도 된다는 뜻은 아니다. 인간적인 실수는 아직까지 21%를 차지하는 큰 문제로 남아있다. 직원 훈련을 의무적으로 진행해서 피싱 같은 흔한 익스플로잇과 보안 문제에 대해 의식을 고취시키는 것이 웹 모니터링 만큼이나 중요하다고 하이트스미스는 지적했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)