2019.02.19

"2018년 침해된 데이터 수 50억 개"…RBS 보고서

Lucian Constantin | CSO
공개적으로 알려진 데이터 침해 건수는 유럽에서 시행한 엄격한 통지 규칙 때문인지 2017년에 비해 감소했다. 해킹 당한 민감한 데이터 수 또한 79억 개에서 50억 개로 대폭 감소했다. 
 
ⓒ Getty Images Bank

보안 인텔리전스 공급업체인 RBS(Risk Based Security)의 새로운 보고서에 따르면, 2018년 6,500건이 넘는 데이터 유출 사고가 공개됐는데, 이 가운데 2/3가 기업 영역에서 발생했다. 정부 부문에서 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다. 

RBS에서 수집하고 분석한 데이터는 초대형 침해 사고는 계속 발생하고 있으며, 대형 사고가 실제로 사람들의 개인정보보호에 가장 큰 영향을 미친다는 것을 보여준다. 2018년 1억 건 이상의 민감한 데이터가 유출된 12건의 침해 사건이 있었으며, 유출된 총 데이터 가운데 74%가 이 사건으로 인한 것이었다.  

가장 큰 침해 사고는 아드하르(Aadhaar)로 알려진 인도의 국가 ID 데이터베이스 유출 사고다. 이 사고는 2018년 3월에 보고됐으며, 약 12억 명의 인도 시민의 주민 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등이 노출된 것이다.

다음 큰 침해 사건으로는 해커가 매리어트의 스타우드(Starwood) 게스트 예약 데이터베이스에 저장된 3억 3,300만의 로열티 프로그램 기록과 화주 호텔 그룹(Huazhu Hotel Group)의 2억 4,000만 게스트 기록에 액세스할 수 있었다. 

일부 침해 사고는 해커가 보안 취약점을 악용한 결과는 아니지만, 웹에서 데이터를 공개적으로 액세스할 수 있는 보안 실수가 사고의 원인이었다. 이는 마케팅 기업인 이그젝티스(Exactis)의 사례로, 데이터베이스 구성 오류로 인해 2억 3,000만 명의 성인과 1억 1,000만 명의 비즈니스 담당자의 개인 정보가 노출됐다.
 
침해 사고의 또 다른 원인은 내부자가 승인되지 않은 서드파티와 의도적으로 또는 실수로 데이터를 공유하는 사기나 소셜 엔지니어링이다. 정치 컨설팅 기업인 케임브리지 애널리티카(Cambridge Analytica)가 8,700만 명의 페이스북 사용자 프로필을 서드파티 애플리케이션을 통해 데이터를 수집한 사건이 이 범주에 속한다. 


침해 사고의 가장 큰 원인, 여전히 "해킹" 

RBS 분석에 따르면, 해킹은 4,508건으로 2018년 데이터 유출의 가장 일반적인 원인이었다. 그 다음으로 스키밍(skimming) 453건, 웹 관련 유출 268건, 피싱(phishing) 177건, 악성코드 160건 순이었다. 그러나 침해 유형별 유출 기록 수를 보면, 웹 부문이 39%, 해킹이 28%, 사기 25%, 데이터 조작 실수가 7%로 나타났다. 

RSB 분석가들은 2017년 이전에는 해킹이 가장 흔한 침해 유형이었으며, 유출 기록 수도 가장 많이 기여했다. 이런 추세는 2017년부터 바뀌기 시작했는데, 웹 관련 누출 사고가 최고 부문을 차지해 2018년까지 지속됐다.  

대부분의 침해 사고는 외부 위협 요소의 결과(5,433건)였고, 내부 위협 요소(악의적 및 우발적 모두 포함)는 925건이었으며, 157건은 원인을 알 수 없었다. 즉, 잘못 구성된 서비스 및 기타 데이터 처리 실수와 같은 내부 요인을 가진 침해 사고(26억 개)는 해커가 도용한 것(17억 개)보다 훨씬 많은 기록을 유출했다.  

데이터 침해 사고 발견과 보고 사이의 평균 일수는 49.6일이었는데, 이는 2017년에 비해 약간 증가했다. 지난해 유럽에서 시행된 GDPR(General Data Protection Regulation)에서는 침해 사고를 발견한 후, 72시간 내에 규제 당국에 보고하도록 요구하고 있다. 

그러나 이 72시간은 공공이 아닌 규제 당국에 보고하는 데 걸리는 시간임에 주목할 필요가 있다. 기업은 해를 입힐 위험이 높은 경우에만 해당 개인에게 알릴 의무가 있다. RBS 보고서는 공개된 침해 사고 분석을 기반으로 하기 때문에 평균 보고 기간은 실제와는 다를 수 있다. 
 
2019년 RBS는 외부 또는 내부에서 침해 사고가 발견되는 방식과 조직이 이 사고를 공개하는 데 소요되는 시간 사이의 상관 관계를 좀 더 심층적으로 조사할 방침이다. editor@itworld.co.kr 


2019.02.19

"2018년 침해된 데이터 수 50억 개"…RBS 보고서

Lucian Constantin | CSO
공개적으로 알려진 데이터 침해 건수는 유럽에서 시행한 엄격한 통지 규칙 때문인지 2017년에 비해 감소했다. 해킹 당한 민감한 데이터 수 또한 79억 개에서 50억 개로 대폭 감소했다. 
 
ⓒ Getty Images Bank

보안 인텔리전스 공급업체인 RBS(Risk Based Security)의 새로운 보고서에 따르면, 2018년 6,500건이 넘는 데이터 유출 사고가 공개됐는데, 이 가운데 2/3가 기업 영역에서 발생했다. 정부 부문에서 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다. 

RBS에서 수집하고 분석한 데이터는 초대형 침해 사고는 계속 발생하고 있으며, 대형 사고가 실제로 사람들의 개인정보보호에 가장 큰 영향을 미친다는 것을 보여준다. 2018년 1억 건 이상의 민감한 데이터가 유출된 12건의 침해 사건이 있었으며, 유출된 총 데이터 가운데 74%가 이 사건으로 인한 것이었다.  

가장 큰 침해 사고는 아드하르(Aadhaar)로 알려진 인도의 국가 ID 데이터베이스 유출 사고다. 이 사고는 2018년 3월에 보고됐으며, 약 12억 명의 인도 시민의 주민 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등이 노출된 것이다.

다음 큰 침해 사건으로는 해커가 매리어트의 스타우드(Starwood) 게스트 예약 데이터베이스에 저장된 3억 3,300만의 로열티 프로그램 기록과 화주 호텔 그룹(Huazhu Hotel Group)의 2억 4,000만 게스트 기록에 액세스할 수 있었다. 

일부 침해 사고는 해커가 보안 취약점을 악용한 결과는 아니지만, 웹에서 데이터를 공개적으로 액세스할 수 있는 보안 실수가 사고의 원인이었다. 이는 마케팅 기업인 이그젝티스(Exactis)의 사례로, 데이터베이스 구성 오류로 인해 2억 3,000만 명의 성인과 1억 1,000만 명의 비즈니스 담당자의 개인 정보가 노출됐다.
 
침해 사고의 또 다른 원인은 내부자가 승인되지 않은 서드파티와 의도적으로 또는 실수로 데이터를 공유하는 사기나 소셜 엔지니어링이다. 정치 컨설팅 기업인 케임브리지 애널리티카(Cambridge Analytica)가 8,700만 명의 페이스북 사용자 프로필을 서드파티 애플리케이션을 통해 데이터를 수집한 사건이 이 범주에 속한다. 


침해 사고의 가장 큰 원인, 여전히 "해킹" 

RBS 분석에 따르면, 해킹은 4,508건으로 2018년 데이터 유출의 가장 일반적인 원인이었다. 그 다음으로 스키밍(skimming) 453건, 웹 관련 유출 268건, 피싱(phishing) 177건, 악성코드 160건 순이었다. 그러나 침해 유형별 유출 기록 수를 보면, 웹 부문이 39%, 해킹이 28%, 사기 25%, 데이터 조작 실수가 7%로 나타났다. 

RSB 분석가들은 2017년 이전에는 해킹이 가장 흔한 침해 유형이었으며, 유출 기록 수도 가장 많이 기여했다. 이런 추세는 2017년부터 바뀌기 시작했는데, 웹 관련 누출 사고가 최고 부문을 차지해 2018년까지 지속됐다.  

대부분의 침해 사고는 외부 위협 요소의 결과(5,433건)였고, 내부 위협 요소(악의적 및 우발적 모두 포함)는 925건이었으며, 157건은 원인을 알 수 없었다. 즉, 잘못 구성된 서비스 및 기타 데이터 처리 실수와 같은 내부 요인을 가진 침해 사고(26억 개)는 해커가 도용한 것(17억 개)보다 훨씬 많은 기록을 유출했다.  

데이터 침해 사고 발견과 보고 사이의 평균 일수는 49.6일이었는데, 이는 2017년에 비해 약간 증가했다. 지난해 유럽에서 시행된 GDPR(General Data Protection Regulation)에서는 침해 사고를 발견한 후, 72시간 내에 규제 당국에 보고하도록 요구하고 있다. 

그러나 이 72시간은 공공이 아닌 규제 당국에 보고하는 데 걸리는 시간임에 주목할 필요가 있다. 기업은 해를 입힐 위험이 높은 경우에만 해당 개인에게 알릴 의무가 있다. RBS 보고서는 공개된 침해 사고 분석을 기반으로 하기 때문에 평균 보고 기간은 실제와는 다를 수 있다. 
 
2019년 RBS는 외부 또는 내부에서 침해 사고가 발견되는 방식과 조직이 이 사고를 공개하는 데 소요되는 시간 사이의 상관 관계를 좀 더 심층적으로 조사할 방침이다. editor@itworld.co.kr 


X