Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

데이터침해

‘억 소리 난다’ 21세기 최대 데이터 침해 사고 15건

이제 계정 몇백만 개가 탈취당하는 사건은 흔하다. 2000년대에 들어선 이후 수십억 건이 넘는 계정과 사용자 정보를 유출한 데이터 침해 사고 15건을 모아봤다.    오늘날같이 데이터가 사업의 중심이 된 환경에서 데이터 침해는 한 번에 수억 명 또는 수십억 명의 사람에게 피해를 준다. 디지털 전환이 데이터의 이동을 가속했고, 해커가 일상생활의 데이터 의존성을 악용하면서 데이터 침해도 함께 확대됐기 때문이다. 미래의 사이버 공격이 얼마나 커질지 알기는 어렵지만 이미 엄청난 규모에 도달했다는 점은 분명하다. 투명성을 위해 이 목록은 영향을 받는 사용자 수, 노출된 기록 수 또는 영향을 받는 계정 수를 기준으로 작성됐다. 해커가 악의적인 의도로 데이터를 탈취한 사고와 기업이 실수로 데이터를 보호하지 않아 노출된 사고를 구분했다. 후자는 이 목록에 포함되지 않았다.  다음은 최근 21세기에 들어 가장 그 피해 규모가 컸던 데이터 침해 사고 15가지다.   1. 야후 사고 날짜 : 2013년 8월  피해 규모 : 계정 30억 개  사고가 일어난 지 거의 7년이 지난 지금도 1위를 차지하는 사고는 2013년 야후 사태다. 회사는 2013년 해당 침해가 발생했다는 사실을 2016년에 밝혔다. 야후는 당시 버라이즌에 인수되는 과정에 있었는데, 해킹그룹이 10억 명에 달하는 야후 사용자의 계정 정보에 접근한 것으로 추정됐다. 1년도 채 되지 않아 야후는 노출된 사용자 계정의 수가 30억이라고 발표했다. 회사는 피해 계정 수가 늘어났다고 해서 새로운 "보안 문제"가 발생한 것이 아니며 모든 "추가 영향을 받는 사용자 계정"에 이메일을 보냈다고 말했다.  이 공격에도 불구하고 버라이즌 인수는 완료됐지만, 금액이 하향 조정됐다. 버라이즌의 CISO 찬드라 맥마혼은 당시 "버라이즌은 최고 수준의 책임과 투명성을 다하고자 전념하고 있으며, 진화하는 온라인 위협의 지형에서 사용자와 네트워크의 안전과 보안을...

데이터침해 데이터 유출 비밀번호 2022.11.11

블로그 | 이제는 SaaS 보안이 우선이다

그동안 IaaS 클라우드의 보안에 온 신경을 집중한 것이 사실이다. IaaS는 너무 복잡하고 너무 많은 구동부가 있기 때문이다. 이제는 20년 이상 사용한 수많은 SaaS 시스템이 클라우드 보안 우선순위 목록에 올랐다.   기업은 SaaS 보안에 관해 많은 가설을 세우고 있다. 이들 가설의 본질은 SaaS 시스템은 원격에서 실행되는 애플리케이션이고, 백엔드 시스템에 저장된 데이터는 SaaS 서비스 업체가 기업을 위해 암호화한다는 것이다. 기업은 자사의 회계나 CRM, 재고 데이터가 어떤 데이터베이스에 저장되어 있는지도 모른다. 서비스 업체는 그런 건 신경 쓸 필요 없다고 말한다. 결국 서비스 업체가 모든 시스템을 운영하고, 기업의 사용자와 관리자는 웹 브라우저를 통해 이를 이용할 뿐이다. 실제로 SaaS는 다른 클라우드 컴퓨팅 방식보다 훨씬 더 추상화되어 있다. 많은 시장 조사에서 볼 수 있듯이 SaaS는 클라우드 시장에서 가장 큰 부분을 차지한다. 이런 사실은 최근 시장의 관심이 AWS나 애저, 구글 클라우드 같은 IaaS 클라우드에 쏠려 있었던 탓에, 또 SaaS 클라우드의 세계가 파편화되어 있어 주목을 받지 못했던 탓에 잘 알려지지 않았다. 하지만 SaaS 역시 이제는 백업 및 복구 시스템을 비롯한 IaaS 같은 서비스를 SaaS 제공한다. 물론 여전히 SaaS 방식이며, 사용자가 이런저런 세세한 사항을 다루지 않도록 해준다. 사실, 이는 클라우드라면 해야 할 일이기도 하다. 필자는 SaaS 보안은 관련 대형 보안 사고가 언론 지면을 장식하고 나면, 금방 우선순위가 높아질 것으로 본다. 이런 일은 알게 모르게 일어나겠지만, 대중에게 직접 알려지지는 않는다. 아무도 보안 사고를 보도자료로 배포하지는 않기 때문이다. 그렇다면 지금 SaaS 보안과 관련해 주의해야 할 것은 무엇일까? SaaS 보안 문제의 핵심은 사람의 실수다. 관리자가 사용자 액세스 권한이나 승인을 너무 자주 허용하면 잘못된 설정이 생긴다. 권한을 받아서는 안되는 사람이 데...

클라우드보안 SaaS 우선순위 2022.10.24

글로벌 칼럼ㅣ급증하는 데이터 침해, ‘비밀번호’라는 기본에 충실할 때

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.  최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.      미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

비밀번호 2FA 이중인증 2022.06.14

데브섹옵스 클라우드 네이티브 환경에서 ‘비밀’을 유지하는 방법

데브섹옵스(DevSecOps) 도입이 활발히 이뤄지면서 많은 기업이 클라우드 네이티브 아키텍처를 활용해 안전한 소프트웨어 결과물을 확보하는 동시에 개발, 보안, 운영 부서 간의 사일로를 허물 방안을 모색하고 있다. 하지만 데브섹옵스 여정 전반에서 해결해야 문제가 여전히 존재한다. 바로 비밀 관리다.   비밀은 기업이 비공개로 유지하고자 하는 정보로 구성된다. 로그인 인증 정보, 액세스 키, 인증서가 대표적이다. IBM의 데이터 침해 보고서에서 드러난 바와 같이 인증 정보와 비밀은 각종 사이버 공격과 데이터 침해의 단골 표적으로, 유출 시 악의적 행위자에게 초기 또는 횡적 액세스 권한을 제공하는 역할을 한다. 코드코브(Codecov), 트위치(Twitch)를 포함한 여러 데이터 침해 사건에서 허술한 보안 관리 관행이 주요한 원인으로 작용했다. 최근 삼성의 소스 코드 일부분이 노출된 삼성 데이터 침해 사건에서는 6,000개 이상의 비밀 키가 노출 정보에 포함됐다. 비밀 관리 문제의 심각성은 지난 몇 년 동안 계속해서 증가했다. 최근 깃가디언(GitGuardian)이 발행한 2022년 비밀 노출 현황 보고서(State of Secrets Sprawl 2022)에 따르면, 2021년 공개 깃허브 리포지토리를 스캔한 결과 600만 개 이상의 비밀이 감지됐다. 2020년에 비해 2배 증가한 수치다. 기업의 비밀 관리가 성숙하지 못하다는 점 자체도 문제이지만, 데브섹옵스를 지향하는 클라우드 네이티브 환경이 특히 이런 부분에 취약하다. 구체적으로 비밀 보관, 중앙 집중식 접근 방법, 액세스 제어, 비밀 사고 발생 시 대응 준비 등이 취약하다. 오픈소스 솔루션 및 관련 리포지토리의 인기가 높아지는 점도 비밀 노출을 악화시키는 요소다. 소스 코드와 이미지, 코드형 인프라(Infrastructure-as-Code, IaC) 매니페스트도 우발적으로 또는 부주의하게 비밀이 커밋되어 노출될 수 있는 영역이다. 기업은 오픈소스 기술 컨테이너 이미지와 IaC ...

데브섹옵스 클라우드네이티브 데이터침해 2022.04.06

"비용 줄이려면 무엇부터?" 데이터 침해를 대비하는 10가지 수칙

데이터 침해 양상이 갈수록 심각해지고 있고, 그에 따른 비용도 증가하고 있다는 보고서가 발간됐다.  사이버시큐리티 벤처스(Cybersecurity Ventures)가 발간한 ‘최고 임원의 사이버 전쟁(Cyberwafare in the C-Suite)’ 보고서에 따르면 2021년의 사이버 범죄에 따른 비용은 세계적으로 6조 달러에 이를 전망이다. 그러나 세계 사이버 범죄 비용이 계속 증가할 것이라는 예상이 이보다 더 걱정스럽다. 향후 5년 동안 연간 15%의 비용 증가가 예상되고, 2025년에는 비용이 10조 5,000억 달러에 이를 것이다. 2015년의 3조 달러에 비해 증가한 수치다. 이 비용은 전 세계 수 천 명의 피해자가 부담하지만, 성공적인 해킹에 타격을 받은 개별 조직은 심각하고 복잡한 손실 가능성에 직면할 것이다. 컨설팅 업체인 인포시스의 장기적인 데이터 침해 비용에 관한 보고서에 따르면 65%의 소비자가 데이터 침해 사건 시 기업에 대한 신뢰를 잃고, 85%는 이들과 더 이상 거래하고 싶지 않다고 응답했다.  비용 증가의 주 원인은 현실을 외면하는 접근법이다. IT 거버넌스 단체인 ISACA의 2021년 보고서에서는 응답에 참여한 불과 32%의 조직만이 공격에 대비가 되어 있다고 느끼는 것으로 나타났다.  그러나 준비는 그만한 가치가 있다. 전문가들에 따르면 사건에 앞서 엄격한 조치를 취하는 CISO는 더 능숙하게 공격을 방어하고 대응할 수 있을 뿐 아니라 연관 비용을 최소화할 수 있다.  CISO가 향후 일어날 수 있는 보안 침해 사건 관련 비용을 줄이는 데 도움이 될 10가지 방법을 소개한다.    1. 기업 환경의 복잡성을 이해하고, 기업에게 돈이 되는 것이 무엇인지 파악하라  복잡한 IT 시스템은 조직의 사업 방식과 확장의 원동력이다. 그러나 동시에 공격에 대한 방어, 그리고 성공적 공격 시의 복구를 어렵게 하는 원인이기도 하다. 베테랑 CISO인 앤드리어스 우츠너는 따...

데이터침해 2021.06.10

데이터 침해로 인한 피해 최소화 체크리스트

데이터 침해에 대응하는 방법과 이로 인한 피해의 규모는 준비 상태에 따라 달라진다. 이번 기사에서는 피해 최소화를 위한 대응 체크리스트를 정리했다.    일단 침해가 발생하면 피해 기업은 공격자가 접근한 항목과 데이터에 접근한 방법을 알아내야 한다. 이 정보는 사용자의 데이터가 침해됐음을 사용자에게 알리고, 다음 공격으로부터 자사를 보호하는 방법을 배우는 데 도움이 된다.   먼저 조사에 필요한 자원과 준비가 마련되어 있는지 확인한다. 공격자가 네트워크에 어떻게 진입했는지 알아내는 프로세스는 종종 증거와 타임라인 분석을 기반으로 한다. 증거를 잘 처리하는 프로세스나 방법론은 침입이 발생하기 전에 계획을 세우는 것이 중요하다.  미 법무부의 사이버보안 부서에는 미리 계획을 세우는 데 도움을 줄 수 있는 몇 가지 리소스가 있다. 이 작업 체크리스트를 통해 데이터 침해에 좀 더 쉽게 대응하거나 피해를 최소화할 수 있다.  커뮤니케이션 계획 수립하기  기업에 대한 잠재적인 위협과 위험에 대해 경영진과 커뮤니케이션할 계획을 세우고 위협에 대해 대응하기 위한 계획과 도구를 마련한다. 경영진과는 정기적으로 만나 위험과 반응에 대해 논의한다. 기업의 주요 자산을 식별하고 이런 주요 자산을 보호하기 위한 프로세스를 파악한다.  다음으로, 침해가 발생할 경우 따라야 할 조치 계획을 세운다. 회사 이메일이 침해의 영향을 받거나 해킹 당할 수 있으므로, 회사 이메일 또는 인프라의 일부가 아닌 백업 전화번호 및 이메일 주소로 대체 통신 수단을 확보한다.  사전에 현지 법 집행 기관과의 연락 창구를 확보한다. 이 작업은 회사 규모에 따라 쉽게 수행할 수 있거나 사이버 보험 업체에게 지침을 받아야 할 수도 있다.  접근 및 보안 로그 파일의 외부 백업 유지하기  공격자가 네트워크에 대한 접근 권한을 얻는 방법 중에는 로그 파일을 파헤쳐 찾는 방법도 있다. 따라서 빠르게 덮어쓰는 경향이...

데이터침해 데이터유출 2021.05.14

21세기 데이터 침해 사건 TOP 15

얼마 전까지 만해도 수백만 명의 데이터를 손상시킨 침해 사건이 큰 화제가 됐다. 하지만 이제 수억, 또는 수십억 명의 사람들에게 영향을 미치는 침해 사건이 너무 흔하다. 21세기에 들어 15개의 침해 사건에서 상위 2개에서만 약 35억 명의 사람의 개인 데이터가 유출되는 것을 목격했다. 이번 기사에서 가장 작은 사건이 1억 3,400만 명의 데이터를 도난당한 사례다.    본지는 간단한 선정 기준을 통해 21세기 가장 큰 침해 사건 목록을 작성했다. 선정 기준은 침해된 사용자 수다. 또한 악의적인 의도로 데이터를 도난당한 사건과 기업이 실수로 데이터를 보호하지 않고 노출시킨 사건을 구분했다. 예를 들어, 트위터는 3억 3,000만 명의 사용자의 비밀번호를 암호화하지 않은 채 로그에 노출시켰지만, 오용의 증거는 없었다. 그래서 트위터는 이 목록에 포함되지 않았다.  이번 기사는 다음과 같은 15개의 가장 큰 데이터 침해 사건을 알파벳 순서로 나열했으며, 영향을 받은 사람, 책임자, 기업의 대응 방식을 설명했다.  가장 큰 데이터 침해 사건들 어도비(Adobe)  어덜트프랜드파인더(Adult Friend Finder) 캔바(Canva) 덥스매시(Dubsmash) 이베이(eBay) 에퀴팩스(Equifax) 하트랜드 페이먼트 시스템즈(Heartland Payment Systems)  링크드인(LinkedIn) 메리어트 인터내셔널(Marriott International) 마이 피트니스 팔(My Fitness Pal)  마이스페이스(MySpace) 넷이즈(NetEase) 시나 웨이보(Sina Weibo) 야후(Yahoo) 징가(Zynga) 어도비(Adobe)  - 사건 날짜: 2013년 10월  - 영향: 1억 5,500만 사용자 기록  - 세부 정보: 보안 전문기자 브라이언 크렙스가 2013년 10월 초에 보도한 것처럼 어도비는 원래 해...

데이터침해 어도비 어덜트프랜드파인더 2021.01.12

우버 데이터 침해 사건, CISO 법적 책임에 대한 분수령 된다

전 우버 CSO가 데이터 침해 사건의 위반 사실을 신고하지 않은 것에 대한 책임 여부를 판가름하는 재판이 진행되면서 CISO로서의 법적 책임이 주목받고 있다. CISO는 이런 위험을 최소화할 수 있는 몇 가지 선택지가 있다.     전 우버 CSO인 조 설리번이 2016년 60만 7,000건의 개인정보를 유출한 위반 사실을 신고하지 않아 지난 8월 2건의 중범죄로 기소된 이후, CISO는 기업의 데이터 침해에 대한 자신의 책임을 규정하기 위해 노력하고 있다. 기소된 2건의 중범죄 혐의는 미국의 공무집행방해죄와 중범죄 은닉죄(범죄 미신고)로 각각 최고 5년과 3년의 징역형이 선고될 가능성이 있다.  미국 비밀경호국 전직 특수요원이자 SINET 회장인 로버트 로드리게스는 "이번 사건은 분수령이 될 것이다”라며, “CISO는 법 집행기관에 통지하는 사람이라는 이유로, 임원배상책임보험(Directors & Officers Liability Insurance, D&O 보험)에 지정 방식이 다르다"라고 지적했다.  대부분의 CISO는 책임을 줄이는 가장 좋은 방법은 올바른 일을 하는 것이라는 데 동의했다. 우버의 경우, 고위 경영진의 개입 여부에 관계없이 위반 사실을 법 집행기관에 보고하는 것이다. 실제로 지난 9월 설리번 법무팀의 가상 브리핑에서 설문조사에 참여한 100명의 CISO 가운데 70명은 사이버보안 사고가 발생했을 때, 이를 당국에 알리는 것은 법률 고문실에서 하는 것이 일반적인 관행이라고 밝혔다.  노스럽(Northrop), 월풀(Whirlpool) 및 보스턴 사이언티픽(Boston Scientific) CSO를 맡았던 린 매티스는 “결국 우버의 CSO는 보고해야 할 위반 사항을 은폐했다”며, “잘못된 일을 할 수 있는 올바른 방법은 없다”라고 말했다.   범죄 사실과 은폐 사실 공방  우버 CSO는 데이터를 되찾기 위해 해커에게 돈을 지불하는 것이 데이터를 보호하는 방법...

우버 데이터침해 유출 2020.10.06

에퀴팩스 데이터 침해 사건 FAQ, 사건의 전말과 영향

2017년에 공격자는 개인 신용정보업체 에퀴팩스(Equifax)로부터 수억 건의 고객 기록을 유출했다. 이번 기사에서는 에퀴팩스 보안 침해 사건의 전말과 영향에 대해 알아보자.    2017년 3월, 미국의 거의 모든 사람에 대한 재무 건전성을 평가하는 신용정보업체 가운데 하나인 에퀴팩스(Equifax)가 수억 명의 개인 식별 데이터를 도난당했다.  이미 알고 있듯이, 이 사건은 수많은 문제와 논란을 불러 일으켰다. 에퀴팩스는 허술한 보안 태세부터 침해 사건에 대한 엉뚱한 대응에 이르기까지 온갖 비난을 받았으며, 최고 경영자들은 비리 혐의로 기소됐다. 그리고 누가 이 사건의 배후에 있었는지에 대한 문제는 세계 정치 지형에 심각한 영향을 미쳤다.  에퀴팩스 침해 사건은 어떻게 발생됐는가?  비행기 추락과 마찬가지로 주요 정보보안(Infosec) 사건은 일반적으로 여러 건의 보안 문제로 인해 발생한다. 에퀴팩스 보안 침해 조사는 공격자가 보안 시스템에 침입해 테라바이트의 데이터를 유출할 때까지 여러 가지 보안 문제가 있었다고 지적했다.  이번 기사에서 논의되는 내용은 2가지 문서를 기반으로 한다. 미국 회계국(General Accounting Office)의 상세 보고서와 조사 내부의 출처를 기반으로 한 블룸버그 비즈니스위크의 심층 분석이다. 에퀴팩스 데이터 유출이 어떻게 발생했는지에 대한 전반적인 내용은 다음과 같다.   에퀴팩스는 처음에 소비자 불만 웹 포털을 해킹 당했다. 공격자는 패치되어야 하는 널리 알려진 취약점을 사용했는데, 에퀴팩스의 내부 프로세스는 이를 패치하지 않았다.  공격자는 에퀴팩스 시스템이 서로 적절하게 분할되어 있지 않아 웹 포털에서 다른 서버로 이동할 수 있었고, 일반 텍스트로 저장된 사용자 이름과 비밀번호를 찾았으며, 그 결과 더 많은 시스템에 액세스할 수 있었다.  에퀴팩스는 내부 보안 도구 가운데 하나에 대해 암호화 인증서를 갱신하지 않...

데이터침해 에퀴팩스 2020.03.10

메리어트 데이터 침해 사건 FAQ, 사건의 전말과 영향

메리어트 데이터 침해 사건에 대해서는 많은 세부 정보가 공개되지는 않았다. 하지만, 이 사이버 공격 사건은 IT 보안, 인수합병, 중국 스파이 활동에 대한 충분한 경각심을 불어일으킨다.    2018년 말, 메리어트 호텔 체인은 예약 시스템 가운데 하나가 해킹당했다고 발표했는데, 공격자에 의해 신용카드와 여권번호 등을 포함한 수억 건의 고객 기록이 유출됐다는 내용이었다.  메리어트는 해킹의 전체 상황이나 기술적 세부 사항을 공개하지 않았지만, 현재 아는 것만으로도 당시 위협 상황에 대해 많은 정보를 제공하며 다른 기업들에게 자사를 보호하는 방법에 대한 교훈을 제공한다. 메리어트 데이터 침해 사건과 관련해 자주 묻는 10가지 질문으로 정리했다.  메리어트 데이터 침해 사건은 언제 일어났는가?  2018년 9월 8일 웨스틴(Westin), 쉐라톤(Sheraton), 세인트 레지스(St. Regis) 및 W 호텔을 포함한 메리어트 스타우드(Marriott's Starwood)의 내부 손님 예약 데이터베이스에 액세스하려고 시도하는 수상한 내부 보안 도구를 포착했다.  메리어트는 내부 조사 결과, 스타우드가 현재 스타우드 네트워크가 아닌 별개의 회사였던 2014년에 해킹 당한 것이라고 발표했다. 메리어트는 2016년에 스타우드를 인수했지만 거의 2년이 지날 때까지도 스타우드 호텔은 메리어트의 예약 시스템으로 마이그레이션하지 않았고 이전 IT 인프라를 계속 사용하고 있었다(이 조사 결과에 대해 메리어트는 자세한 사항을 공개하지 않았다. 이에 대해서는 나중에 자세히 살펴볼 중요한 요소다).  메리어트가 밝힌 바에 따르면, 공격자들이 스타우드 시스템을 제거하기 위해 암호화를 시도했다는 데이터를 발견했다. 2018년 11월 메리어트는 이 데이터를 해독할 수 있었는데, 최대 5억 명의 손님 기록 정보가 포함되어 있다는 사실을 발견했다(물론 개별 손님에 관한 중복 기록이나 복수의 기록을 포함하고 있다). 많...

메리어트 데이터침해 2020.02.19

"데이터 침해, GDPR 효과, 악성 앱, 악성 광고 등" 2019년 사이버보안에서 일어난 일

2019년이 끝나감에 따라, 지난 12개월 동안 사이버보안에서 무슨 일이 일어났는지, 그리고 올해 일어나지 않았던 일을 되돌아 볼 때가 됐다.    미드이어(Midyear) 보고서에 따르면, 지난해 40억 개 이상의 기록이 유출되어 지난해보다 침해사고가 54%나 증가했다. 올해는 데이터 침해를 당한 메이시스(Macy)와 T 모바일의 고객이 받은 피해만으로 뉴스가 끝날 수 있다. 디즈니의 새로운 스트리밍 서비스인 디즈니+는 해커가 침입해 사용자 계정을 해킹한 여파로 하루동안 꼬박 온라인 상태가 아니었다.   대규모 사건이 없었던 2019년 데이터 침해   2019년, 침해 사건 수는 증가했음에도 불구하고 눈에 띄는 점이 없었다. 실제 대규모 데이터 유출 사건이 없었기 때문인데, 이 때 대규모란 에퀴팩스, 야후, 메리어트, TJ 맥스, 타깃과 같은 초대형 사건을 얘기하는 것이다. 지난 10년 동안 데이터 유출 사건은 거의 매년, 몇 달 동안 헤드라인을 장식하고 오늘날까지도 여전히 화제가 되고 있다. 2019년 데이터 유출이 가장 많은 해가 될 수 있지만, 헤드라인을 장식할만한 대규모 데이터 침해 사건은 단 한 건도 없었다.    그렇다고 대형 사건이 없었다는 것은 아니다. 해커는 전 세계 10억 명 이상의 사용자를 위협할 수 있는 감시 소프트웨어를 왓츠앱(WhatsApp)에 설치했다. 포트나이트(Fortnite) 사용자는 랜섬웨어에 감염된 후, 위험에 처할 수 있다는 경고를 받았다. 그러나 이런 사건들은 대규모였지만, 해커들은 원했던 결과를 이루지 못했다. 이는 그저 행운이라고 볼 순 없다. 범죄자들은 여전히 매우 적극적이고 공격적이지만, 대기업이 이전 대형 사건에서 교훈을 얻어 대규모 위협에 더 잘 대처를 하고 있는 것일까? AI를 활용해 피해가 발생하기 전에 공격을 탐지하고 중지하는 첨단 보안 도구를 활용하고 있는가? 기본 보안 위생 및 실무, 프로세스 및 교육에 중점을 두어 위반이 있을 경...

유출 프라이버시 악성광고 2019.12.12

2019 사상 최대의 데이터 침해 벌금과 벌칙 그리고 합의 사항

2019년, 데이터 침해에 대해 부과된 상당한 벌금은 규제 당국이 사용자 데이터를 제대로 보호하지 못하는 조직에 대해 점점 더 진지해지고 있다는 것을 시사한다.  영국 항공(UK British Airways)은 2억 3,000만 달러(약 2,669억 원)의 벌금을 부과받았고, 곧 이어 메리어트(Marriott)도 1억 2,400만 달러(약 1,439억 원)의 벌금을 받았으며, 미국의 에퀴팩스(Equifax)는 2017년 위반에 대해 최소 5억 7,500만 달러(약 6,673억 원)의 벌금을 내기로 합의했다.   2018년에도 이런 일이 비일비재했다. 우버는 2016년 위반에 대한 대처가 미흡해 1억 5,000만 달러(약 1,741억 원)에 가까운 비용을 지불해야 했다. 보호는 허술하지만 규제는 심한 의료 데이터의 경우 2018년 의료시설에 큰 손실을 입혔고, 이로 인해 미국 보건복지부는 점점 더 많은 벌금을 징수하게 되었다. - 에퀴팩스: 5억 7,500만 달러  2017년 에퀴팩스는 데이터베이스 중 하나에 있는 패치되지 않은 아파치 스트러츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 몇 달후에도 심각한 취약점을 고치지 못했으며, 피해를 발견한 뒤에도 몇 주 동안 그 침해 사실을 대중에게 알리지 않았다.   2019년 7월, 신용기관인 에퀴팩스는 자사가 네트워크 보안을 위한 합리적인 조치를 취하지 못한 것에 대해 미 연방거래위원회, 소비자 금융 보호국(CFPB) 및 50개 주, 그리고 기타 국가와 합의를 통해 5억 7,500만 달러(잠재적으로는 7억 달러(8,125억 원)까지 증가할 수 있다)를 지불하는데 동의했다.  이 가운데 3억 달러(3,482억 원)는 피해 소비자들에게 신용 모니터링 서비스를 제공하는 기금으로 갈 것이며(최초 지급액이 소비자 보상에 충분하지 않을 경우 1억 2,500만 달러(1,451억 원)가...

유출 메리어트 벌금 2019.11.05

데이터 침해로 인한 비용, "어느 정도일까"

데이터 침해와 보안 사고로 인한 비용이 갈수록 커지고 있다.   최근 캐나다 대출업체 데스자딘스 그룹(Desjardins Group)은 올해 초 290만 명의 회원 개인 정보가 유출된 침해 사고로 인해 7,000만 캐나다 달러(약 642억 원)의 비용이 발생했다고 밝혔다. 제조업체 노스크 하이드로(Norsk Hydro)는 심각한 사이버 공격으로 인한 최종 비용이 최대 7,500만 달러(약 908억 원)에 이를 수 있다고 발표했으며, 브리티시 에어웨이(British Airways)와 매리어트(Marriott)는 GDPR 관련 문제로 인해 각각 1억 달러(약 1,200억 원)를 추가로 지출해야 했다. 이런 사례는 사고 중에서도 규모가 가장 큰 극단적인 사례에 해당하지만 데이터 침해로 인한 금전적 손실은 기업의 형태 및 규모와 관계없이 해마다 증가하고 있다. IBM과 포네몬 연구소(Ponemon Institute)는 최근 보고서에서 데이터 침해에 따른 평균 비용이 392만 달러(약 47억 5,000만 원)로 늘어났다고 전했다. 이 보고서에 따르면, 이 비용은 2018년에 1.6% 증가했으며 지난 5년 사이 12% 늘었다. 여기에는 침해에 대처하기 위한 시간 및 노동과 관련된 직간접 비용, 평판 하락에 따른 고객 이탈과 같은 기회 손실, 벌금이 모두 포함된다. 갈수록 커지는 데이터 침해 규모와 비용 전세계 조직의 약 30%가 향후 24개월 이내에 최소 한 번의 침해를 경험할 가능성이 높다. 미국에 소재한 조직의 침해 비용이 가장 높아서 침해당 평균 819만 달러(약 99억 원)에 이른다. 특히 침해 통지와 관련해서 주마다 다른 복잡한 규제 환경도 이러한 높은 비용의 원인 중 하나다. 영국의 경우 전세계 평균보다 약간 낮은 388만 달러(약 47억 원)다(한국의 경우 2019년 기업들이 2018년에 비해 13.3% 증가한 35억 5,300만 원의 데이터 침해 비용을 지출했다.(2018년: 31억 1,000만 원). 편집자 주). 침해된 레코드 수를...

비용 보안 데이터침해 2019.09.02

2018년 최대의 벌금형을 받은 데이터 침해 사고들

취약한 보안, 회피할 수 있었던 실수에 의한 해킹, 데이터 절도 사건 등으로 인해 8개 기업에서 약 2억 8,000만 달러(약 3,200억 원)의 비용이 소모됐다. 2018년은 이미 데이터 유출로 인해 상당한 벌금과 피해자가 발생한 것으로 나타났다. 우버의 2016년 사고에 대한 부실한 처리로 인해 1억 5,000만 달러에 육박한다. 엄격한 규제 하에 있는 보건 자료는 의료 시설 비용이 많이 들기 때문에 제대로 보호되지 않아 미국 보건복지부는 점점 더 많은 벌금을 부과한다. 현재 EU의 GDPR(General Data Protection Regulation)이 발효됨에 따라 더 많은 벌금이 부과될 수 있다. EU의 데이터 규제기관은 2,000만 유로(약 260억 원) 이상의 벌금을 부과할 수 있다. 다수의 유명 기업은 이미 새로운 규정이 발효된 이래로 대규모 위반 사고를 겪었다. 이는 2019년에 실패 비용이 급증할 수 있음을 의미한다. editor@itworld.co.kr   

야후 페이스북 데이터침해 2018.11.01

죽음, 세금, 클라우드

4월 17일은 미국의 소득세 신고 마감일이다. 돈을 받는 사람도 있고, 더 내는 사람도 있다. 벤자민 프랭클린이 한 말 중에서 가장 유명한 “…이 세상에 죽음과 세금을 빼면 확실한 것은 없다”는 말이 가장 와 닿는 날이다. 그러나 필자가 시트릭스의 한 동료와 함께 미국의 건강 정보 시스템 컨퍼런스인 HIMSS18에서 만난 여러 IT 전문가들은 확실한 것 목록에 죽음과 세금 외에 한 가지 더, 클라우드를 추가했다. 직함에 “클라우드”라는 단어가 들어간 일에 종사하는 만큼 필자가 죽음, 세금처럼 우울한 단어 옆에 클라우드가 들어가는 상황을 달갑지 않게 여길 것이라고 생각하겠지만, 그렇지 않다. 클라우드가 포함된 것은 좋은 일이다. 죽음, IRS와 수입 “공유하기”, 그리고 클라우드 컴퓨팅은 피할 수 없다. 필연적이다. 클라우드 도입 포커스 그룹은 관리자부터 CIO에 이르는 다양한 직책의 남녀 21명으로 구성됐다. 대부분은 통합 의료 시스템, 대학 의료 센터, 의사 단체, 도심과 교외 지역의 장기 요양 시설 등 의료 분야의 기업에 소속된 인사들이다. 국제 제약 기업에서 온 참가자도 한 명 있었다. 이들이 소속된 기업은 클라우드 컴퓨팅의 성장을 포용했다. 대다수가 오피스 365, 워크데이(Workday)와 같은 단일 앱이라 해도 어쨌든 클라우드 서비스를 적극적으로 사용 중이다. 모두 클라우드 서비스의 혜택을 인정했다. 이러한 혜택에는 IT 리소스 제약 극복, 비즈니스 연속성 개선, 항상 외부에서 작업하는 인력을 위한 안전한 디지털 작업 공간 구축, 더 효율적이고 경제적인 노후 IT 인프라 교체 경로 등이 포함된다. 이와 같이 여러 장점이 있지만, 많은 IT 전문가들은 조직 내의 클라우드 도입 속도와 관련하여 만족스럽지 않은 부분을 지적했다. 이유는 보통 사람들이 가장 먼저 생각하는 것과는 다르다. 즉, 클라우드 보안이 주된 우려 사항이 아니었다. 2017년에...

시트릭스 ROI 넷스케일러 2018.06.19

IDG 블로그 | “더 안전하지만 무적은 아니다” 오해하지 말아야 할 이퀴팩스의 교훈

갑자기 모든 사람이 기업 보안의 전문가가 되고, 클라우드는 보안을 위한 특효약이 됐다. 하지만 그렇게 간단한 문제가 아니다. 필자는 데이터 침해 사고를 파악하는 것을 그만 뒀다. 우선은 그런 사고 중에 클라우드는 없기 때문이다. 이 블로그는 클라우드로 이전했거나 이전하려는 기업을 중심에 두고 있다. 두 번째 이유는 사후약방문처럼 느껴졌기 때문이다. 하지만 데이터 침해 사고가 클라우드로 이전하려는 기업에 좋은 이유가 되었다. 최근 발생한 미국 주요 신용정보업체 이퀴팩스(Equifax)의 보안 사고 때문이다. 우리가 알고 있는 것은 이퀴팩스가 해커에게 당했다는 사실을 발표하기 전에 침해 사실을 알고 있었다는 것이다. 해커는 143만 명의 사회보장번호와 생일, 주소를 훔쳤다. 어느 누가 피해자가 되어도 이상하지 않을 만큼의 숫자이다. 이퀴팩스에서 몇몇이 책임을 지고 사임했지만, 그것으로는 아무 것도 바로 잡지 못했다. 최근 몇 년 사이에 발생한 다른 대형 데이터 침해 사고처럼 툴이 이퀴팩스를 배신했다. 온라인 논쟁 포털을 지원하는 데 사용한 아파치 스트럿츠(Apache Struts)의 패치하지 않은 취약점이 해커에게 웹 사이트와 첨부 데이터에 액세스할 수 있는 길을 터 준 것이다. 그렇다면, 이번 사고가 클라우드에서도 일어날 수 있었을까? 클라우드 서비스 업체는 전형적인 기업 IT 부서보다 패치에 좀 더 적극적이라는 점에서 가능성이 작다. 하지만 일부 클라우드 서비스 업체나 컨설턴트가 말하는 것처럼 클라우드가 무적은 아니다. 예를 들어, 클라우드 사용자 스스로 호스팅과 같은 단일 테넌트 환경에서 치명적인 실수를 할 수도 있다. 따라서 퍼블릭 클라우드에서 구동하는 애플리케이션이라도 절대무적은 아니다. 클라우드는 온프레미스 배치 환경보다 안전하다. 하지만 클라우드의 안전이 완벽하다고 생각해 안일하게 대응하는 어리석은 일은 하지 않기 바란다. 솔루션 업체나 컨설턴트, 그리고 언론이 수많은 논평을 내놓고 있지만, 이들 대다수는 이...

패치 데이터침해 이퀴팩스 2017.09.20

글로벌 칼럼 | '신디케이션'이 되고 있는 데이터 침해 사고

데이터 침해 사고는 '죽음'과 '세금'처럼 일상에서 피할 수 없는 '현실'로 자리를 잡았다. 또한 점점 더 커지고, 흉악해지고 있는 추세다. 매일 수 많은 데이터 침해 사건이 발생하고 있다. Credit: Victorgrigas, CC BY-SA 3.0, via Wikimedia Commons 필자는 매일 데이터 침해에 대한 기사와 보고서를 읽는다. 그리고 데이터 침해에 대한 주제가 발전하고 있음을 깨닫는다. 확연히 드러난 주제 3가지는 '도난 당한 기기', '나쁜 비밀번호', 그리고 '패칭(patching)'이다. 사이버범죄자들이 자동차 트렁크에 놓아둔 노트북 컴퓨터를 훔쳐갔다. 노트북 컴퓨터 도난 사고가 관여된 데이터 침해 사고 소식을 접할 때마다 헛웃음이 나오게 만드는, 그리고 자주 접하는 '표현'이 하나 있다. "비밀번호로 노트북 컴퓨터를 보호하고 있으니 문제 없어!"라는 말이다. 이는 돌진하는 트레일러를 얇은 철망으로 막을 수 있다고 생각하는 것이나 마찬가지다. 아주 간단히 비밀번호로 보호된 노트북 컴퓨터에는 금방 액세스할 수 있다. 이를 위한 도구도 정말 많다. 아주 좋지만 무료인 도구도 있다. 다음 침해 소스는 나쁜(취약한) 비밀번호다. 이는 아주 흔한 문제다. 시스템에 원격 액세스할 수 있는 크리덴셜이 '사용자명: $company, 비밀번호: $company'인데, 사이버범죄자가 시스템에 침입하기 위해 굳이 제로데이 공격을 준비할 필요가 있을까? 이와 관련된 사용자 인식 측면의 문제가 있다. 공격자들은 표적에 피싱 공격을 이용한다. 사람들의 호기심이라는 기본 욕구를 자극, 링크를 클릭하도록 만드는 것이다. 우리는 사용자에게 설득력 높은 방법으로 위험을 교육하는데 더 많은 노력을 기울여야 한다. 3번째로 많이, 그리고 지속적으로 발생하는 문제는 바로 패칭이다. 누구나 보안 패치...

비밀번호 도난 데이터침해 2016.09.21

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.