2019.12.12

"데이터 침해, GDPR 효과, 악성 앱, 악성 광고 등" 2019년 사이버보안에서 일어난 일

Rick Grinnell | CSO
2019년이 끝나감에 따라, 지난 12개월 동안 사이버보안에서 무슨 일이 일어났는지, 그리고 올해 일어나지 않았던 일을 되돌아 볼 때가 됐다. 
 
ⓒ Getty Images Bank 

미드이어(Midyear) 보고서에 따르면, 지난해 40억 개 이상의 기록이 유출되어 지난해보다 침해사고가 54%나 증가했다. 올해는 데이터 침해를 당한 메이시스(Macy)와 T 모바일의 고객이 받은 피해만으로 뉴스가 끝날 수 있다. 디즈니의 새로운 스트리밍 서비스인 디즈니+는 해커가 침입해 사용자 계정을 해킹한 여파로 하루동안 꼬박 온라인 상태가 아니었다.  


대규모 사건이 없었던 2019년 데이터 침해  

2019년, 침해 사건 수는 증가했음에도 불구하고 눈에 띄는 점이 없었다. 실제 대규모 데이터 유출 사건이 없었기 때문인데, 이 때 대규모란 에퀴팩스, 야후, 메리어트, TJ 맥스, 타깃과 같은 초대형 사건을 얘기하는 것이다. 지난 10년 동안 데이터 유출 사건은 거의 매년, 몇 달 동안 헤드라인을 장식하고 오늘날까지도 여전히 화제가 되고 있다. 2019년 데이터 유출이 가장 많은 해가 될 수 있지만, 헤드라인을 장식할만한 대규모 데이터 침해 사건은 단 한 건도 없었다.
  
그렇다고 대형 사건이 없었다는 것은 아니다. 해커는 전 세계 10억 명 이상의 사용자를 위협할 수 있는 감시 소프트웨어를 왓츠앱(WhatsApp)에 설치했다. 포트나이트(Fortnite) 사용자는 랜섬웨어에 감염된 후, 위험에 처할 수 있다는 경고를 받았다. 그러나 이런 사건들은 대규모였지만, 해커들은 원했던 결과를 이루지 못했다.

이는 그저 행운이라고 볼 순 없다. 범죄자들은 여전히 매우 적극적이고 공격적이지만, 대기업이 이전 대형 사건에서 교훈을 얻어 대규모 위협에 더 잘 대처를 하고 있는 것일까? AI를 활용해 피해가 발생하기 전에 공격을 탐지하고 중지하는 첨단 보안 도구를 활용하고 있는가? 기본 보안 위생 및 실무, 프로세스 및 교육에 중점을 두어 위반이 있을 경우, 좀 더 효율적으로 대응할 수 있는가? 2019년에는 대규모 데이터 침해와 관련해 긍정적인 변화가 있었다.  


GDPR의 효과, 예상보다 미비   

GDPR은 2018년 5월부터 시행됐다. 영국 항공은 2018년 9월 자체 데이터 침해사고가 50만 명의 사람들에게 영향을 미쳤다고 밝혔다. 2019년 GDPR 벌금은 2억 2,300만 달러가 부과됐는데, 이는 점보 제트기 2대 값에 해당된다. 

2019년에는 GDPR 효과가 나타난 것으로 보인다. 그리고 대기업에 예상되는 벌금과 실제 부과된 벌금을 비교했을 때 조족지혈이었는데, 페이스북은 약 20억 달러의 벌금을 물게 됐다. 페이스북 코드에서 취약점이 발견됐는데, 해커는 이를 악용해 액세스 토큰을 훔쳐 수백만 명의 EU 사용자에게 영향을 미쳤다. 

그러나 영국 항공의 사례는 GDPR에 대한 실제 우려 가운데 하나인 서드파티 위험이 조직에 막대한 영향을 미칠 수 있다는 점을 보여줬다. 영국 항공의 경우, 1차적으로 감염된 것은 항공사 웹사이트의 서드파티 자바 스크립트 서비스 직원이었다. 

서드파티는 오랫동안 기업의 위험을 초래했지만, CCPA나 뉴욕의 새로운 개인정보보호법과 같은 더 많은 개인정보보호 규정이 적용됨에 따라 이런 위험이 증폭됐다. 공급업체의 보안 프로토콜 오류로 인한 데이터 침해로 인해 비용이 발생한다는 것을 영국 항공이 입증한 것이다. 


모바일 생태계의 정밀 조사 필요성 증가 

애플 앱 스토어는 엄격한 심사 시스템으로 이름을 높였지만, 이 시스템은 완벽하지 않다. 올해 초, 18건의 악성 앱이 애플의 모바일 환경 감시를 벗어났다는 것은 모바일 생태계에 대한 조사의 필요성을 보여주고 있다. 

2019년 올해는 오래전부터 위험으로 우려되던 앱이 정기적으로 우리의 보안과 프라이버시를 침해한다는 것이 마침내 밝혀지고 있다. 예를 들어, 중국 앱 틱톡(TikTok)은 짧은 동영상 클립을 공유하며 전세계에서 가장 많이 다운로드받은 앱이다. 이는 국가 보안 및 데이터 개인정보 침해에 대한 조사도 받고 있다. 특히 중국 정부가 이 앱을 사용한 이들을 얼마나 해킹했는지 의문이 제기되고 있다. 

앱을 둘러싼 보안 문제에 대해 인식이 높아지면 2020년이 되기 전에 좀더 나은 심사가 이뤄질 것으로 보인다. 


선거 중 악성 광고, 대폭 증가 예상  

다음 선거는 내년에 있지만 2019년부터 이미 본격적으로 시작됐다. 가짜 광고도 마찬가지다. 유권자에게 허위 정보를 공유하는 광고일뿐만 아니라 악성코드를 유포하는 악성 페이로드가 포함된 선거 광고가 있다. 선거 열풍이 더해짐에 따라 2020년에는 이런 악성 광고가 대폭 증가할 것으로 예상된다.  


모든 것은 피싱으로 돌아간다 

피싱은 여전히 이메일이나 소셜 미디어를 통한 공격 가운데 가장 큰 공격 경로로 남아 있다. 해커는 사람들이 링크를 클릭하거나 첨부 파일을 열거나 동영상을 볼 수 있도록 정보를 계속해서 만든다. 해커는 피해자로부터 수집한 데이터를 가져다가 금전적 이익을 목표로 맞춤형 피싱 공격을 하기 위해 무기를 제작하고 있다.  

해커는 계속해서 피싱 공격으로 되돌아간다. 그러나 해커는 데이터 수집을 위해 우리가 안전하다고 생각하는 모바일 앱과 같은 새로운 공격 경로를 찾게 될 것으로 예상한다. 대규모 공격의 부재는 우리의 방어가 잘되고 있음을 알 수 있지만 새로운 개인정보 보호 규정에 따르면, 여전히 개선의 여지가 많이 남아있다. 지금까지 설명한 것은 2019년의 추세일 뿐이다. 2020년에는 어떤 일이 펼쳐질까. editor@itworld.co.kr 


2019.12.12

"데이터 침해, GDPR 효과, 악성 앱, 악성 광고 등" 2019년 사이버보안에서 일어난 일

Rick Grinnell | CSO
2019년이 끝나감에 따라, 지난 12개월 동안 사이버보안에서 무슨 일이 일어났는지, 그리고 올해 일어나지 않았던 일을 되돌아 볼 때가 됐다. 
 
ⓒ Getty Images Bank 

미드이어(Midyear) 보고서에 따르면, 지난해 40억 개 이상의 기록이 유출되어 지난해보다 침해사고가 54%나 증가했다. 올해는 데이터 침해를 당한 메이시스(Macy)와 T 모바일의 고객이 받은 피해만으로 뉴스가 끝날 수 있다. 디즈니의 새로운 스트리밍 서비스인 디즈니+는 해커가 침입해 사용자 계정을 해킹한 여파로 하루동안 꼬박 온라인 상태가 아니었다.  


대규모 사건이 없었던 2019년 데이터 침해  

2019년, 침해 사건 수는 증가했음에도 불구하고 눈에 띄는 점이 없었다. 실제 대규모 데이터 유출 사건이 없었기 때문인데, 이 때 대규모란 에퀴팩스, 야후, 메리어트, TJ 맥스, 타깃과 같은 초대형 사건을 얘기하는 것이다. 지난 10년 동안 데이터 유출 사건은 거의 매년, 몇 달 동안 헤드라인을 장식하고 오늘날까지도 여전히 화제가 되고 있다. 2019년 데이터 유출이 가장 많은 해가 될 수 있지만, 헤드라인을 장식할만한 대규모 데이터 침해 사건은 단 한 건도 없었다.
  
그렇다고 대형 사건이 없었다는 것은 아니다. 해커는 전 세계 10억 명 이상의 사용자를 위협할 수 있는 감시 소프트웨어를 왓츠앱(WhatsApp)에 설치했다. 포트나이트(Fortnite) 사용자는 랜섬웨어에 감염된 후, 위험에 처할 수 있다는 경고를 받았다. 그러나 이런 사건들은 대규모였지만, 해커들은 원했던 결과를 이루지 못했다.

이는 그저 행운이라고 볼 순 없다. 범죄자들은 여전히 매우 적극적이고 공격적이지만, 대기업이 이전 대형 사건에서 교훈을 얻어 대규모 위협에 더 잘 대처를 하고 있는 것일까? AI를 활용해 피해가 발생하기 전에 공격을 탐지하고 중지하는 첨단 보안 도구를 활용하고 있는가? 기본 보안 위생 및 실무, 프로세스 및 교육에 중점을 두어 위반이 있을 경우, 좀 더 효율적으로 대응할 수 있는가? 2019년에는 대규모 데이터 침해와 관련해 긍정적인 변화가 있었다.  


GDPR의 효과, 예상보다 미비   

GDPR은 2018년 5월부터 시행됐다. 영국 항공은 2018년 9월 자체 데이터 침해사고가 50만 명의 사람들에게 영향을 미쳤다고 밝혔다. 2019년 GDPR 벌금은 2억 2,300만 달러가 부과됐는데, 이는 점보 제트기 2대 값에 해당된다. 

2019년에는 GDPR 효과가 나타난 것으로 보인다. 그리고 대기업에 예상되는 벌금과 실제 부과된 벌금을 비교했을 때 조족지혈이었는데, 페이스북은 약 20억 달러의 벌금을 물게 됐다. 페이스북 코드에서 취약점이 발견됐는데, 해커는 이를 악용해 액세스 토큰을 훔쳐 수백만 명의 EU 사용자에게 영향을 미쳤다. 

그러나 영국 항공의 사례는 GDPR에 대한 실제 우려 가운데 하나인 서드파티 위험이 조직에 막대한 영향을 미칠 수 있다는 점을 보여줬다. 영국 항공의 경우, 1차적으로 감염된 것은 항공사 웹사이트의 서드파티 자바 스크립트 서비스 직원이었다. 

서드파티는 오랫동안 기업의 위험을 초래했지만, CCPA나 뉴욕의 새로운 개인정보보호법과 같은 더 많은 개인정보보호 규정이 적용됨에 따라 이런 위험이 증폭됐다. 공급업체의 보안 프로토콜 오류로 인한 데이터 침해로 인해 비용이 발생한다는 것을 영국 항공이 입증한 것이다. 


모바일 생태계의 정밀 조사 필요성 증가 

애플 앱 스토어는 엄격한 심사 시스템으로 이름을 높였지만, 이 시스템은 완벽하지 않다. 올해 초, 18건의 악성 앱이 애플의 모바일 환경 감시를 벗어났다는 것은 모바일 생태계에 대한 조사의 필요성을 보여주고 있다. 

2019년 올해는 오래전부터 위험으로 우려되던 앱이 정기적으로 우리의 보안과 프라이버시를 침해한다는 것이 마침내 밝혀지고 있다. 예를 들어, 중국 앱 틱톡(TikTok)은 짧은 동영상 클립을 공유하며 전세계에서 가장 많이 다운로드받은 앱이다. 이는 국가 보안 및 데이터 개인정보 침해에 대한 조사도 받고 있다. 특히 중국 정부가 이 앱을 사용한 이들을 얼마나 해킹했는지 의문이 제기되고 있다. 

앱을 둘러싼 보안 문제에 대해 인식이 높아지면 2020년이 되기 전에 좀더 나은 심사가 이뤄질 것으로 보인다. 


선거 중 악성 광고, 대폭 증가 예상  

다음 선거는 내년에 있지만 2019년부터 이미 본격적으로 시작됐다. 가짜 광고도 마찬가지다. 유권자에게 허위 정보를 공유하는 광고일뿐만 아니라 악성코드를 유포하는 악성 페이로드가 포함된 선거 광고가 있다. 선거 열풍이 더해짐에 따라 2020년에는 이런 악성 광고가 대폭 증가할 것으로 예상된다.  


모든 것은 피싱으로 돌아간다 

피싱은 여전히 이메일이나 소셜 미디어를 통한 공격 가운데 가장 큰 공격 경로로 남아 있다. 해커는 사람들이 링크를 클릭하거나 첨부 파일을 열거나 동영상을 볼 수 있도록 정보를 계속해서 만든다. 해커는 피해자로부터 수집한 데이터를 가져다가 금전적 이익을 목표로 맞춤형 피싱 공격을 하기 위해 무기를 제작하고 있다.  

해커는 계속해서 피싱 공격으로 되돌아간다. 그러나 해커는 데이터 수집을 위해 우리가 안전하다고 생각하는 모바일 앱과 같은 새로운 공격 경로를 찾게 될 것으로 예상한다. 대규모 공격의 부재는 우리의 방어가 잘되고 있음을 알 수 있지만 새로운 개인정보 보호 규정에 따르면, 여전히 개선의 여지가 많이 남아있다. 지금까지 설명한 것은 2019년의 추세일 뿐이다. 2020년에는 어떤 일이 펼쳐질까. editor@itworld.co.kr 


X