보안 / 프라이버시

토픽 브리핑 | 개인정보유출 사고는 왜 자꾸 터질까

이대영 기자 | ITWorld 2016.08.05
보안 세계에서 나쁜 예감은 틀린 적이 없다. 올해가 데이터 유출의 최악의 해로 꼽히겠지만, 다음 해에는 또 그 해가 될 것이라는 예측이다. 그래서 보안 현황에 대해 일찌감치 미리 예견할 수도 있다. 올해가 보안에 있어 최악의 해가 될 것이며, 2017년 또한 최악의 해가 될 것이라고 말이다.

2013년 최악의 데이터 유출 사고 - 국내편
2014년 데이터 유출 사건에서 배울 수 있는 6가지 교훈
2015년 최악의 데이터 유출 사건들
2015년 개인정보 유출 사고 Top 10

전세계적으로 올해에도 개인정보 유출 사건들이 많이 발생하고 있다. 특히 최근에는 보안이 허술하다고 평가받는 전자상거래 업체나 중소기업이 아니라 최고의 보안을 자랑하는 각 산업별 선도업체들과 보안업체, 미국 정부기관마저 개인정보유출 사고가 발생해 개인정보유출 문제가 사회적 이슈로 부각됐다.

'하얏트 호텔도 당했다', 지불 결제 시스템에서 악성코드 탐지
힐튼의 신용카드 시스템, 17주동안 고객 정보 유출
스타우드 호텔, 지난해 11월부터 고객 신용카드 정보 탈취 당해
"대형 헬스케어 조직, 81%가 해킹당했다"...KPMG
해커들, 1년 전부터 미국 비밀정보 사용 허가 데이터에 접속

물론 국내에서도 수많은 사건들이 발생하고 있지만, 잘 알려지지 않은 것은 이제는 큰 규모의 유출 사건이 아니고서는 언론에 주목조차 받지 못하기 때문이다. 이런 상황에 초대형 개인정보 유출 사건이 발생했는데, 바로 인터파크 1,000만 고객정보 유출 사건이다.

인터파크 1,000만 고객 정보 유출 사건 분석..."완벽한 APT 공격 사례, 2차 피해로 확산될 듯"
블로그 | 데이터 유출, 아직도 '남의 일'인가?

아니나다를까 매체들은 인터파크의 보안 미비점이나 잘못을 찾기 위해 혈안이 됐고, 일부 보안업체들은 자사의 솔루션만 사용했더라면 충분히 막을 수 있었을 것이라고 설레발을 쳤으며, 인터파크 측은 고도로 정교화된 공격으로 막기에는 역부족이었다고 변명했다.

매년 초대형 개인정보유출 사고를 겪고도 바뀌지 않는 것이 있다면 올해에도, 내년에도 무수히 많은 개인정보들이 유출되어 지하세계에 유통될 것이라는 점이다. 이처럼 개인정보유출 사고가 계속 발생하는 이유는 무엇일까?

첫번째, 개인정보는 돈이 되기 때문이다. 지난 10년동안 수많은 유출사고를 통해 주민번호와 이름과 같은 기본적인 개인정보는 워낙 많이 나돌기 때문에 가격이 턱없이 싸다. 하지만 휴대전화번호나 신용카드번호, 비밀번호와 같이 판매되는 고급 개인정보는 상당히 높은 가격에 판매된다.

최근 2,700만 명의 개인정보 2억 2,450만 건을 빼내어 대출 사기범 등에 판매해 온 범죄자들이 유통한 개인정보는 종류에 따라 등급을 나눠 1원부터 최대 2만 원까지 가격을 나눠 판매했다. 유출된 개인정보는 이름, 주민번호, 전화번호, 주소, 아이디, 비밀번호, 금융 계좌번호, 이메일 주소 등으로 고급 개인정보는 2만 원, 단순한 성명과 주민번호는 1원에 팔렸다.

2,700만 명의 개인정보 유출 사건 분석과 사용자 대책

미국에는 개인정보를 판매하는 데이터 브로커들이 불법과 합법의 경계선상에서 활발히 사업을 확대해 가고 있다.
미국 상원의원 제이 록펠러는 "2012년 한 해 동안 데이터 브로커 업계는 약 1,500억 달러의 수익을 올렸다. 이는 미국 정부의 한 해 정보 예산보다 두 배는 더 많은 액수다. 이 돈은 모두 사생활에 대한 정보를 알아내고 판매해 얻은 것이다"고 말했다.

'개인정보 판매' 데이터 브로커의 어두운 세계

최근 랜섬웨어 기반의 공격이 급격히 증가하는 이유가 바로 즉시 현금화가 가능하다는 점이다. 개인정보 유출을 통해 이뤄지는 수익 창출은 유출 이후 판매라는 별다른 절차를 거쳐야 하기 때문이다.

따라서 개인정보유출 공격은 확실히 줄어들 것으로 보이지만, 오히려 고도화되고 정교화된 방법으로 공격이 진행되기 때문에 탐지가 더욱 힘들어질 것이다. 또한 개인정보를 판매해 수익을 거두기보다는 유출한다는 협박을 통해 해당 기업에게 돈을 받아내는 방식도 증가할 것으로 보인다.

두번째, 기업이 고객의 개인정보를 100% 지킨다는 것은 불가능에 가깝다. 근본적으로 현재 보안 체계가 공격 방법에 따른 방어체계를 갖추는 방식이기 때문이다.

공격 방법은 나날이 진화하고 보안 취약점은 계속 발견되고 이를 악용한 침입 방법이 다양화되는 반면, 방어 측에서는 새로운 공격에 의해 피해를 입은 다음에서야 방어책을 마련한다. 수년 전, 악성코드에 속수무책이었던 시그니처 기반의 방어 체계가 바로 이런 상황에 해당하며, 제로데이 방식의 APT 공격은 알고도 막지 못하는 것이 보안의 현실이다.

사이버 보안 전문가, 자신감을 잃어간다
ITWorld 용어풀이 | 제로데이 공격
보안 전문가들이 밤잠을 설치게 만드는 8가지

그래서 최고의 보안 수준을 갖춘 기업이라 하더라도 해킹의 가능성은 있다. 특히 보안의 영원한 구멍으로 인식되는 사용자가 있는 한 침입 방법은 언제나 존재한다.

사용자 교육과 사고 대응 체계의 구축이 중요한 이유가 바로 여기에 있다.
보안 전문가들은 "수많은 개인정보유출 사건을 겪은 후, 이제 기업들은 자사의 데이터가 유출될 것을, 이미 유출됐다는 가정 하에 조치를 취하고 있다"고 말했다.

기고 | 보안 사고 대응이 중요한 이유
최종 사용자의 5가지 나쁜 보안 습관과 해법

세번째는 데이터 유출에 대한 기업이 갖는 자세에 있다.
지난 2014년 미국 유통업계를 휩쓸고 지나간 개인정보유출 사태에서 홈디포(Home Depot)는 2016년 3월 1,950만 달러를 지급하는 데 동의했다. 하지만 홈디포는 이 배상 금액이 법적 책임을 시인하는 것이 아니라면서 정보가 유출된 고객들을 배상하기 위해 1,300만 달러와 고객들에게 1년 6개월간 신원보호 서비스를 제공하는데 650만 달러를 지급한 것이라고 밝혔다. 4,000만 카드 정보를 유출한 타겟(Target)은 1,000만 달러를 지급하는 것에 동의한 바 있다.

홈디포, 2014년 데이터 유출사고로 1,950만 달러 지급 동의

하지만 국내에서는 상황이 다르다. 지난 수년동안 국내 사용자들은 옥션(1,000만), 현대캐피탈(170만), KT(1,170만), 네이트(3,500만), KB카드(5,300만), 롯데카드(2,600만), HN카드(2,600만) 등의 수많은 초대형 개인정보유출 사고를 겪어왔다.

기존 개인정보유출 기업들은 대표이사가 공식석상에서 사과문을 발표하고 개인정보 유출에 따른 2차 피해까지 보상할 것이라고 약속했다. 하지만 지난 수년간 손해배상 청구는 모두 소송으로 이어졌으며, 소송 기간은 기본적으로 2, 3년을 훌쩍 넘겼다.

게다가 그간 소송에서 최대 피해 보상액은 개인당 10만 원이었다. 이조차도 기업의 잘못이 명백하고 피해가 확실한 증거가 있는 상황에서 승소한 것이며, 그나마 소송을 하지 않은 피해자들은 보상을 받지 못했다.

IDG 블로그 | "이 와중에 꼼수를..." 자세히 읽어야 알 수 있는 인터파크의 유출 내역

놀라운 사실은 개인정보 유출사고가 있었음에도 불구하고 고객들은 해당 기업의 제품과 서비스를 사용한다는 것이다. 그간 개인정보를 유출한 기업들의 고객들은 회원 탈퇴는 기본으로, 손해배상 소송에 적극 참여하는 것으로 보였다.

하지만 지난 3년간 데이터 유출 사고가 있었던 기업 서비스를 사고 이후 12개월간 사용하지 않았던 소비자들에게 이유를 물어본 결과, 응답자의 70%가 해당 기업에서 물건을 정기적으로 사지 않기 때문이라고 답했다.

데이터 유출 때문에 해당 회사를 이용하지 않는 경우는 소수에 불과했다. 겨우 4%만이 더 안전하다고 느끼는 경쟁사를 이용했다고 답했고, 2%만이 데이터 유출 사고 때문에 해당 회사를 더 이상 이용하지 않는다고 답했다.

데이터 유출 사고 후 “소비자들은 정말 떠날까?“

ITWorld가 2014년 IT 종사자들을 대상으로 설문조사를 한 결과, 1번이상 개인정보가 유출됐다고 응답한 이가 77.7%에 육박했지만 유출 사고 이후 자신이 행한 조치에서 계약 해지 및 서비스 중단을 했다는 응답자는 19.7%에 불과했다. 특히 아무 것도 하지 않았다고 응답한 이가 26.7%라는 점은 후속 피해를 입을 여지가 많다는 것을 나타낸다. 무엇보다 적절한 보상을 받지 못했다는 이가 90%를 차지했다.

한 마디로, 개인정보 유출 사고가 발생했어도 아무러 보상을 받지 못한 채, 비밀번호 변경 등 소극적인 조치만 취하는 이들이 대다수란 것이다.

개인정보 유출과 개인정보의 가치에 관한 설문

뮬론 고객이 이탈하지 않는다고 해서 손해가 없다는 것은 아니다. 미국에서는 개인정보유출로 인해 서비스를 중단한 업체들이 속출했으며, 홈디포의 경우는 데이터 유출 사건과 관련해 세액 제외하고 총 1억 6,100만 달러가 소요됐다.

일반적으로 데이터 유출에 따른 평균 피해액은 379만 달러 수준이다. 최근 IBM과 포네몬 인스티튜트에서 발행한 2016년 데이터 유출 관련 비용 연구 보고서에서는 지난해 379만 달러에서 400만 달러로 증가했으며 유출된 기록당 평균 비용은 154달러에서 158달러로 늘어났다.

IBM, 전세계 데이터 유출 피해 현황 발표

3년간 데이터 유출의 1인당 평균 비용

Credit: Ponemon Institute 2016.06

산업별 1인당 비용

Credit: Ponemon Institute 2016.06

유출 사고가 빈번하게 일어나는 마지막 이유는 사이버 범죄자들을 검거하고 처벌하기가 어렵다는 점이다. 

치안정책연구소가 발간한 2016년 치안전망 보고서에 따르면, 지난해 9월까지 국내 사이버범죄 검거율은 71.1%였다. 하지만 해킹, DDoS, 악성코드 등 사이버 해킹 범죄에 해당하는 정보통신망 침해 범죄의 경우 검거율은 28.5%에 지나지 않는다. 사이버범죄자 3명 가운데 2명은 잡히지 않는다는 의미다. 잡히지 않으니 마음대로 범죄를 저지르면서 범죄 활동을 하기 때문에 사고가 많이 일어나는 것이다.

토픽브리핑 | 대해킹 시대, 사이버 범죄가 증가하는 이유

다른 일반 범죄와는 달리 사이버 범죄는 지구 반대편에서 마우스 하나로도 저지를 수 있다.
특히 사이버범죄 조직의 경우 이들은 흔적을 감추는 데 능숙해 IP 추적을 통해 이들을 알아내는 것은 사실상 불가능하다. 또한 사이버범죄자들은 대부분 사법공조가 이뤄지지 않는 국가 IP 주소로 우회하거나 해당 지역에 거주하는 경우가 많아 실제 체포 가능성도 거의 없다.
최근에는 미국이나 영국 등 많은 국가에서 국제적인 사법공조를 통해 사이버범죄자들을 체포, 처벌하는데 주력하고 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.