세 가지 대형 데이터 유출 사고

데이터 유출은 다양한 이유로 항상 발생합니다. 뉴스를 장식하는 데이터 유출 사고에는 세 가지 공통점이 있습니다:

1. 데이터는 여러분과 나, 대중, 일상적인 사람들에게 영향을 미칩니다.
2. 데이터는 수백만 명, 심지어 수십억 명에 이르는 많은 사람들에게 영향을 미칩니다.
3. 데이터를 관리하는 회사는 유명 기업들입니다.

이 글에서는 많은 사람들의 데이터를 유출한 유명 기업 3곳을 각각 살펴보겠습니다.

데이터의 가치

해커와 사이버 범죄자에게 개인 데이터 또는 개인 식별 정보(PII)는 일종의 화폐와 같습니다. (개인 식별 정보는 생년월일, 신용카드 번호, 이메일 주소 등 개인을 식별하는 데 사용할 수 있는 모든 것을 의미합니다.) 이러한 데이터는 가치가 있습니다. 개인 기록은 다른 범죄자에게 개인당 최대 250달러에 판매될 수 있습니다. PII 기록은 누군가를 사칭하거나 협박하여 사기 자금을 확보하는 데 사용될 수 있습니다. 데이터에 약하게 암호화된 비밀번호가 포함되어 있는 경우, 많은 사람들이 여러 사이트에서 동일한 비밀번호를 재사용하기 때문에 이러한 비밀번호를 해독하여 다른 계정을 해킹하는 데 사용할 수 있습니다.

데이터 유출은 새로운 문제가 아닙니다. 하지만 대규모 데이터 유출에 대한 대중의 반응은 달라졌습니다. 많은 기업이 고객의 사적인 개인 데이터로 수익을 창출하는 것을 전체 비즈니스 모델의 기반으로 삼고 있습니다. 이러한 데이터가 공개되면 고객이 이탈하고 평판이 무너지며 주가가 하락합니다. 이 모든 것이 데이터를 관리하는 기업의 경제적 피해로 이어집니다.

데이터 유출이 발생하는 방식

데이터 유출에는 여러 가지 이유가 있으며 이를 분류하는 방법도 다양합니다. 가장 명확하게 드러나는 것은 예방 가능한 것과 예방 불가능한 것으로 분류하는 것입니다. 예방할 수 없는 데이터 유출의 예로는 소프트웨어의 알려지지 않은(제로데이) 취약점을 악용하는 경우를 들 수 있습니다.

예방 가능한 데이터 유출은 서버 또는 데이터베이스의 잘못된 구성, 실수로 자격 증명을 일반 텍스트로 전송하거나 게시한 경우, 또는 가장 안타까운 경우인 소프트웨어 업데이트 실패로 인해 발생할 수 있습니다. 이는 잘못을 저지른 것이 아니라 조치를 취하지 않은 것이기 때문에 개탄스러운 일입니다. 아무것도 하지 않으면 재앙으로 이어지는 전형적인 사례입니다.

소프트웨어 패치를 피하는 이유

다음은 기업들이 소프트웨어 패치를 바로 설치하지 않는 이유를 묻는 업계 설문조사에 대한 대표적인 답변(및 저희의 해석)입니다.

더 자세히 설명하기 위해 세 가지 유명한 데이터 유출 사건의 세부 사항을 소개합니다.

1. 에퀴팩스 (2017)

• 1억 4,800만 명의 개인 기록이 도난당했습니다.
• 해커들은 2~5개월 동안 패치되지 않은 알려진 취약점을 악용했습니다.

미국 조지아주 애틀랜타에 본사를 둔 Equifax는 S&P 500대 소비자 신용 평가 회사입니다. 9,900명의 직원이 근무하고 있으며 8억 명의 고객과 8,800만 개의 기업에 서비스를 제공하고 있습니다.

한 번의 해킹으로 많은 양의 데이터를 얻을 수 있기 때문에 표적이 된 것일 수도 있습니다.

에퀴팩스는 기업이 Java 웹 애플리케이션을 구축하는 데 사용하는 오픈 소스 프레임워크인 apache 스트럿츠의 알려진 취약점으로 인해 피해를 입었습니다.

이벤트는 이렇게 전개되었습니다:

• 2017년 3월 7일: 취약점 보고 및 패치 완료.
• 2017년 7월: 에퀴팩스 해킹.
• 2017년 7월 29일: 데이터 유출이 감지되었습니다.
• 2017년 9월 7일: 데이터 유출이 공개되었습니다.

하지만 이 모든 것이 사람의 부주의 때문은 아니었습니다. 취약점 스캐너가 있었지만 문제를 보고하지 않았습니다.

레슨

• 패치 적용을 미루지 마세요.
• 스캐너는 알려지지 않은 취약점을 탐지할 수 없습니다.

2. 메리어트 (2018)

• 327/383/500만 명의 개인 기록이 도난당했습니다(추정치는 다양함).

메릴랜드에 본사를 둔 이 미국 호스피탈리티 기업은 S&P 500과 NASDAQ-100에 모두 상장되어 있습니다.

약 177,000명의 직원을 고용하고 있으며, 130개국 7,000여 개 지점에 30개 이상의 브랜드를 보유한 호텔 체인으로 가장 유명합니다. (이름을 모르신다면 더 알아봐야 합니다.)

스타우드 호텔 그룹(이전에 인수한 회사)의 예약 시스템이 최대 4년 동안 불법적으로 액세스되다가 적발된 것으로 밝혀졌습니다. 내부 보안 도구가 의심스러운 데이터베이스 쿼리를 포착했습니다. 조사 결과, 추출된 데이터는 유출 전에 암호화된 것으로 밝혀졌습니다. 메리어트 직원들은 정보를 해독하는 데 두 달이 걸렸습니다. 데이터 캐시에는 여권 및 신용카드 번호와 기타 PII가 포함되어 있었습니다.

• 2018년 9월 8일: 데이터 유출이 감지되었습니다.
• 2018년 11월 19일: 데이터 유출 조사 완료.
• 2018년 11월 30일: 데이터 유출이 공개되었습니다.

레슨

• 회사를 인수하면 그 회사의 데이터도 함께 인수하는 것이며, 데이터에 대한 책임도 져야 합니다.

3. 야후 (2013-2014)

• 30억 명의 개인 기록이 도난당했습니다.

야후는 2013년과 2014년에 해킹을 당했지만, 2017년이 되어서야 모든 야후 계정 소유자의 데이터가 도난당했다는 사실이 발표되면서 데이터 유출의 실제 규모가 밝혀졌습니다. (정보 공개가 늦어진 것은 당시 야후가 3억 5,000만 달러에 인수하기로 한 Verizon과의 인수 계약과 관련이 있었습니다.)

도난당한 데이터에는 계정 소유자의 이름, 생년월일, 전화번호, 취약하게 암호화된 비밀번호가 포함되어 있었습니다. 이 마지막 항목은 많은 사용자가 여러 사이트에서 동일한 비밀번호를 재사용하기 때문에 다른 사용자의 계정도 해킹당했다는 것을 의미합니다.

레슨

• 규모가 클수록 데이터의 매력은 더 커집니다.

개인 데이터는 새로운 석유이며 모든 곳에서 유출되고 있습니다. 이를 통해 기업은 제국을 건설하고 정부는 정보를 수집합니다. 해커들은 갈취, 협박, 절도를 통해 더 많은 수익을 창출합니다.

자동 패치는 데이터 유출의 가장 예방 가능한 원인 중 하나인 오래된 소프트웨어를 차단합니다. KernelCare의 라이브 패치 솔루션은 Linux Kernel을 보호합니다. 더 빠른 패치 관리로 규정 준수를 지원하는 방법에 대한 자세한 내용은 KernelCare의 CEO인 이고르 셀레츠키의 RSA 컨퍼런스 연설을 기반으로 한 기사에서 확인할 수 있습니다.