2024-03-29 07:40 (금)
카드사-의료협회-KT 정보유출건...해외통계에서 상위권 차지
상태바
카드사-의료협회-KT 정보유출건...해외통계에서 상위권 차지
  • 길민권
  • 승인 2015.02.17 12:00
이 기사를 공유합니다

지난 한 해 10억 개의 데이터 유출…신분 도용 목적 급증
젬알토가 최신 데이터 유출/침해 인덱스를 발표했다. 이번에 발표한 보고서에는 2014년 10억 건에 가까운 데이터가 유출된 1,500건의 사건에 대한 통계와 분석이 담겨 있다. 이번 보고서의 주요 내용을 추리자면 2014년 데이터 유출/침해 사건 수는 전년 대비 49%가 증가하였고, 유출된 데이터 수는 78% 늘었다. 이중 한국에서 유출된 카드사 1억400만건, 의료관련 협회 1700만건, 통신사 KT 1200만건 유출건도 중요한 리스트에 포함돼 있다.  
 
BLI는 젬알토에 통합된 세이프넷이 몇 년간 지속적으로 수행해온 조사와 분석이다. BLI는 전 세계에서 발생하고 있는 데이터 유출/침해 사건과 피해를 기록하고 분석하는 데이터베이스이다. 세이프넷은BLI를 통해 주요 통계 외에도 보안 전문가들이 데이터 유출/침해 대책을 세우는 데 도움을 주기 위해 침해 유형과 수법에 대한 분석도 결과와 함께 현재 보안 수준을 다차원으로 점검해 볼 수 있는 평가 도구도 제공하고 있다.

 
2014년 BLI 보고서에 따르면 지난 해 가장 많이 외부로 유출된 정보는 신분 도용에 쓰이는 사용자 계정/비밀번호와 같은 개인 식별 정보(identity)인 것으로 나타났다. 유형별 분류로 볼 때 54%에 해당할 정도로 많았는데 이는 카드 번호나 계좌 등 금융 정보 보다 높은 수치다. 한편 데이터 유출/침해 방지를 위해 전사 차원에서 포괄적인 암호화를 적용한 기업의 비중은 2014년 4%로 늘었다. 참고로 2013년 당시 이 수치는 1%에 불과했다.

2014년 BLI 보고서와 관련해 젬알토의아이덴티티와 데이터 보호 전략 부문 부사장인 지온 고넨(TsionGonen)은 “신용카드 번호를 빼가는 것보다 장기적인 관점에서 개인 식별 정보를 탈취하는 것을 목표로 하는 공격이 주류로 부상하고 있다”라며 “사용자 계정/비밀번호가 유출되면 명의를 도용해 각종 금융 계좌를 개설하거나, 기업의 중요 정보에 접근하기 위해 악의적인 목적으로 계정을 만들거나 기타 사이버 범죄를 위한 목적으로 사용될 수 있다. 개인 식별 정보 유출 피해의 경우 기업뿐 아니라 개개인의 문제이기도 하다. 이런 이유로 우리는 개개인이 어떤 위험에 노출되어 있는지를 본격적으로 살피기 시작했다”고 말했다.
 
개인 식별 정보 탈취의 위험성은 상당하다. 2014년 BLI 보고서에 따르면 지난 해 가장 심각한 피해를 입힌 50개 사건 중 2/3가 개인 식별 정보 유출에 의한 것으로 나타났다. 유출된 개인 식별 정보를 건수로 보면 1억 개에 달하며 이는 전년 대비 두 배 늘어난 수치다.
 
산업 별 피해를 보면 도소매, 금융 서비스가 데이터 유출/침해 공격의 주요 대상이었다. 도소매 업계의 데이터 유출/침해 건수는 전년 대비 11% 증가했다. 사고 건수는 늘지 않았지만 유출된 데이터 수는 크게 늘어났다. POS에 대한 공격 증가로 도소매 업계에서 유출된 데이터 건수는 55%에 달했다. 2013년에도 29%도 낮지 않았는데 매우 큰 폭으로 유출 건수가 늘어난 것이다.
 
금융 업계는 2014년 한해 전년과 비슷한 수준의 피해가 보고되었다. 하지만 도소매 업계와 마찬 가지로 사건 수의 변화 폭은 크지 않지만 유출된 데이터 수는 크게 늘어 전년 대비 10배 가까이 늘어난 110만 개의 데이터를 탈취당했다.
 
이와 관련해 젬알토의 아시아 태평양 지역 아이덴티티와 데이터 보호 전략 부문 부사장인 라나 굽타(Rana Gupta)는 “사건 수보다 데이터 유출 수가 크게 늘어나는 것은 아시아 태평양 지역이 북미나 유럽 보다 두드러지는 경향을 보인다. 이는 사회, 경제적인 발전 속도가 빠른 데 비해 각종 규제는 현재 시장 변화에 발맞춰 가지 못하기 때문이다”라며 “이외에도 아시아 태평양 지역에서는 기업이 비즈니스 전략을 세울 때 정보 보안의 중요성을 간과하는 경향이 있다. 기업이 지속 성장을 이어가려면 회사의 조직원이나 투자자와 같은 직접적인 이해관계자뿐 아니라 고객과 파트너까지 보호할 수 있는 데이터 유출/침해 대응책을 비즈니스 전략에 통합해야 한다”고 말했다.
 
한편 젬알토는세이프넷의 솔루션을 자사의 엔터프라이즈 보안 포트폴리오를 통합하는 작업을 완료하였다. 이를 통해 데이터 지향적인 암호화와 강력한 사용자 인증 솔루션을 금융, 공공 등 다양한 산업군의 고객에게 전달할 채비를 마쳤다. 젬알토는세이프넷 솔루션을 통해 고객들이 민감한 데이터 자산, 고객 정보, 디지털 트랜잭션 정보 등에 대한 유출/침해 시도를 막는 동시에 각종 규제에 유연하게 대응할 수 있도록 할 계획이다.
 
데이터 자산, 고객 정보, 디지털 트랜잭션 정보 등에 대한 유출/침해 시도를 막는 동시에 각종 규제에 유연하게 대응할 수 있도록 할 계획이다.
 
이와 관련해 지온고넨 부사장은 “데이터 유출/침해는 사건 수와 유출 데이터 수만 늘어나는 것이 아니라 피해의 파장이 커지고 있다”라며 “데이터 유출/침해는 혹시 일어날 수 있는 일이 아니라 언제 일어날것인가의 문제다. 데이터 유출/침해 방지솔루션을 사용하고 위협을 꾸준히 모니터링 하는 것만이 사이버 범죄를 몰아낼 수 있는 길이다.데이터 유출/침해가 남의 일이 아니란 인식이 퍼지면서 기업들은 다중 인증을 통한 강력한 접근 제어와 암호화 및 키 관리를 통한 데이터 지향적인 보안의 필요성을 절감하고 있다.이 방식만이 데이터가 밖으로 나가도 안전을 보장할 수 있는 방법이란 것에 눈을 뜬 것이다”라고 말했다.

보다 상세한 내용은 데일리시큐 자료실에서 다운로드 할 수 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★