세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
2017년, 역대 최고로 많은 정보가 유출됐다
  |  입력 : 2018-02-07 17:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2016년에 비해 24% 높아...미국이 가장 많은 사고 겪은 나라
공격 수준 높아진 게 아니라 관리자 실수가 유출의 주된 요인


[보안뉴스 문가용 기자] 2017년은 데이터 유출 사고의 측면에서 또 다른 기록 갱신의 해였다. 한 해 동안 공개된 사건만 총 5207건이며, 78억 9천만 건의 기록들이 유출됐다고 한다. 데이터 유출을 야기한 가장 큰 요인은 ‘의도치 않은 사고 혹은 실수’로 총 68.7%였고, 그 다음은 해킹으로 55.8%를 차지했다.

[이미지 = iclickart]


이를 조사한 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)의 부회장 잉가 고딘(Inga Goddijn)은 “환경설정을 잘못 했거나 백업 과정에서 오류가 발생한 경우가 많다”고 설명한다. “즉 숨겨놨어야 하는 정보가 관리자 실수로 인터넷을 통해 유출되는 빈도수가 작년 한 해 굉장히 높았다는 겁니다.”

그리고 이러한 정보는 곧바로 위험해지는 것이 요즘의 현실이다. “쇼단과 같은 검색 엔진의 인기가 높아지면서, 실수로 공개된 정보나 취약해진 기기를 찾는 게 식은 죽 먹기처럼 됐죠. 보안 전문가들과 악성 행위자들 모두 쇼단의 강력함을 인지하기 시작하기도 했고요.”

또한 작년 한 해 동안에는 AWS의 S3 버킷 계정에서 치명적인 정보 유출 사고가 빈번하기도 했었다. 보안 업체 레드록(RedLock)의 조사에 의하면 AWS S3 혹은 그와 유사한 서비스를 이용하는 기업들 중 53%가 실수로 정보를 유출해본 경험이 있다고 한다. 이러한 실수를 저지른 기업들에는 액센추어(Accenture), 부즈앨런해밀턴(Booz Allen Hamilton), 버라이즌(Verizon) 등이 있다.

그러니 고딘이 “작년 데이터 유출 사고의 대부분은 막을 수 있었던 것”이라고 말해도 반박이 불가능하다. 하지만 현실은 정반대. “막을 수 있던 것들을 막지 못했기 때문에 2016년에 비해 24%나 더 많은 정보들이 유출되는 결과만 떠안고 2018년을 시작하게 됐습니다.” 리스크 베이스드 시큐리티의 보고서는 여기(https://www.riskbasedsecurity.com/2018/02/over-5200-data-breaches-make-2017-an-exceptional-year-for-all-the-wrong-reasons/)서 열람이 가능하다(영문).

보고서 내용을 조금 더 들여다보면, 2017년 한 해 동안 발생한 유출 사고 중 8건이 ‘역대 최고 규모의 유출 사고 탑 20’ 안에 들어갔다는 걸 알 수 있다. 고딘은 “이른바 메가브리치(mega breach) 사건 몇 개가 2017년을 최악의 해 중 하나로 만든 요인이 되었다”며 “에퀴팩스(Equifax) 사건과 세이버 시스템즈(Sabre Systems) 사건”을 꼽았다. “이 두 사건의 피해 신고는 지금까지도 이어지고 있을 정도입니다.”

고딘에 의하면 “세이버 시스템즈 측은 아직도 사건의 정확한 규모를 발표하지 않고 있다.” 그렇기 때문에 리스크 베이스드 시큐리티가 보고서에 기재한 수치가 조금은 실제와 다를 수 있다. 하지만 고딘은 “큰 차이가 없을 것”이라며 “솔직히 세이버 시스템즈가 정확한 피해 규모를 집계할 능력이 안 되는 것 같다”고 말했다.

분야별로 나누면 민간 사업 부문이 총 침해 사고의 39.4%를 차지해 가장 많았다. 그 다음은 의료 분야가 8.1%, 정부 기관이 7.2%, 교육 분야가 5.3%를 차지했다. 40%는 구분이나 평가가 불가능한 조직들이었다. 데이터 양으로 봐도 민간 사업 부문의 피해가 가장 컸다. 침해된 데이터의 82.9%가 민간 사업 부문에서 나온 것이다. 그 다음은 정부 기관이 3.7%를 차지했고 의료와 교육 분야가 1% 이하를 기록했다.

국가별로 보면 미국이 가장 많은 유출 사고를 겪었다(총 2,330건). 그 다음은 영국으로 총 184건의 사고를 겪었고, 캐나다(116건), 인도(78건), 호주(62건)가 뒤를 차례로 이었다. 하지만 리스크 베이스드 시큐리티는 “GDPR이 유럽에 도입되기 시작하면, 미국과 유럽 국가의 간극이 좁혀질 것”으로 예상하고 있다. GDPR은 유출 사고 발생 시 반드시 보고하도록 규정하고 있기 때문이다.

한편 역대 침해 사고 1위는 야후가 기록했다. 2016년 약 30억 건의 기록들이 침해된 것으로 야후는 해당 사건을 파악하는 데에도 오랜 시간이 걸려 평판이 크게 낮아지기도 했다. 2위는 중국의 DU 콜러 그룹(DU Caller Group)에서 20억 건의 기록이 유출된 사건이고, 미국의 리버 시티 미디어(River City Media)가 13억 건으로 3위를 차지했다. 네덜란드의 한 조직(이름은 비공개 처리됐따)이 7억 1천 1백만 건의 기록을 잃은 것이 역대 4위다.

2017년에 나쁜 소식만 있었던 건 아니다. “유출 사고의 심각성이 크게 높아진 건 아닙니다. 즉 공격의 난이도가 크게 높아졌다거나 못막을 수준의 해킹 사고가 많이 발생한 건 아니라는 겁니다. 오히려 이 수치는 4사분기에 낮아지기도 했죠.” 이는 ‘인간적 실수’가 가장 큰 유출 요인으로 집계된 것과도 관련이 있는 부분이다.

그러므로 고딘은 “비전문가를 대상으로 한 보안 인식제고 교육이 중요해질 것”으로 전망한다. “공격자들이 주로 어떤 정보를 노리는지부터 알려줘야 해요. 또한 그러한 정보가 어떤 피해로 이어질 수 있는지도요. 그저 ‘해킹 공격 조심해’라고만 하면 너무 막연하죠. 보다 구체적이고 실질적인 보안 훈련 과정이 필요합니다.”

하지만 그러한 효과가 2018년에 금방 나타날 것이라고 고딘은 기대하지 않는다. “2018년이 2017년을 넘어설 가능성이 더 크다고 봅니다. 정보 침해와 관련된 통계 수치는 매년 나빠지고 있는 추세이거든요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#국제   #소식   #역대   #최고   #2017년   #에퀴팩스   


  •  SNS에서도 보안뉴스를 받아보세요!! 
SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)