데이터 유출 사고가 귀사의 브랜드와 수익에 타격을 줄 수 있습니다. 자주 발생하는 데이터 유출의 유형 및 이러한 사고가 비즈니스에 미칠 영향에 관해 알아볼까요?
지난 몇 년간 수백 건의 보안 공격이 발생하여 사용자 수백만 명의 개인 정보가 유출되었습니다. 대학과 그 학생들을 노리는 해킹, 병원이 보관하는 정보를 노린 보안 침해를 비롯하여 그 유형도 무궁무진합니다.
데이터 유출의 유형
정보 도용
랜섬웨어
암호 추측
키 입력 기록
피싱
악성 코드 또는 바이러스
분산형 서비스 거부(DDoS)
대다수 기업은 아무리 안전한 소프트웨어를 사용하더라도 데이터 유출 위협으로부터 자유롭지 않습니다. 실제로 Verizon, 영국국민의료보험(NHS), Yahoo 등 유수의 기업과 기관에서조차 사용자 데이터가 유출된 적이 있습니다. 규정 준수는 사용자 개인 정보 및 데이터 보호를 목적으로 하지만, 각국 정부는 기술 및 사이버 범죄의 빠른 변화 속도를 따라가는 데 고전할 수 있습니다.
그렇다면 특히 주의해야 할 데이터 유출 유형에는 어떤 것이 있을까요? 여기서는 가장 자주 발생하는 7가지 유형 및 이들에 비즈니스에 미칠 영향을 살펴봅니다.
사람은 실수를 저지르는 능력이 매우 탁월하며 실제로 종종 실수를 합니다. 이러한 실수 때문에 기업이 수십만 달러의 비용을 치르기도 합니다.
Apple 역시 각종 데이터 유출 사고로 피해를 입었습니다. 한 부주의한 직원이 iPhone 신제품 중 하나의 프로토타입을 방치해 둔 적도 있습니다. 아직 출시되지 않은 이 제품의 사양 및 하드웨어가 불과 몇 시간 만에 인터넷에 널리 퍼지고 말았습니다.
직원이 컴퓨터, 전화기, 파일 등을 두어서는 안 될 곳에 놓고 오거나 도난당하는 일이 비일비재합니다. 그러면 비공개로 하고 있는 신규 프로토타입뿐만 아니라 고객 정보나 환자 정보까지 유출되기도 합니다.
랜섬웨어가 기술적으로는 악성 코드(malware)의 하위 유형 중 하나이지만, 별도로 주의를 기울여야 할 이유가 충분합니다.
랜섬웨어 공격을 받으면, 갑작스럽게 어떤 메시지가 나타나 전화기나 컴퓨터의 모든 데이터가 암호화되었으며 따라서 본인의 데이터에 액세스할 수 없다고 알립니다. 랜섬웨어 공격자는 돈을 내면 그 데이터를 돌려주고 공개하지 않겠다고 말합니다. 요구하는 금액은 소액일 수도, 수십만 달러에 이를 수도 있습니다. 여기서 문제점은 상대방이 엄연한 범죄자라는 점입니다. 그리고 몸값을 지불하더라도 데이터를 돌려받거나 나중에 그 데이터가 공개되지 않는다는 보장은 없습니다.
중요하거나 은밀한 자료가 공개되거나 삭제되는 사태를 방지하기 위해 리스크 관리 솔루션 업체를 고용하는 기업이 많습니다.
단순하면서도 엄청난 피해를 초래하는 또 다른 문제는 암호 유출입니다. 이는 뜻밖에도 꽤 자주 일어납니다. 어떤 회사에서는 컴퓨터의 암호를 포스트잇 메모에 작성해두기도 하는데, 그러면 누구나 그 컴퓨터에 액세스할 수 있게 됩니다. 참견하기 좋아하는 직원이 다른 곳에서 파일을 열어볼 수도 있습니다.
암호가 너무 간단하거나 추측하기 쉬워 해킹당하는 경우가 많습니다. 이러한 침해 유형을 무차별(brute-force attack) 공격이라고 하며, 해커들이 자주 구사하는 수법입니다.사람들은 거리 이름, 반려동물 이름, 본인 생일 등으로 암호를 만들곤 하는데, 그러면 계정을 쉽게 해킹당할 수 있습니다.
물론 피해자의 암호를 입수한 누군가가 파일에 접근하여 본인이 찾고 있던, 피해자가 다니는 회사에 관한 중요 정보를 찾아낼 수 있습니다.
사이버 범죄자가 키로거(keylogger) 악성 코드를 삽입하거나 이메일로 보낼 수 있으며, 키로거는 피해자가 컴퓨터에 입력하는 내용을 기록합니다. 이 데이터가 해커에게 전달되어 중요 데이터에 접근하는 데 사용되며,이러한 공격은 직장에서 또는 개인용 컴퓨터(PC)에서 발생할 수 있습니다.
키로거는 피해자가 입력하는 모든 내용, 즉 화면에 나타나는 것과 나타나지 않는 것까지 기록합니다. 그러면 공격자는 암호, 신용 카드 번호 등은 물론 피해자가 데이터베이스에 입력하는 중요 정보(예: 이름, 건강 정보 등)까지 손쉽게 수집할 수 있습니다.
이러한 정보가 피해자가 다니는 회사를 공격하는 데에도 이용되곤 합니다. 피해자의 암호는 물론 법인 신용 카드 정보까지 즉시 확보할 수 있기 때문입니다. 그러면 이 정보를 활용하여 회사의 중요 정보를 찾아내 유출할 것입니다.
피싱 공격은 제3자인 해커가 저지릅니다. 이 해커는 진짜처럼 보이는 사이트를 제작합니다. 이를테면 PayPal을 흉내낸 사이트를 만든 다음 피해자에게 뭔가를 변경해야 한다면서 이 사이트에 로그인하도록 요청합니다. 피해자가 속임수임을 모르고 계정에 로그인할 경우, 해커가 그 암호를 확보하게 됩니다.
이 수법은 대학교에서 자주 발생합니다. 학생은 학교 당국이라고 주장하는 제3자로부터 로그인 정보를 확인해달라는 내용의 이메일을 받습니다. 그 요청대로 로그인하면, 해커는 그 로그인 정보를 입수하여 무엇이든 할 수 있게 됩니다.Microsoft 365 애플리케이션, 특히 Exchange Online을 표적으로 삼은 피싱 공격도 있었습니다.
물론 피싱 공격 때문에 피해자나 피해자가 다니는 회사의 중요 정보가 위험해질 수 있습니다.
수신자의 컴퓨터에서 모든 데이터를 지울 목적으로 악성 코드 또는 바이러스가 배포됩니다. 이는 모든 기업에, 특히 데이터에 의존하는 기업일수록 큰 피해를 줄 수 있습니다. 예를 들어 어떤 악성 코드 바이러스가 병원에 배포되어 환자 수천 명의 데이터가 사라진다면, 치료가 지연되거나 심지어 병원에 있는 누군가가 목숨을 잃는 등 매우 심각한 상황이 벌어질 수도 있습니다.
이와 같은 유형의 바이러스를 차단하려면 출처가 확실하지 않은 경우 그 어떤 것도 클릭해서는 안 됩니다. 특정 기업의 고객이나 잠재 고객이 이메일을 보내야 하는 경우, 해당 기업은 첨부 파일 없이 이메일 본문에 필요한 정보를 기재하도록 요청하며, 이는 서버를 삭제할 수 있는 뭔가를 클릭하는 실수를 방지하기 위한 것입니다.
이 공격은 대개 규모가 큰 기업만 표적으로 삼으며, 일종의 항의 표시인 경우가 많습니다. 예컨대 어나니머스(Anonymous)와 같은 자경 조직에서는 어떤 제약 회사의 경영 방식이 마음에 들지 않고 이 회사가 환자를 이용한다고 생각할 경우, 서비스 거부 공격을 감행할 수 있습니다.
분산형 서비스 거부 공격은 여러 출처에서 동시에 공격을 감행하는 것을 가리킵니다. 이러한 유형의 공격이 발생하면, 정상적으로 근무하는 사람들이 시스템에 로그인하지 못합니다. 공격에 의해 발생하는 트래픽 때문에 사이트 접속이 불가능해지면, 고객은 해당 회사의 서비스를 이용할 수 없습니다. 설령 데이터가 사라지지 않더라도 해당 회사는 보안 침해를 해결하는 동안 운영을 중단할 수 밖에 없으며, 그러면 고객을 잃게 됩니다.
이 공격 유형은 많은 자원이 필요하고 매우 조직적으로 이루어지므로, 개인을 대상으로 하는 경우는 드뭅니다.
지금까지 살펴본 데이터 유출 유형으로부터 귀사를 완벽하게 보호할 방법은 없습니다. 데이터 유출의 결과, 그리고 누군가가 귀사의 시스템에 침투할 가능성에 관해 여러분 자신과 직원을 교육할 수 있습니다.
아울러 암호에 유효 기간 및 타이머를 설정함으로써 직원이 정기적으로 암호를 바꾸게 할 수 있습니다. 중요 정보를 회사 외부로 가져가는 경우에 최대한 안전을 유지해야 함을 직원에게 상기시키는 것도 좋습니다.
SaaS 애플리케이션 데이터를 보호하는 방법 그리고 베리타스와 함께 이러한 공격 유형으로 인한 피해를 방지하는 방법이 궁금하다면 베리타스의 데이터 보호 솔루션을 살펴보십시오.
지금 베리타스에 연락하여 베리타스의 랜섬웨어 차단 솔루션 그리고 베리타스가 그러한 공격으로부터 고객의 비즈니스를 보호하는 방법을 자세히 알아보십시오.