보안

타깃 개인정보 유출 사건이 중소기업의 데이터 보안에 미친 영향

Jen A Miller | CIO 2014.07.16


도난 데이터는 암시장으로 흘러간다
도난 당한 4,000만 개의 카드번호 가운데 100만~300만 개 정도가 실질적으로 암시장에서 매매됐다.

이스라엘 기반의 중소 온라인 상점 사기 보호서비스 제공업체 포터(Forter)의 COO 리론 담리는 "다수의 데이터가 실제 소매점이 아닌 노트북, 시계, 보석 등 쉽게 재판매가 가능한 제품들을 파는 온라인 상점에서 사용됐다"고 말했다.

담리는 "이베이나 타깃, 니만 마쿠스의 시스템은 아주 강력하기 때문에 사기꾼들이 그 시스템으로 다시 돌아와 훔친 신용카드를 쓰지 않을 것"이라며, "사기꾼들은 중간규모의 상점에서 훔친 카드를 쓸 것이다"고 예상했다.

사기 피해액을 부담하는 것도 온라인 업체와 실제 소매점 사이에 다르게 적용된다. 담리는 "만약 누군가 신용카드를 훔쳐 결제를 할 경우, 실제 상점의 경우 신용카드 업체에서 피해액을 보전해준다. 하지만 온라인 상점의 경우 카드 결제에 문제가 생겼을 때 이 피해는 업체가 부담해야 한다. '실제 카드없이' 거래를 한 당사자가 바로 이들이기 때문이다"고 설명했다.

신용카드는 더욱 안전해지지만 온라인은 예외
해몬드는 "신용카드 보안은 유럽식 칩+PIN 조합 형식으로 바뀔 것"이라고 말했다. 타깃은 칩+PIN 카드 리더를 올해 9월부터 도입할 예정이며, 칩+PIN 형식의 타깃 레드(RED) 카드를 2015년 1분기부터 발행하기로 했다고 밝혔다. 많은 유럽식 카드 리더기처럼 새로운 타깃 시스템은 칩+PIN과 마그네틱선을 모두 읽게 될 것이다.

타깃이 예고한 레드 카드가 오직 타깃 매장과 타깃닷컴(Target.com)에서만 사용할 수 있음에도 불구하고 워낙 큰 소매업체인 관계로 업계에 영향을 미치고 있다. 디스커버 파이낸셜 서비스(Discover Financial Services)의 조사에 따르면, 금융업체의 86%가 앞으로 2년 안에 칩+PIN 카드 발행을 계획하고 있다.

하지만 칩+PIN 조합 형식도 완벽하지는 않다. 해커들이 온라인 결제 사기에 더욱 집중하는 유럽의 경우 이미 부작용이 발생하고 있다. 온라인 결제에는 직접 카드를 제시하지 않기 때문에 칩+PIN 보안의 영향을 받지 않기 때문이다.

담리는 "칩+PIN 조합 형식으로의 변경은 주로 실제 세계에서의 사기 감소에 영향을 미칠 것이지만 반면 사기꾼들은 PIN을 보여주지 않고, 카드를 긁을 필요도 없는 온라인 거래에 집중할 것이다"고 분석했다.

보안 실패 계획을 수립하라
포네몬은 "이런 복잡한 위협 환경 속에서 모든 기업은 사고 대응 계획을 가지고 있어야 한다"고 경고했다. "만약 미국 토네이도 빈발 지역의 소기업일 경우 토네이도 피해에 대한 계획이 짜여져 있는 것처럼 자주 일어나진 않지만 준비는 해둬야 한다"고.

이와 같이 소기업에서도 사기 발생에 대비한 계획이 수립돼 있어야 한다. 이 계획에는 어떤 직원이 무슨 일을 해야 하는지, 언제 어떤 정보를 공개해야 하는 지에 대한 규정 등을 포함한 자사의 즉각적인 대응법이 포함되어야 한다.

포네몬은 "준비가 되어있는지 확실히 하기 위해 실전 훈련을 해야 한다"고 덧붙였다.

과도해 보일 수도 있고, 너무 황당할 수도 있을 것이다. 하지만 데이터 유출에 잘못 대응하면 피해는 막대해진다.

IBM이 포네몬 인스티튜트와 공동으로 수행한 조사에 따르면, 이미 데이터 유출 사고의 기업 평균 피해액은 350만 달러를 넘어섰다. 특히 이 보고서는 대응책을 마련해놓지 않은 기업의 경우 평균 피해액이 10%~15%정도 더 높다고 전했다.

네오햅시스 같은 컨설팅 업체를 통해 사고 대응 계획의 초안을 작성하고 자신의 보안 상태가 실제로 어느 정도인지 침투 테스트를 하는데 도움을 받을 수 있다.

한편 온라인 상점의 경우 어떤 거래가 적법하고 어떤 거래가 사기인지를 판단하고 판단 오류로 발생한 피해액은 스스로 부담하는 포터와 같은 업체에 의뢰해 피해 발생을 막을 수도 있다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.