보안 침해란?

문제는 이제 많은 사람들이 삶의 가장 기본적인 활동을 온라인에서 수행하며 쇼핑, 뱅킹, 여행 계획부터 엔터테인먼트, 데이트에 이르기까지 점점 더 디지털 환경에서 공적인 활동과 사생활을 이어나가고 있다는 점입니다.

그렇기에 온라인 계정, 애플리케이션, 컴퓨터 시스템에는 이제 방대한 양의 개인정보와 금융 정보가 저장되어 있어 범죄자의 주요 표적이 되고 있습니다. 기업의 경우, 보안 침해는 규제 벌금, 법적 책임, 평판 손상, 고객 신뢰 상실로 이어질 수 있어 주의가 필요합니다.

보안 침해는 취약한 비밀번호, 맬웨어, 피싱, 랜섬웨어, 소셜 엔지니어링 등 다양한 진화하는 위협 및 취약성으로 인해 발생할 수 있습니다. 기밀 정보는 범죄자에게 큰 가치가 있기 때문에 개인과 조직 모두 개인 정보와 민감한 데이터를 보호하기 위해 데이터 보안 조치를 수립해야 합니다. 다크 웹은 사용자 이름, 비밀번호, 신용카드 번호, 기타 금융 데이터를 사고 팔 수 있는 마켓플레이스로, 신원 도용 또는 사기 목적으로 이용할 수 있습니다.

보안 침해의 위협은 현실입니다. Enterprise Apps Today에 따르면 39초에 한 번씩 전 세계 어딘가에서 보안 침해가 발생하며, 2022년 한 해에만 사이버 범죄로 인해 약 6조 달러의 피해가 발생합니다.

보안 침해는 보안 통제가 침투되거나 회피될 때 발생합니다. 세계 최대 규모의 기업들은 정기적으로 사이버 범죄자의 표적이 됩니다. 실제로 금융 기관, 전자 상거래 회사, 정부 기관은 사이트에서 관리하는 방대한 개인 및 금융 데이터로 인해 공격자들의 주요 표적이 되고 있습니다.

개인과 조직은 규모에 상관없이 보안 침해 및 사이버 공격의 위험에 처해 있습니다. 해커와 사이버 범죄자는 강력한 국가 또는 기업의 지원을 받기도 하며 끊임없이 창의적이며 기존 보안 보호 기능에 침투하는 새로운 방법을 개발합니다. 이를 통해 잠재적으로 판매하거나 조작하여 상당한 이득을 얻을 수 있는 민감한 정보 또는 개인정보를 훔치거나 사기, 신원 도용 또는 허위 정보 유포에 사용할 수 있습니다.

뉴스 사이트 secureworld.io에 따르면, 역사상 가장 심각한 데이터 유출은 다음과 같습니다.

• Yahoo(2013-2014). 공격자가 피싱 기법을 사용하여 Yahoo 네트워크에 침입한 30억 개 이상의 사용자 계정의 보안을 침해한 사건입니다. 침입자는 이름, 이메일 주소, 생년월일, 전화번호, 암호화된 비밀번호 등 민감한 정보에 접근할 수 있었습니다. Yahoo는 연방 증권 집단 소송으로부터 8,000만 달러의 합의금과 증권거래위원회로부터 3,500만 달러의 벌금 외에도 2016년 Verizon에 대한 판매 시 구매가를 3억 5,000만 달러 인하해야 했습니다. 2017년 3월, FBI는 러시아 연방 보안국(FSB) 장교 2명을 포함해 4명을 공격 혐의로 기소했습니다.
• Equifax(2017). 공격자가 이름, 주민등록번호, 생년월일, 주소, 경우에 따라 운전면허증 번호 등의 미국 내 소비자 1억 4,700만 명의 개인정보를 획득했습니다. 이러한 개인정보 외에도 보안 침해로 인해 고객 약 20만 9,000명의 신용카드 번호가 노출되었습니다. 공격자는 웹사이트 애플리케이션 취약점을 통해 Equifax 네트워크에 액세스할 수 있었고, 시스템 세분화가 제대로 이루어지지 않아 침입자가 시스템 내에서 쉽게 횡방향 이동을 할 수 있었습니다. 이 보안 침해는 심각한 반향을 일으켜 소비자 신뢰 상실, 법적 조사, 소송, 규제 벌금, 의회 청문회로 이어졌습니다. 또한 Equifax는 데이터 유출로 피해를 입은 사람들을 돕기 위해 약 7억 달러를 지불했습니다. 2020년 미국 법무부는 Equifax 사이버 공격과 관련하여 중국 군이 지원하는 해커 4명을 고발했습니다.
• Marriott International(2014-2018). 이름, 주소, 전화번호, 여권 번호, 이메일 주소, 여행 정보, 경우에 따라 결제 카드 번호를 포함하여 약 5억 건의 게스트 기록이 유출되었습니다. 2016년 Marriott가 Starwood Hotels and Resorts를 인수하고 Starwood 예약 시스템을 Marriott 시스템에 통합하는 중에 공격이 시작되었습니다. Starwood 시스템이 최소 2014년까지 손상되었으며(Starwood 직원들로부터 도난당한 자격 증명 때문일 수 있음) 곧 Marriott International 그룹의 모든 자산이 감염되었습니다. 영국 정보 위원회(ICO)는 Marriott에 2,380만 달러의 벌금을 부과했습니다. Marriott는 미국 정부와 군인들이 가장 많이 이용하는 호텔이므로 미국 정부에서는 사이버 공격이 중국의 첩보 수집 작전의 일환이라고 주장합니다.
• T-Mobile(2022-2023). 공격자가 API를 조작하여 3,700만 개의 사용자 계정을 침해함으로써 고객 이름, 청구지 주소, 이메일 주소, 전화번호, 계좌번호, 생년월일을 확보했습니다. 공격자는 침해가 발견되기 전 한 달 넘게 T-Mobile의 시스템에 무단으로 액세스했으며, 누구인지는 아직 확인되지 않았습니다.

공격자가 시스템에 액세스하는 데 사용하는 방법에 따라 보안 침해를 다음과 같은 여러 유형으로 분류할 수 있습니다.

• 맬웨어 공격은 범죄자가 보안 침해를 실행하는 데 흔히 사용하는 기법입니다. 맬웨어는 악성 이메일 첨부 파일을 통해 유포되는 경우가 많으며, 수신자를 속여 맬웨어가 포함되어 있거나 가짜 로그인 페이지로 연결되는 링크를 클릭하거나 첨부 파일을 다운로드하도록 하는 피싱 공격 일부로 이루어지는 경우도 있습니다. 맬웨어는 감염된 웹사이트 접속 또는 보안이 침해된 소프트웨어 다운로드를 통해 실행될 수도 있습니다. 맬웨어는 키 입력을 기록하거나, 사용자 활동을 모니터링하거나, 공격자가 네트워크에 액세스할 수 있는 "백도어" 액세스 포인트를 만드는 등 데이터 유출로 이어지는 다양한 기능을 수행하도록 설계될 수 있습니다. 저장된 로그인 자격 증명을 수집하거나 공격자가 계정 및 시스템에 무단으로 액세스하는 데 사용할 수 있는 민감한 인증 데이터를 훔칠 수 있는 맬웨어도 있습니다. 맬웨어는 데이터를 유출하여 도난당한 데이터를 공격자가 제어하는 원격 서버로 전송하여 무단 데이터 유출 및 잠재적 노출로 이어질 수 있습니다. 랜섬웨어는 피해자의 데이터를 암호화하여 액세스할 수 없게 만드는 맬웨어의 일종이기 때문에 랜섬웨어 공격도 보안 침해로 이어질 수 있습니다. 암호화 과정에서 공격자는 피해자의 데이터에 대한 액세스 권한을 확보하며, 많은 경우 몸값을 지불하지 않으면 피해자의 민감한 데이터를 대중에 공개하거나 다크 웹에서 판매하겠다고 위협합니다. 이로 인해 랜섬웨어 사고로 인해 데이터가 유출되어 침해된 정보가 권한이 없는 개인에게 노출됩니다.
• 소셜 엔지니어링 공격은 심리적 조작을 통해 사람들을 속여 민감한 정보를 공개하거나, 행동을 취하거나, 보안을 저해하는 결정을 내리도록 합니다. 경우에 따라 공격자는 동료 직원, 상사, IT 직원과 같이 신뢰할 수 있는 개인을 가장하여 피해자가 민감한 데이터를 공유하거나 사용자 이름, 비밀번호 등의 인증 자격 증명을 공개하도록 설득할 수 있습니다. 공격자는 이 정보를 사용하여 시스템, 계정, 민감한 데이터에 무단으로 액세스할 수 있습니다. 소셜 엔지니어링 공격은 보통 피싱 전술을 사용하여 개인이 일반적으로는 수행하지 않을 작업을 수행하거나 데이터를 공개하도록 조종합니다.
• 소프트웨어 악용은 소프트웨어, 펌웨어 또는 시스템 구성의 취약점 또는 약점을 이용하여 컴퓨터 시스템 또는 네트워크 내에서 무단 액세스, 데이터 조작 또는 악의적인 작업을 수행합니다. 오래되거나 패치가 적용되지 않은 소프트웨어는 시스템 악용의 일반적인 진입점이지만 권한 상승 공격 또는 원격 코드 실행 악용 공격과 연결될 수도 있습니다.

데이터 유출로 인해 심각하고 광범위한 피해가 발생할 수 있으며, 그 예는 다음과 같습니다.

• 재정적 손실. 사고 대응, 법무 수수료 및 소송, 규제 벌금, 피해 당사자에 대한 보상에 드는 비용.
• 평판 손상. 보안 침해 사실이 대중에 공개되면 브랜드 이미지에 부정적인 영향과 장기적인 피해가 발생할 수 있음.
• 신뢰 손실. 데이터 유출로 인해 기업의 데이터 보안 역량에 대한 신뢰가 무너지면 고객(및 파트너)이 상업적 관계를 맺는 것을 주저하게 되어 충성도 하락과 고객 이탈을 초래할 수 있음.
• 법률 및 규제의 영향. EU의 일반 데이터 보호 규정(GDPR) 및 미국의 건강보험 이전과 책임에 관한 법(HIPAA)과 같은 데이터 보호 법률 및 규정을 위반한 혐의로 법적 조치 및 규제 벌금이 발생할 수 있음.

보안 침해의 징후를 조기에 인식하는 것은 잠재적인 피해를 최소화하고 효과적으로 대응하는 데 매우 중요합니다. 보안 침해가 진행 중일 수 있음을 알려주는 일반적인 지표는 다음과 같습니다.

• 네트워크 트래픽의 갑작스러운 증가, 비정상적인 데이터 전송 또는 예기치 않은 대역폭 사용량 급증과 같은 비정상적인 네트워크 활동은 무단 액세스 또는 데이터 유출을 나타낼 수 있습니다.
• 이유를 알 수 없는 시스템 다운타임, 느린 성능 또는 잦은 충돌과 같은 예기치 않은 시스템 동작은 맬웨어 또는 무단 활동이 있음을 나타낼 수 있습니다.
• 익숙하지 않은 사용자 계정, 비정상적인 로그인 시간 또는 여러 번 실패한 로그인과 같은 의심스러운 계정 활동은 보안 침해 또는 무단 액세스 시도의 징후가 될 수 있습니다.
• 중요한 데이터베이스 또는 민감한 정보에 대한 무단 액세스를 보여주는 데이터 및 로그 누락 또는 변경과 같은 데이터 이상 및 무단 액세스는 보안 침해를 암시할 수 있습니다.

보안 침해를 방지하려면 다음과 같은 모범 사례를 포함하여 사이버 보안에 대해 사전 예방적이고 포괄적인 접근 방식을 취해야 합니다.

• 강력한 비밀번호 정책 시행. 생년월일, 이름 또는 일반적인 단어와 같이 쉽게 추측할 수 있는 정보의 사용을 제한하고 대문자와 소문자, 숫자, 기호로 구성된 임의의 문자열을 결합한 비밀번호의 사용을 의무화합니다. 더 길고 기억하기 쉽지만 크래킹이 어려운 비밀번호를 사용하도록 독려합니다.
• 다단계 인증(MFA) 구현. MFA에서는 사용자가 두 가지 이상의 검증 단계를 거쳐야 애플리케이션, 리소스, 온라인 계정 또는 기타 서비스에 액세스할 수 있습니다. 일반적으로 이메일 또는 문자메시지로 전송된 일회성 암호를 스마트폰 또는 브라우저에 입력하거나 지문 또는 얼굴 스캔과 같은 생체 인식을 제공합니다.
• 소프트웨어 및 시스템의 정기적인 업데이트. 알려진 취약점을 해결하기 위해 운영 체제, 소프트웨어 애플리케이션, 보안 패치를 최신 상태로 유지합니다. 강력한 패치 관리 프로세스를 개발하여 보안 업데이트 및 수정 사항을 즉시 적용합니다.
• 네트워크 세분화 구현. 큰 네트워크를 작고 고립된 세그먼트로 분할하면 액세스가 제어되는 여러 개의 개별 영역 또는 하위 네트워크를 생성하여 보안을 강화하고 보안 침해의 잠재적 영향을 줄일 수 있습니다. 이는 중요한 자산을 격리하고 공격 표면을 줄이며 네트워크 내에서 횡적 확산을 제한하여 침해를 억제하는 데 도움이 됩니다.
• 암호화 및 데이터 보호 사용. 전송 중 및 저장 중인 민감한 데이터를 암호화하여 무단 액세스로부터 보호합니다. 엄격한 액세스 제어 및 최소 권한 원칙과 같은 데이터 보호 정책을 시행하면 무단 데이터 액세스 위험을 줄일 수 있습니다.
• 인벤토리 API 및 타사 스크립트. API 엔드포인트 및 타사 통합을 동적으로 검색하여 위험 관리 프로세스에서 캡처하고 적절한 보안 제어로 보호할 수 있습니다.

• 피싱 시도 인식. 직원이 피싱 이메일과 악성 링크를 알아볼 수 있도록 하여 데이터 유출로 이어질 수 있는 피싱 스캠에 속을 가능성을 줄입니다.
• 강력한 비밀번호에 대한 교육. 직원들에게 강력한 비밀번호와 강력한 비밀번호 관리의 중요성을 교육합니다.
• 의심스러운 활동 보고. 직원들이 의심스러운 활동이나 잠재적인 보안 사고를 즉시 보고하도록 교육하여 보다 신속하게 대응하고 완화할 수 있도록 합니다. 정기적인 교육을 통해 직원들이 새로운 위험과 이를 알아보는 방법에 대한 최신 정보를 얻을 수 있습니다.

• 조직의 보안 태세에 대한 정기적인 평가. 침투 테스트, 취약점 스캐닝, 보안 감사를 통해 공격자가 시스템, 애플리케이션, 네트워크의 취약점을 악용하기 전에 식별하고 해결합니다. 취약점 평가는 해결되지 않으면 보안 침해로 이어질 수 있는 구성 오류를 식별하는 데도 도움이 됩니다.

• 사고 대응 계획 수립. 잠재적인 사이버 보안 사고를 식별하고 이에 대응하기 위한 체계적이고 사전 예방적인 접근 방식을 제공함으로써 보안 침해의 위험을 최소화하는 데 중요한 역할을 할 수 있습니다.
• 이해관계자 및 역할 파악. 이해 관계자를 파악하고, 역할과 책임을 결정하고, 사고 보고 및 에스컬레이션에 대한 명확한 명령체계를 확립해야 합니다. 보안 침해를 억제하고 위험을 최소화하기 위한 상세한 단계별 절차를 수립하고, 약점을 식별하고 대응을 강화하기 위한 계획을 정기적으로 테스트합니다.
• 비즈니스 연속성 및 재해 복구(BCDR) 전략 수립. BCDR 계획은 보안 침해 등으로 인해 중단이 발생하는 경우에도 중요한 비즈니스 운영을 지속하는 데 도움이 됩니다. BCDR 계획의 필수 요소는 데이터 유출 또는 데이터 손상 시 데이터를 이전의 정상적인 상태로 복원할 수 있도록 정기적으로 데이터를 백업하는 것입니다. 모든 BCDR 계획은 훈련과 연습을 통해 정기적으로 테스트하여 그 효과를 확인하고 기업이 약점을 식별하고 대응 전략을 구체화할 수 있어야 합니다.

인공 지능이 제공하는 강력하고 새로운 도구와 기능을 통해 보안 침해를 탐지하고 방지할 수 있습니다. 특히 AI 기반 봇 방어는 강력한 텔레메트리 수집, 행동 분석,완화 전략 전환을 통해 공격자가 어떻게 방어 회피를 시도하든 복원력을 유지할 수 있습니다. AI 알고리즘은 일반적이지 않은 시간에 또는 익숙하지 않은 위치에서 민감한 데이터에 액세스하는 사용자뿐 아니라 신호를 스푸핑하고 다크 웹의 손상된 데이터를 사용하려는 시도와 같이 보안 침해 활동을 나타낼 수 있는 이상 징후를 탐지합니다.

이러한 시스템은 의심스러운 활동을 자동으로 차단하거나 표시하도록 구성할 수 있으며 사전 정의된 대응 조치를 취하거나 침해 확산을 최소화하기 위해 침해된 시스템을 격리하는 것과 같은 사고 대응 계획의 일부 요소를 자동화할 수 있습니다. AI 기반 보안 시스템은 새로운 데이터로부터 학습하고 변화하는 위협 환경에 적응하기 때문에 침해 탐지의 정확도는 시간이 지남에 따라 향상되고 동적인 위협 환경에 적응하도록 진화합니다.

AI 기술은 또한 대량의 데이터를 분석하고 변칙적인 패턴을 실시간으로 탐지할 수 있으므로 이러한 시스템이 수동 또는 규칙 기반 위협 탐지 프로그램보다 빠르고 정확한 위협 식별로 대응할 수 있습니다.

AI 기반 보안 솔루션은 위협 탐지 및 예방에 상당한 이점을 제공하지만 경고를 검증하고 복잡한 데이터 또는 입력을 해석하려면 전문가가 사용했을 때 가장 효과적입니다. AI 보안 모델에서는 오탐과 미탐이 발생할 수 있어 특히 복잡하고 새로운 위협에 대응할 때 사람이 경계심을 가지고 판단하고 감독해야 합니다.

연방거래위원회(FTC)에서 제공하는 지침에는 보안 침해가 발생했을 때 조직이 고려해야 할 사고 대응 조치에 대한 안내가 제공됩니다. 이러한 조치는 조직이 보안 사고에 효과적으로 대응하고 관리하는 데 도움이 되도록 고안되었습니다. 보안 침해를 해결하기 위한 FTC 지침의 개요에는 다음 조치가 포함됩니다.

• 운영 보호. 신속한 조치를 통해 시스템을 보호하고 침해 대응 팀을 즉시 가동하여 추가적인 데이터 손실을 방지합니다. 피해가 발생한 시스템을 격리하고, 손상된 계정을 비활성화하고, 추가적인 무단 액세스를 방지하기 위한 기타 조치를 취합니다.
• 취약점 수정. 포렌식 전문가와 협력하여 침해의 원인이 된 취약점을 파악하고 해결합니다. 사고의 재발을 방지하기 위해 소프트웨어, 시스템, 구성에 패치를 적용하고 업데이트합니다. 현재 네트워크에 대한 액세스 권한을 가진 사용자(서비스 제공업체 포함)를 분석하고, 필요한 액세스인지 확인하고, 그렇지 않은 경우 액세스를 제한합니다.
• 관련 당사자에게 통보. 사법 기관에 상황과 신원 도용의 잠재적 위험을 보고합니다. 보안 침해의 특성에 따라 영향을 받는 개인, 고객 또는 클라이언트에게 사고에 대해 알립니다. 영향을 받는 개인에게 어떤 일이 발생했는지, 어떤 데이터가 노출되었는지, 자신을 보호하기 위해 어떤 조치를 취해야 하는지에 대한 명확하고 정확하며 투명한 정보를 제공합니다.