세 가지 유명 데이터 유출 사고

데이터 유출은 다양한 이유로 항상 발생합니다. 뉴스를 장식하는 데이터 유출 사건에는 세 가지 공통점이 있습니다:

1. 데이터는 여러분과 저, 일반 대중에게 영향을 미칩니다.
2. 데이터는 수백만 명, 심지어 수십억 명에 이르는 많은 사람들에게 영향을 미칩니다.
3. 데이터를 관리하는 회사는 유명 기업들입니다.

이 글에서는 많은 사람들의 데이터를 유출한 유명 기업 3곳을 살펴보겠습니다. Welltok 데이터 유출과 같은 최근의 다른 사건들도 이러한 공격의 규모가 점점 커지고 있음을 강조합니다.

데이터의 가치

해커와 사이버 범죄자들에게 개인 데이터 또는 개인 식별 정보(PII)는 일종의 화폐와 같습니다. (PII는 생년월일, 신용카드 번호, 이메일 주소 등 개인을 식별하는 데 사용할 수 있는 모든 것을 의미합니다.) 이러한 데이터는 가치가 있습니다. 개인 기록은 개인당 최대 250달러에 다른 범죄자에게 판매될 수 있습니다. PII 기록은 누군가를 사칭하거나 협박하여 사기 자금을 확보하는 데 사용될 수 있습니다. 데이터에 약하게 암호화된 비밀번호가 포함되어 있는 경우, 많은 사람들이 여러 사이트에서 동일한 비밀번호를 재사용하기 때문에 이를 해독하여 다른 계정을 해킹하는 데 사용할 수 있습니다.

데이터 유출은 새로운 문제가 아닙니다. 하지만 대규모 데이터 유출 사고에 대한 대중의 반응은 달라졌습니다. 많은 기업이 고객의 개인 데이터로 수익을 창출하는 것을 전체 비즈니스 모델의 기반으로 삼고 있습니다. 이러한 데이터가 공개되면 고객이 이탈하고 평판이 무너지며 주가가 하락합니다. 이 모든 것이 데이터를 관리하는 기업의 경제적 피해로 이어집니다.

데이터 유출이 발생하는 방식

데이터 유출에는 여러 가지 이유가 있으며 이를 분류하는 방법도 다양합니다. 가장 명확한 방법은 예방 가능한 경우와 예방 불가능한 경우로 분류하는 것입니다. 예방할 수 없는 데이터 유출의 예로는 소프트웨어의 알려지지 않은(제로데이) 취약점을 악용하는 경우를 들 수 있습니다.

예방 가능한 데이터 유출은 서버 또는 데이터베이스의 잘못된 구성, 실수로 자격 증명을 일반 텍스트로 전송하거나 게시한 경우, 또는 가장 안타까운 경우인 소프트웨어 업데이트 실패로 인해 발생할 수 있습니다. MOVEit 데이터 유출은 오래된 시스템이 악용되어 광범위한 영향을 초래한 대표적인 사례입니다. 이 사건은 잘못을 저지른 것이 아니라 조치를 취하지 않았기 때문에 더욱 안타깝습니다. 아무것도 하지 않으면 재앙으로 이어지는 전형적인 사례입니다.

데이터 유출 가격도 데이터 표적 공격과 데이터 보안에 동기를 부여하는 요인이 될 수 있습니다. 유출 비용은 평판뿐만 아니라 다크웹에서 기록의 가치, 유출로 인한 가동 중단 시간, 복구 및 규정 준수 처벌에 따른 장기적인 비용에 따라 실제 달러로 계산할 수 있습니다.

소프트웨어 패치를 피하는 이유

다음은 기업들이 소프트웨어 패치를 바로 설치하지 않는 이유를 묻는 업계 설문조사에 대한 대표적인 답변(및 저희의 해석)입니다.

더 자세히 설명하기 위해 세 가지 유명한 데이터 유출 사건의 세부 사항을 소개합니다.

1. 에퀴팩스 (2017)

• 1억 4,800만 명의 개인 기록이 도난당했습니다.
• 해커들은 2~5개월 동안 패치되지 않은 알려진 취약점을 악용했습니다.

미국 조지아주 애틀랜타에 본사를 둔 Equifax는 S&P 500대 소비자 신용 평가 회사입니다. 9,900명의 직원이 근무하고 있으며 8억 명의 고객과 8,800만 개의 기업에 서비스를 제공하고 있습니다.

한 번의 해킹으로 많은 양의 데이터를 확보할 수 있는 방대한 규모이기 때문에 표적이 된 것일 수 있습니다.

Equifax는 기업이 Java 웹 애플리케이션을 구축하는 데 사용하는 오픈 소스 프레임워크인 Apache Struts의 알려진 취약점으로 인해 피해를 입었습니다.

이벤트는 이렇게 전개되었습니다:

• 2017년 3월 7일: 취약점 보고 및 패치.
• 2017년 7월: 에퀴팩스 해킹.
• 2017년 7월 29일: 데이터 유출이 감지되었습니다.
• 2017년 9월 7일: 데이터 유출이 공개되었습니다.

하지만 이 모든 것이 사람의 부주의 때문은 아니었습니다. 취약점 스캐너가 있었지만 문제를 보고하지 않았습니다.

레슨

• 패치 적용을 미루지 마세요.
• 스캐너는 알려지지 않은 취약점을 탐지할 수 없습니다.

2. 메리어트 (2018)

• 327/383/500만 명의 개인 기록이 도난당했습니다(추정치는 다양함).

메릴랜드에 본사를 둔 이 미국 호스피탈리티 기업은 S&P 500과 나스닥 100에 모두 상장되어 있습니다.

약 177,000명의 직원을 고용하고 있으며, 130개국 7,000여 개 사이트에 걸쳐 30개 이상의 브랜드를 보유한 호텔 체인으로 가장 유명합니다. (이름을 모르신다면 더 알아보셔야 합니다.)

스타우드 호텔 그룹(이전에 인수한 회사)의 예약 시스템이 최대 4년 동안 불법적으로 액세스되다가 적발된 것으로 밝혀졌습니다. 내부 보안 도구가 의심스러운 데이터베이스 쿼리를 포착했습니다. 조사 결과, 추출된 데이터는 유출 전에 암호화된 것으로 밝혀졌습니다. 메리어트 직원들은 이 정보를 해독하는 데 두 달이 걸렸습니다. 데이터 캐시에는 여권 및 신용카드 번호와 기타 PII가 포함되어 있었습니다.

• 2018년 9월 8일: 데이터 유출이 감지되었습니다.
• 2018년 11월 19일: 데이터 유출 조사.
• 2018년 11월 30일: 데이터 유출이 공개되었습니다.

레슨

• 회사를 인수하면 그 회사의 데이터도 함께 인수하는 것이며, 그에 대한 책임도 져야 합니다.

3. 야후 (2013-2014)

• 30억 명의 개인 기록이 도난당했습니다.

야후는 2013년과 2014년에 해킹을 당했지만, 데이터 유출의 실제 규모는 2017년이 되어서야 모든 야후 계정 소유자의 데이터가 도난당했다는 사실이 발표되었습니다. (정보 공개가 늦어진 것은 당시 야후가 3억 5,000만 달러에 인수하기로 한 Verizon과의 거래가 진행 중이었던 것과 관련이 있습니다.)

도난당한 데이터에는 계정 소유자의 이름, 생년월일, 전화번호, 취약하게 암호화된 비밀번호가 포함되어 있었습니다. 마지막 항목은 많은 사용자가 여러 사이트에서 동일한 비밀번호를 재사용하기 때문에 다른 사용자의 계정도 해킹당했음을 의미합니다.

레슨

• 규모가 클수록 데이터의 매력은 더 커집니다.

개인 데이터는 새로운 석유이며, 모든 곳에서 유출되고 있습니다. 이를 통해 기업은 제국을 건설하고 정부는 정보를 수집합니다. 해커들은 갈취, 협박, 절도를 통해 더 많은 수익을 창출하기 위해 개인 정보를 긁어모으고 있습니다. 이러한 사고는 유명세를 탄 침해 사건에만 국한되지 않습니다, 데이터 유출 사소한 설정 오류로 인한 데이터 유출도 민감한 정보를 노출시킬 수 있습니다.

자동 패치는 데이터 유출의 가장 예방 가능한 원인 중 하나인 오래된 소프트웨어를 차단합니다. KernelCare의 라이브 패치 솔루션은 Linux 커널을 보호합니다. 더 빠른 패치 관리가 어떻게 규정 준수를 가능하게 하는지에 대한 자세한 내용은 KernelCare의 CEO인 Igor Seletskiy의 RSA 컨퍼런스 연설을 기반으로 한 기사에서 확인할 수 있습니다.