[박춘식 교수의 보안이야기] 미국 Verizon은 정보 유출에 관한 조사 결과를 정리한 년차보고서 개요판을 발표했다. 안이한 패스워드 이용이 정보 유출을 일으키는 첫 번째 원인이 되며 많은 조직에서는 정보가 유출되었다는 사실을 아는데 까지 수개월부터 수년이 소요되었다는 것도 알게 되었다.
 
개요판에서는 2011년에 발견된 정보 유출사건 가운데, Verizon이 조사한 90건에 대해서 분석하고 있다. 이것에 의하면 정보 유출의 원인은 외부로부터의 공격에 의한 것이 대부분을 차지하였으며 2004~2007년에는 80%정도, 2011년에는 92%로 증가하였다.
 
이 이유에 대해서 보고서에는 사이버 공격이 자동화되는 경향이 강해지며 규모의 이익 추구 때문에 많은 수의 기업이 함께 타깃이 되는 경우가 증가하고 있다는 사실과 관계가 있다고 해설하고 있다. 공격 동기는 계속해서 금전이 대부분이지만 2011년의 특징으로 항의나 보복으로써의 해킹이 증가. 활동가 조직이나 불만을 품은 퇴직 종업원 등에 의한 피해가 발생했다.  　
 
정보가 유출된 수단은 해킹이 86%, 맬웨어가 57%를 차지하며 대부분의 경우에는 여러 수단이 이용되고 있다.　구체적으로는 디폴트 패스워드나 추측하기 쉬운 패스워드가 악용된 경우가 29%로 선두를 차지하며 다음으로 백도어형 맬웨어 26％、도난당한 패스워드 이용 24％、백도어/C&C 채널 이용 23％、키로거나 사용자 행동을 감시하는 스파이웨어 등의 맬웨어 이용 18％ 순으로 나타났다.
 
정보 유출을 인식하기까지의 소요 기간은 전체의 60％정도가 수개월에서 수년을 요하였으며, 고객 등 외부의 관계자에 의해서 발견된 경우가 77％를 차지했다. Verizon이 최근 공표를 예정하고 있는 연차보고서의 완전판에는 미국 시크리트 서비스, 호주 연방경찰, 런던경시청 등 각국의 수사기관의 정보를 포함한 2011년에 일어난 약 850건의 정보 유출에 관한 분석 결과를 포함시킬 예정이다. (ITmedia. 2012.03.02)
[박춘식 서울여자대학교 정보보호학과 교수]