매월 전세계 보안 위협 동향을 심도있게 분석, 발표하고 있는 시만텍(www.symantec.co.kr)이 ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report) 8월호’를 통해 2012년 전세계에서 발생한 데이터 침해사고와 그에 따른 개인 정보 유출 건수는 전년 보다 감소했지만 이는 무작위 데이터 유출이 아닌 특정 데이터를 노리는 표적 공격이 늘었기 때문이라며 주의를 당부했다.
 
지난 2011년 봄 해커 그룹 어나니머스(Anonymous)와 룰즈섹(LULZSEC)이 ‘안티섹 작전(Operation AntiSec)’으로 명명된 해킹 공격을 감행해 수많은 주요 기관의 데이터가 대거 유출되었고, 지금까지도 유출된 데이터가 공개되고 있다. 불행히도 이렇게 유출된 데이터는 기업의 생사를 좌우하는 심각한 문제가 된다. 고객 데이터가 노출되면 기업에 대한 사용자의 신뢰가 무너질 수 있고 고객이탈이 가속화된다. 또한 개인정보 보호법 위반이나 사용자가 제기한 집단소송에 휘말릴 수도 있다.
 
시만텍은 1년이 지나도 여전히 언론에 오르내리고 있는 안티섹 데이터 침해 공격 이후 기업들의 데이터 침해사고 현황과 개선 실태를 살펴보기 위해 ‘노턴 사이버범죄 인덱스(이하 노턴CCI)’가 수집한 데이터를 면밀히 조사했다.
 
노턴 CCI는 매일 악성 소프트웨어, 사기, 개인정보 도난, 스팸, 피싱, 사회공학적 공격 등의 위협 수준을 측정하는 통계 모델로, 이름, 주소, 주민등록번호, 신용카드 번호, 의료 기록 등 개인 정보가 노출된 데이터 침해사고를 기반으로 가장 많은 영향을 받은 업종과 데이터 유출의 주요 원인을 파악한다.

 
◇침해사고 줄었지만 고급정보 유출 위험성은 커져
시만텍은 2011년 5월부터 12월까지 8개월간 발생한 침해사고와 2012년 1월부터 8월까지 발생한 침해사고의 데이터를 분석했다. 그 결과 2012년 발생한 데이터 침해사고는 월 평균 14건으로 2011년 조사 기간의 월 평균 16.5건과 비교해 소폭 감소한 것으로 나타났다. 데이터 침해사고 당 유출된 개인정보 수도 2011년 말까지 8개월간 평균 1,311,629건에서 2012년에는 640,169건으로 절반 이상 감소했다.
 
이처럼 침해사고당 유출된 개인정보 수가 급락한 주요 원인으로는 2011년 발생한 대규모 해킹 공격이 언론의 대대적인 주목을 받은 이후 많은 기업들이 사이버 공격으로부터 고객 데이터베이스를 보호하기 위한 조치를 취했다는 점도 있지만 대규모 공격 보다는 특정 기밀 정보를 노리는 소규모 표적 공격이 늘었다는 점도 고려할 필요가 있다.
 
2011년에는 여러 대규모 데이터 침해사고가 발생해 전체 평균이 높아진 만큼 시만텍은 데이터 왜곡을 최소화하기 위해 양 조사 기간 발생한 침해사고당 유출된 개인정보의 중간 값(Median number)을 비교했다. 그 결과 2012년 유출된 개인정보의 중간 값은 사고당 6,800건으로 2011년 4,000건 보다 41%나 늘었다. 데이터 침해사고는 줄은 반면 사고당 유출된 개인 정보는 증가했다는 점은 공격자가 특정 데이터에 대한 표적 공격을 통해 정보를 빼돌리고 있다는 점을 시사한다.

 
◇업종별 데이터 침해사고 수로는 헬스케어 부문이 1위
모든 데이터 유출 사고가 사이버 범죄로 발생하는 것은 아니다. 고의 또는 실수로 민감한 정보가 저장된 노트북이나 USB 등을 분실 또는 도난 당하거나 웹사이트 코딩 오류로 개인 정보가 노출될 수도 있다. 하지만 데이터 침해 사고로 인한 개인정보의 노출은 대부분 해커의 소행으로 나타났다. 2012년 데이터 침해사고로 유출된 전체 개인 정보의 88%가 해킹 때문이었다.
 
대규모 침해사고 발생시 그 숫자가 왜곡될 수 있는 개인정보 유출건수 대신 침해사고 건수로 살펴보면 해커가 40%를 차지해 여전히 가장 큰 사고원인으로 나타났지만 부주의한 실수로 인한 데이터 침해사고도 5건 가운데 1건 꼴로 발생했다. 또한 하드웨어 도난이나 분실로 인한 데이터 침해사고도 많았다.
 
대규모 데이터 침해사고가 가장 많이 발생한 분야는 2011년 IT 및 컴퓨터 소프트웨어 부문이 전체의 약 80%를 차지하며 1위에 올랐지만 지속적인 보안 개선 노력 덕분에 2012년에는 유통 및 통신 부문에 선두를 내줬다.
 
업종별 데이터 침해사고 수는 헬스케어 부문이 34.1%로 1위를 차지했는데, 이는 헬스케어 부문이 개인정보 유출건수에서 차지하는 비중이 2.7%에 불과한 것과 대조를 이룬다. 의료 기록이 민감한 정보임을 고려해 볼 때 소량이더라도 민감한 정보가 포함되어 있으면 주요 공격대상이 된다는 것을 보여준다.
 
시만텍코리아의 윤광택 이사는 “기업들은 보안 위협에 대한 우선순위를 정하고, 기업 내 모든 위치에서 적용 가능한 정책을 정의하고, 자동화 기능을 이용해 보안 정책을 집행해야 한”며, 이와 함께 기업 내 가장 중요하고 민감한 정보가 어디에 있는지를 파악한 후 정보 중심의 보안 전략을 통해 적절한 보호방안을 강구해야 한다”고 조언했다.
 
또한 “100% 완벽한 보안은 없기 때문에 모든 정보 유출 가능성을 차단하기는 어려운 반면 만일의 사태가 발생했을 경우 그 피해는 고스란히 이용자들에게 돌아간다”며, “갈수록 정교화·지능화·표적화되고 있는 사이버 보안 공격은 어쩔 수 없다는 ‘디지털 체념’ 대신 먼저 기본적인 보안 실천사항을 제대로 지키고 있는가부터 돌아볼 필요가 있다”고 강조했다.
 
한편, 시만텍은 매월 ‘시만텍 인텔리전스 리포트’를 통해 전세계 보안 위협 동향을 발표함으로써 전세계 기업 및 개인 사용자들이 다양한 웹 기반 공격, 악성 코드 활동, 피싱 및 스팸 트렌드에 대한 최신 정보를 통해 효과적으로 시스템을 보호할 수 있도록 돕고 있다.
 
전세계 보안 위협 동향과 통계를 비롯해 각 지역 및 산업별로 자세한 분석 정보를 제공하고 있는  ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’의 2012년 8월호 전문은 www.symanteccloud.com/mlireport/에서 다운로드 받을 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com