신분증 및 개인정보 도용 비중, 전체 유출 사고의 53%로 가장 높아
디지탈 보안의 세계적 선두업체 젬알토가 23일 발표한 Breach Level Index(http://goo.gl/PjRHm6) 보고서에 따르면 2015년 한 해 동안 1,673건의 데이터 유출 사고가 발생해 전세계적으로 7억 700만 개에 달하는 데이터 기록이 침해된 것으로 나타났다.
BLI(Breach Level Index)는 데이터 유출 건수를 집계한 글로벌 데이터베이스로서 유출 데이터 개수, 유출 원인, 암호화 여부 등 다양한 각도에 기반해 유출의 심각 정도를 산출한다. BLI는 개벌 유출사고의 심각도를 수치화해 비교 목록을 작성, 엄청난 파장을 낳는 대형 유출사고와 일반적인 사고를 구분한다. 젬알토는 다음주 샌프란시스코에서 개최되는 2016 RSA 컨퍼런스(http://goo.gl/X2SJG2)(부스번호: N4108)에서 2015년도 Breach Level Index 보고서 내용을 공개할 예정이다.
Breach Level Index 보고서에 따르면 데이터 유출 집계가 시작된 2013년 이후 36억 개 이상의 데이터 기록이 유출된 것으로 나타났다. 2015년의 경우 외부의 악의적 공격으로 인한 사고는 964건으로 전체의 58%에 달했으며 침해된 데이터 개수 또한 전체의 38%를 차지했다. 여전히 유출사고의 주요 원인으로 남아 있는 신분 도용은 전체 데이터 유출사고의 53%의 비중을 기록했으며 침해된 전체 데이터 개수의 40%를 차지했다.
젬알토의 제이슨 하트(Jason Hart) 부사장 겸 최고기술자(데이터 보안)는 “2014년에는 소비자들이 신용카드 번호 유출에 대해 많이 걱정했지만 이 문제는 내장 형태의 보안 솔루션을 통해 금융 리스크를 최소화되고 있다”면서 “반면 2015년의 경우 한 번 도용되면 카드 번호보다 훨씬 회복이 어려운 개인정보와 신분증 정보에 대한 공격으로 범죄자들의 관심사가 옮겨 갔음을 알 수 있다. 각 기업들과 기기가 수집하고 있는 고객 정보 수는 날로 증가하고 있는데, 소비자들의 온라인 디지털 활동이 점점 더 다변화되고 규모도 늘어나는 상황에서 이들의 취향이나 신원, 활동 내역에 대한 데이터를 저장하는 기업들은 그만큼 유출 위험에 노출되는 빈도 또한 커지게 된다. 소비자들의 개인정보나 신분증 정보가 지속적으로 사이버 도둑에게 통째로 넘어간다면 기업들의 비즈니스 대상들이 갖는 신뢰성 문제가 중대하게 대두될 것이다”고 말했다.
전체 업종 가운데 정부기관에서 2015년 유출된 데이터 개수는 전체의 43%로 2014년보다 476% 급증했는데, 이는 미국과 터키에서 발생한 다수의 대형 데이터 유출 사고에 따른 것이다. 정부기관에서 발생한 유출 사고는 전체의 16%를 차지했다. 헬스케어 업종의 경우 유출 데이터 개수는 전체의 19%, 유출 사고 건수는 전체의 23%를 기록했다. 리테일 업종은 지난해 같은 기간보다 유출 데이터 개수가 93%나 줄어들었으며 유출 데이터 개수와 사고 건수가 차지하는 비중도 각각 6%와 10%에 지나지 않았다. 금융서비스 업종 역시 유출 데이터 개수가 전년대비 99% 감소해 전체 유출 데이터 개수와 사고 건수에서 각각 0.1%와 15% 정도만 차지했다.
외부의 악의적 공격은 데이터 유출 사고의 가장 큰 원인(58%)이지만 돌발적인 데이터 기록 손실 및 유출 역시 36%를 기록했다. 정부지원공격(state-sponsored attack)으로 발생한 사고는 전체의 2%에 불과했지만 이로 인해 유출된 데이터 개수는 전체의 15%였다. 내부의 악의적 공격은 전체 사고의 14%로 전체 유출 데이터 개수의 7%만 차지했다.
지역별로 살펴보면 전체 데이터 유출 사고의 77%는 북미지역에서 발생했으며 이 가운데 미국의 비중이 59%였다. 유럽은 전체 사고의 12%를 차지했으며 아태지역이 8%로 그 뒤를 이었다.
◇심각도 측정 – 데이터 유출 사고별 심각도는 각기 다르다
하트 부사장은 “각 기업과 소비자에게 끼치는 피해와 유출의 심각도라는 측면에서 볼 때 모든 사고가 같은 비중을 차지하는 것은 아니다”면서 “암호화 등 올바른 보안 기술이 적재적소에 배치되어 중요하고 민감한 데이터를 보호해 준다면 사고가 발생한다 해도 데이터 유출을 막을 수 있다. 하지만 유감스럽게도 2015년의 경우 다수의 대형 유출 사고가 발생해 암호화가 제대로 이루어지지 않은 개인 정보와 신분증 정보가 유출되었다”고 밝혔다.
그러면서 “Breach Level Index는 점차 광범위해지고 있는 위협 환경을 다루는 보안 전문가들에게 가이드 역할을 하도록 설계되었다. 또한 각 기업의 CIO와 CSO들이 유출 사고를 더욱 정확하게 분류하고 자체적인 위험 평가와 계획 수립을 할 수 있게 한다. 가장 중요한 것은 이들이 정확한 보안 기술을 도입해 사고가 발생한다 해도 고도의 가치와 민감성을 가진 데이터들이 유출되지 않도록 지원한다는 점”이라고 덧붙였다.
