미국에서 4년 연속 보안 침해로 가장 피해를 본 산업
의료
자료 제목 :
2022 소비자 신원 도용 리포트
2022 ForgeRock Consumer Identity Breach Report
자료 출처 :
ForgeRock
원본자료 다운로드
발행 날짜 :
2022년 07월 19일
보안

"공급망 해킹 급증…전년 대비 297% 증가"

Shweta Sharma | CSO 2022.07.21
ID 및 접근 관리(IAM) 소프트웨어 회사 포지록(ForgeRock)의 ‘소비자 신원 및 침해 보고서(Consumer Identity and Breach Report)’에 따르면 지난해 공급망 공격이 증가했으며, 무단 액세스가 주요 감염 벡터인 것으로 나타났다. 공급망 및 서드파티 공급업체와 관련된 문제로 인한 보안 침해가 2021년 미국에서 전년 대비 297% 늘어나면서 전례 없는 급증세를 보였다. 이는 전체 보안 침해 사고의 약 4분의 1에 달한다.
 
ⓒ Getty Images Bank

포지록은 2021년 1월 1일부터 12월 1일까지 신원 도용 리소스 센터(Identity Theft Resource Centre), 포레스터 리서치(Forrester Research), 포네몬 인스티튜트(Ponemon Institute) 등 여러 출처에서 수집한 데이터를 기반으로 해당 보고서를 작성했다. 보고서에 의하면 무단 액세스(50%)가 공급망 보안 침해의 주요 감염 벡터인 것으로 드러났으며, 2020년보다 5%P 증가한 수치다. 아울러 보안 침해 사고로 인한 평균 비용은 미화 950만 달러로 세계 최고 수준이며, 지난해(820만 달러)와 비교해 16% 올랐다. 
 

“공급망 해킹의 주요 감염 벡터는 무단 액세스”

보고서는 승인되지 않은 액세스가 주요 감염 벡터였으며, 여전히 문제라고 강조했다. 무단 액세스에는 취약한 암호, 공유된 자격증명 또는 손상된 계정으로 인한 데이터, 네트워크, 애플리케이션, 기기 액세스가 포함된다. 이어 무단 액세스를 빠르게 식별 및 차단하고 데이터 유출을 방지하려면 AI와 머신러닝 기술을 IAM(Identity and Access Management)에 적용하라고 보고서는 권고했다. 또한 공격자가 소비자의 MFA 피로(MFA fatigue)를 악용해 액세스 권한을 얻는 ‘MFA 프롬프트 공격’을 방지하려면 비밀번호 없는 인증, 머신러닝, 고급 패턴 인식 등을 통한 MFA 계층화도 중요하다고 지적했다.

컨설팅 회사 엔터프라이즈 매니지먼트 어소시에이츠(Enterprise Management Associates)의 리서치 디렉터 크리스 스테펜은 “승인되지 않은 액세스는 항상 감염의 매개체다. 머신러닝을 사용해 공격 경로를 방어한다면 도움이 될 수 있다”라고 말했다. 그에 따르면 낡은 공급업체 시스템의 손상은 전체 서드파티 및 공급망 공격의 25%를 차지한다. 아울러 벤더 실사 및 규정 준수 제어가 팬데믹이 한창일 때 대부분 완화됐으며, 이에 따라 공격자가 개방형 공급망 환경을 악용하게 됐다.
 

“주요 표적은 데이터가 많은 의료 산업”

보고서는 의료 산업이 4년 연속 가장 큰 피해를 본 부문이며, 지난해 총 467건의 보안 침해 사고를 기록하면서 전체의 24%를 차지했다고 밝혔다. 스테펜은 의료 산업이 ‘데이터 금광’으로 간주되기 때문에 몸값을 받길 원하는 공격자에게 매력적인 타깃이라고 설명했다. 또 ‘중요한 비밀번호, 세부적인 은행 정보’에서 ‘이름, 주소, 주민등록번호, 생년월일 정보’로 (공격자의) 초점이 이동했다고 보고서는 전했다. 2021년 유출된 데이터의 99%에는 이름과 주소가, 59%에는 주민등록번호가, 53%에는 생년월일 정보가 포함돼 있었다. 

스테펜은 “보안 위반이 발생했다고 의심되거나 개인이 카드를 분실했을 경우 금융기관은 도난당한 신용카드 번호 또는 은행 계좌 번호를 갱신할 수 있는 보호 장치를 갖추고 있다. 하지만 개인은 생년월일을 바꿀 수 없고 주소나 주민등록번호를 변경하기도 어려운 일이며, 이러한 정보는 모든 종류의 금융 계좌 인증과 확인에 사용된다”라고 말했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.