MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


2019년이 최악의 정보 유출의 해였지만 올해는 더할 것 2020.02.14  

유출 사고 자체가 수년 째 꾸준히 증가 추세...유출된 정보량 빠르게 늘어
클라우드 설정 실수로 인한 사고가 가장 치명적...복잡한 IT 인프라 숙지해야


[보안뉴스 문가용 기자] 서드파티로부터 오는 위협이 멈출 줄 모르고 늘어나고 있다. 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)가 발표한 2019년 침해 사고 보고서에 의하면 민감한 데이터를 대신 처리해주는 파트너사(서드파티)를 통한 사고가 2017년 273건, 2018년 238건, 2019년 368건으로 빠르게 증가 중에 있다고 한다.

[이미지 = iclickart]


건수만이 문제가 되는 건 아니다. 실제로 유출되는 기록의 수 자체도 작년 한 해 동안 273% 치솟았다. 2018년에는 17억 건이었던 것이 2019년에는 48억 건이 된 것이다. 2019년 한 해 동안 침해 사고 한 건당 유출된 기록은 평균 1300만 건이라고 한다. “침해 사고에 대한 기록이 시작된 이후로 최악의 한 해였습니다.”

리스크 베이스드 시큐리티의 보고서에 의하면 2019년에 발생한 데이터 침해 사고는 7098건으로, 2018년의 7035건과 그리 다르지 않다고 한다. 하지만 유출된 기록들은 151억 건으로, 여기에서 기록이라 함은 개인 식별 정보에서 금융 정보, 건강 기록까지를 포함한다.

리스크 베이스드 시큐리티의 부회장인 잉가 고딘(Inga Goddijn)은 “지난 몇 년 동안의 흐름을 생각했을 때, 2020년은 2019년의 기록을 갱신하는, 또 다른 최악의 해가 될 가능성이 다분해 보인다”고 말한다. “특히 클라우드의 관리 실패로 인한 유출 사고는 아직 몇 년 더 지속될 것으로 보입니다.”

2019년 유출된 기록은 2018년에 비해 284% 증가했다. 그러나 사건 자체가 늘어난 것은 아니다. 사건에 비해 기록이 기하급수적으로 늘어난 것은, 합쳐서 85억 건의 기록이 유출된 사건 네 개 때문이다. 2019년 총 유출 건수는 151억 건이다.

리스크 베이스드 시큐리티에 의하면 이 네 가지 사건은 다음 기업들과 관계가 있다고 한다.
1) 스마트 홈 제품 생산 업체인 오비보(Orvibo)
2) 중국 전자상거래 업체인 라이트인더박스(LightInTheBox)
3) 이메일 마케팅 기업인 베리피케이션즈아이오(Verifications.io)
4) 이름을 알 수 없는 데이터 분석 회사(클라이언트로 옥시데이터(Oxydata)와 피플 데이터 랩스(People Data Labs)를 두고 있다)

네 개의 침해 사고들은 전부 데이터베이스를 잘못 설정해 인터넷에 완전히 노출시킨 관리 실수로 인해 발생했다. 그러나 이 네 개의 대형 사건을 빼더라도 작년에 유출된 기록의 양은 2018년의 그것보다 높다.

컨테이너 보안 전문 회사인 스택록스(StackRox)의 카렌 브루너(Karen Bruner)는 “최악의 유출 사고 기록들이 자꾸만 갱신되는 이유는 보안에 대한 기본기가 잡혀있지 않기 때문”이라고 말한다. “대부분의 클라우드 제공 업체들은 데이터를 안전하고 비밀스럽게 보관할 수 있도록 여러 장치들을 제공하고 있습니다. 고객들도 이 부분을 제대로 숙지해서 활용해야 합니다.”

과거에도 그랬지만 외부 해커들이나 악의를 가진 내부자에 의해 유출된 데이터의 양도 무시할 수 없다. 하지만 단순 실수나 클라우드 사용 미숙으로 인한 피해 규모가 훨씬 크다. 리스크 베이스드 시큐리티는 보고서를 통해 “해킹으로 인한 데이터 유출 사고는 5200건이고, 15억 건의 기록들이 유출됐다”고 밝혔다. “반면 실수로 인한 데이터 유출 사고는 343건이지만, 136억 건의 기록들이 유출됐지요.”

보안 업체 크립시스 그룹(Crypsis Group)의 부회장인 샘 루빈(Sam Rubin)은 이번 보고서에 대해 “현대 IT 환경이 전체적으로 매우 복잡해졌고, 이는 곧바로 보안 사고로 이어진다”고 결론을 내린다. “클라우드는 대단히 편리한 기술임에 틀림이 없습니다만, 그만큼 위험한 기술이기도 합니다. 사용자와 IT 담당자들이 반드시 숙지를 해야만 하는 그런 기술이죠.”

중소기업처럼 클라우드 전담 인력을 배치할 수 없는 조직들의 경우 데이터 유출에 대한 위험이 더 큰 것으로 알려져 있다. “클라우드 전문가들은 현재 가장 몸값이 높은 IT 전문가들 중 하나입니다. 그렇기 때문에 대형 조직들에서나 영입이 가능하죠. 이런 저런 상황을 종합했을 때 올해의 예감이 그리 좋지는 않습니다.” 루빈의 설명이다.

3줄 요약
1. 2019년, 역사상 최악의 데이터 유출 사고의 해.
2. 사건 자체가 늘어난 건 아니지만, 사건 하나 당 유출되는 기록의 수가 크게 증가.
3. 클라우드 등장으로 복잡해진 현대 IT 환경이 유출을 키우는 이유.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침