Lessons Learned from Another Big Breach

또 다른 대형 유출 사태가 주는 교훈

웹 보안 제품 담당 VP 조시 숄(Josh Shaul)과의 인터뷰

소비자 데이터 유출 문제에 관한 몇 가지 배경을 살펴보는 것부터 시작하겠습니다.

데이터 유출은 심각한 문제입니다. 올해에만 100만 건 이상의 유출이 발생했으며, 이는 예전에 비해 큰 폭으로 증가한 수치입니다. 예를 들어, 대형 유통업체를 표적으로 삼아 뉴스를 장식하는 대규모 공격에서 해커는 주로 사용자 이름과 암호를 탈취합니다. 궁극적인 목적은 대부분 암시장에서 판매할 수 있는 상품의 부정 구매를 통해 경제적 이득을 얻는 것입니다. 그리고 잠재적인 사기 행각은 유출 사태가 발생한 기업에만 국한되지 않고 다른 온라인 비즈니스 전반으로 확장됩니다.

데이터 유출 공격의 실행 방식을 알아보겠습니다. 해커는 실제 암호를 탈취하지 않습니다. 수많은 0과 1로 표시되는, 암호화되거나 해시된 버전을 가져갑니다. 실제 암호를 판별하기 위해 역방향 변환을 수행할 수는 없지만, 조직들이 암호를 보호하기 위해 사용하는 해싱 알고리즘은 잘 알려져 있습니다. 따라서 해커는 암호와 함께 해싱 전에 암호에 추가되었을 수 있는 부가 정보를 추측한 다음 동일한 알고리즘을 통해 암호를 실행할 수 있으며, 가끔은 일련의 0과 1의 조합이 일치하는 암호를 얻게 됩니다.

그런 다음, 대부분의 사람들이 보유 계정 전반에 걸쳐 사용자 이름과 암호를 다시 사용하거나 약간만 변경하여 사용한다는 점을 노립니다. 공격자는 엄청난 수의 사용자 이름과 암호로 시작합니다. 눈에 띄지 않고 분산된 방식으로 인증정보를 확인하기 위해 웹사이트 이곳 저곳을 돌아다닙니다. 주요 유통업체 사이트로 이동하여 암호가 일치하는 다수의 계정을 찾은 다음 은행 사이트로 이동하여 암호가 일치하는 계정을 다시 찾습니다. 그런 다음 이커머스 사이트 등으로 이동합니다.

이 과정을 통해 확인된 인증정보는 가치가 있습니다. 일반적으로 다른 해커가 인증정보를 구매하고 계정에 접속하여 경제적 이득을 얻습니다. 개인에게 가장 많은 피해를 주는 사례에서 해커는 유통업체 계정은 물론 온라인 뱅킹 또는 개인 이메일 계정에 접속합니다. 다양한 계정의 온라인 암호는 흔히 이메일을 통해 재설정되기 때문에 이메일 계정이야말로 황금 상자를 여는 열쇠일 수 있습니다.

요약하면, 데이터 유출은 공격자와 해커가 스마트하고 교활할 뿐 아니라 조직적이고 자동화된 방식을 사용하기 때문에 감당하기 어려운 문제입니다. 대규모 데이터 유출은 이들의 원자재인 셈입니다.

Equifax 데이터 유출 사태는 어떤 점이 다른가요?

Equifax 데이터 유출 사태에서 탈취된 데이터는 방금 설명한 프로세스에 이용될 수 있으며, 이는 문제의 시작일 뿐입니다. 사용자 이름과 암호 외에 이름, 주소, 생년월일, 가장 중요한 주민등록번호 등 상세 개인 정보가 유출되었습니다. 이 수준의 정보를 획득한 해커는 신규 계정(예: 은행 신규 계좌, 신규 대출, 신규 급여 대출 서비스, 상품 및 서비스 구매용 신규 계정) 등록을 바로 시도할 수 있습니다. 지금까지 보지 못했던 신원 도용 방식이 확대될 가능성이 있습니다.

가장 유사한 주요 유출 사태는 아마도 몇 년 전에 미국의 인사관리처에서 일어난 사고일 것입니다. 2,150만 명의 연방 기관 공무원과 계약직 직원의 상세 개인 정보가 탈취되었습니다. 안타까운 사실은 그 뒤에 발생한 신원 도용의 규모를 정확히 알지 못한다는 점입니다. 이런 사고는 유출이 발생한 조직에서 공개를 꺼리는 유형에 속하기 때문에 관련 통계를 확인할 방법이 없습니다. 그러나 영향을 받은 다수의 개인은 아마도 위험을 줄이기 위해 Equifax를 비롯한 신용 모니터링 서비스에 가입했을 것입니다. 지금도 대부분의 사람들은 모든 것이 원점으로 돌아가서 자신의 데이터가 다시 탈취되는 상황을 목격하고 있습니다.

기업 측면에서는 어떤 의미인가요?

소비자에게 온라인 서비스를 제공하는 모든 조직은 고객을 보호하고 어떤 방식으로든 사기 거래에 휘말리는 것을 피하고 싶어합니다. 이런 거래에 연루되면 탈취한 상품, 서비스, 돈과 관련된 직접 비용은 물론 손상을 복구하고 고객 계정을 복원하기 위한 관리 비용이 수반됩니다. 금융 정보 노출은 파급 효과가 엄청납니다.

Equifax 데이터 유출 사태의 결과로서, 기업들은 특히 신원 도용과 관련된 새로운 차원의 보안 과제에 직면하고 있습니다. 개인 정보가 더 이상 사적인 데이터가 아니라면 어떻게 기업과 고객을 보호할 수 있을까요? 그리고 고객 신원을 확인하는 데 사용해 왔던 데이터 지표가 범죄자에게 알려지면 어떻게 해야 할까요?

해커는 수천 개의 서로 다른 기업에 대해 수백만 개의 신규 계정 개설을 시도하는 소프트웨어를 만들 수 있습니다. 적은 비율만 성공하더라도 엄청난 돈을 탈취하게 되는 것입니다. 이 밖에도 기업 고객 센터로 전화를 걸어 올바른 정보를 알려주는 오래된 방식으로 계정을 개설 또는 변경하려고 시도할 수 있습니다. 이는 해결하기 어려운 문제이며 추가 인증 단계가 필요할 뿐 아니라 공격 대비 비용도 훨씬 많이 들어갑니다. 하지만 대가로 얻는 금액이 충분히 높다면 이같은 전화를 이용한 사기를 계속 이용할 것입니다. 해커와 통화 중일 수도 있다는 작은 단서를 금방 알아차리거나 이런 상황을 생각해보도록 요청을 받은 고객 지원 인력은 어느 정도일까요?

개인의 재무 상태를 파악할 수 있는 인터넷 기반 서비스를 제공하는 조직의 CEO와 CIO는 유출된 데이터가 대출 신청, 보조금 제공 또는 세금 환급, 피해자 명의를 도용한 상품 구매 등으로 인해 조직이 신원 도용의 매개체로 전락하는 데 사용되지 않도록 대응 방안을 신중히 검토해야 합니다.

기업은 스스로와 자사 고객을 보호하기 위해 어떤 일을 수행해야 하나요?

Equifax 데이터 유출 사태 이후로, 온라인 고객 대면 서비스를 제공하는 모든 기업은 고객이 먼저 문의한 경우에도 새 계정 발급, 계정 및 암호 변경에 더욱 각별한 주의를 기울이게 되었습니다. 이때 추가적인 인증 단계가 효과를 발휘하며 똑똑한 소비자라면 이를 거추장스러운 과정이 아닌 예방 수단으로 인식할 것입니다.

대부분의 기업은 사용자 이름과 암호를 추측하려는 해커의 공격을 받을 때 이를 보다 명확히 파악할 수 있어야 합니다. 규모가 작은 경우에도 찾고 있는 것이 무엇인지 알고 있으면 공격을 쉽게 알아차릴 수 있습니다. 또한, 기업은 인간과 로봇을 구별하는 능력도 출중해야 합니다. 로그인 실패가 인간의 입력 오류 때문인지 아니면 봇의 추측 때문인지, 신규 계정을 온라인으로 등록하는 개체가 실제 인간인지 아니면 누군가의 탈취 정보를 사용하는 봇인지를 파악해야 합니다.

봇인 경우 올바르게 동작하는지 파악해야 합니다. 웹사이트에는 기업에서 사용을 원하는 봇도 있습니다. 예를 들어, 고객은 금융 정보 수집 서비스로 Mint 또는 Yodlee를 사용하고 이러한 서비스에 자신의 계정에 접속할 수 있는 권한을 부여합니다. 만약 봇이 올바로 동작하지 않는다면 신속하게 차단하거나 봇을 혼란스럽게 만들어서 보안 담당자가 봇의 의도를 분석할 수 있는 미로로 유인할 수 있어야 합니다.

더 근본적으로 많은 기업은 자사 온라인 환경을 포괄하는 추가적인 보안 레이어가 필요합니다. 이 래퍼는 기업의 모든 자산을 파악할 필요가 없습니다. 누가 주소로 진입하는지 감시하고 최신 위협을 인식하는 과정이 철저해야 합니다.

가장 많이 언급되는 방법은 아니지만 매우 중요합니다. Equifax는 자사 시스템에서 취약점을 발견했다는 점을 공개적으로 알렸습니다. 취약점이 있는 모든 시스템에 패치를 적용했다고 생각했지만 하나를 빠뜨렸습니다. 그로 인해 엄청난 사건이 벌어진 것입니다. 공격자는 마침내 그 취약점을 찾아서 악용했습니다.

여기서 얻는 교훈은 취약한 시스템을 식별하여 가능한 빨리 문제를 해결하는 데 전념을 기울이더라도 무언가를 놓칠 수 있다는 점입니다. 오류가 생길 가능성은 여전히 있습니다. 자산 명세표에서 누락됐거나 심지어 파악조차 안 된 취약한 시스템이 네트워크에 존재할 수 있습니다. 그리고 패치는 즉시 적용되지 않으며 소프트웨어를 실행하는 데 몇 분이나 며칠이 걸릴 수 있습니다. 공격자는 최신 위협에 능통하기 때문에 패치가 적용되는 동안에도 침입할 수 있습니다.

이러한 모든 사례에서 2차 보안 레이어는 무언가를 놓쳤을 때에도 일정 부분은 보호되도록 추가적인 보장 기능을 제공합니다. Equifax는 문제를 해결했다고 생각했지만 틀렸습니다.

고객 데이터 유출 공격의 표적이 되기 쉬운 다른 기업에는 어떤 곳이 있을까요?

우선, 사이버 공격의 영향권에 속하지 않는 기업은 없으므로 온라인 비즈니스를 운영하고 고객 데이터를 보관하는 모든 기업은 공격에 노출되어 있습니다. 사이버 범죄자는 잠재적으로 가치 높은 데이터를 보유한 기업을 노릴 것입니다. 다른 신용 조사 기관, 주요 신용카드 회사는 물론 최근 유출 사태 이후에 전면적으로 광고를 확대하고 고객을 유치한 신원 도용 방어 회사 LifeLock 같은 기업들이 해당됩니다. Equifax에서는 유출 사태가 발생했지만, 다른 기업들은 철저한 보안을 배치했기를 바랍니다.

유명한 은행 강도와 마찬가지인 사이버 범죄자는 돈이 있는 곳이라면 어디라도 공격을 감행할 것이지만, 주요 금융 서비스 기관은 철저한 보안을 유지하기 위해 대규모 투자를 단행하며 기업 자산, 운영, 가치 높은 기업·개인 고객을 보호하고 있습니다. 일반적인 유통업체는 일정 수준의 보안으로 혜택을 누립니다.

더 취약한 기업은 방대한 소비자 데이터를 보유하고 있지만, 이윤 폭이 좁고 자금 조달 능력이 떨어지거나 구현 가능한 보호 기능의 추가 배치에 아직 동기 부여가 되지 않은 대형 유통업체 같은 기업입니다. 보호할 데이터의 가치와 경제적 여력이 되는 보안 사이에 간극이 존재합니다. 이러한 기업은 Equifax 유출 사태와 이미 피해를 당한 고객 관련 데이터의 양을 고려하여 보안 체계와 전략을 재평가해야 합니다.

정부 기관 중에서는 아마도 IRS가 최대 공격 표적일 것입니다. 모든 사람의 정보를 보유하고 있으며 해커의 구미를 당기는 상당한 양의 정보를 보유하고 있기 때문입니다. IRS는 데이터 보호와 신원 도용 탐지를 위해 매우 견고한 보안을 갖추고 있습니다. 하지만 IRS조차도 완벽하지는 않았습니다. 메디케어(Medicare)와 같이 여러 혜택을 지원하는 기관은 사기 방어보다 데이터 보호에 더 뛰어난 것처럼 보이지만, 사기 시도는 다양한 형태를 취하므로 문제가 복잡해집니다.

어려운 위치에 처한 분야는 의료 업계입니다. 의료 기관은 전자 건강 기록의 임상 정보 외에 엄청난 양의 개인 정보를 보유하고 있습니다. 이들은 HIPAA로부터 환자의 개인 데이터를 보호하도록 강한 압박을 받고 있습니다. 그러나 임상 비용과 기타 비용 간에 근본적인 마찰이 존재하기 때문에 개인 데이터 보호에 애를 먹고 있습니다. 의사와 의료 기관은 서로 간의 연결 고리로서 환자의 치료 결과에 집중하므로 정보 또는 보안 기술보다 임상 기술에 비용을 지출하는 것을 선호합니다. 대표적인 의료 센터의 CIO와 흥미로운 대화를 나눈 적이 있는데 그때 CIO는 이렇게 말했습니다. "저의 가장 큰 걱정거리는 누군가는 아픈 몸을 이끌고 우리 병원에 와서 건강한 상태로 퇴원하지만, 다른 누군가는 자신의 데이터와 관련하여 발생한 보안 사고 때문에 입원할 때보다 더 안좋은 상태로 떠나게 되는 것입니다."

사이버 범죄를 마치 일종의 비즈니스처럼 말씀하시네요.

정확한 표현입니다. 사이버 범죄는 다른 비즈니스 모델을 기반으로 하는 큰 사업입니다. 국가 차원의 지원을 받는 다수의 공격을 비롯하여 일부 사이버 범죄는 산업 스파이에 해당합니다. 공격자는 기술 데이터, 영업 비밀 또는 기업 및 정부 기관의 기타 독점 정보를 탈취하려고 합니다. 다른 공격은 서버, 네트워크, 웹사이트를 다운시켜 비즈니스 운영을 중단시키는 것이 목적입니다. 이러한 공격은 주로 "핵티비스트"나 악의적인 사용자가 벌이는 활동입니다.

오늘 우리가 논의하는 사이버 범죄는 다수의 개별 소비자에 관한 데이터 탈취로 시작하여 경제적 이득을 얻는 것으로 끝납니다. 공격을 받은 기업의 비즈니스 운영 및 평판에 미치는 피해는 부산물일 따름입니다. 이런 유형의 사이버 범죄 비즈니스는 고유의 시장과 공급망을 보유하고 있습니다.
  • 해커가 기업 시스템의 취약점을 찾아서 악용하는 방식으로 방대한 양의 개인 관련 데이터를 탈취하여 판매합니다.
  • 브로커가 데이터를 대량 구매하고 인력 및 소프트웨어를 투입하여 소비자 인증 정보의 테스트 및 검증 작업이나 신원 도용에 필요한 데이터의 완성 작업을 진행합니다. 브로커는 기본적으로 데이터를 선별하여 데이터의 가치를 높입니다.
  • 전문 사기꾼이 검증이 완료된 데이터를 구매하고 상품 절도, 금융 사기, 정부 보조금, 세금 사기 등 다양한 채널을 통해 현금화합니다.
공급망은 거래 툴을 만드는 소프트웨어 개발자, 해커의 고용 인력 등 전체 생태계에 의해 지원됩니다. 탈취한 데이터와 상품을 현금화하고 해커 활동을 은폐하는 서비스가 존재합니다. 그리고 이 생태계에서는 비트코인을 통화로 사용합니다.

또한 사이버 범죄는 연중무휴 24시간 운영되는 비즈니스라는 점을 유념해야 합니다. 해커는 쉬지 않고 활동을 벌이지만 두 가지 다른 템포로 움직입니다. 특정 기업을 표적으로 삼고 새로 발견한 취약점을 패치가 적용되기 전에 악용하려고 시도합니다. 마치 작살로 대어를 노리는 어부와 같습니다. 하지만 다른 한편으로는 넓은 그물을 던져놓고 인내심있게 물고기를 기다리는 것처럼 막후에서 지속적으로 활동하면서 불완전한 패치가 적용된 이전 취약점을 노립니다.

Equifax 데이터 유출 사태의 여파로 CEO, CIO, CSO, 비즈니스 경영진에게 가장 중요한 핵심 포인트는 적을 파악하는 것입니다. 독립적으로 활동하는 개별 해커는 어렵겠지만 조직화되고 리소스를 갖춘 사이버 범죄자는 상대적으로 쉽게 파악할 수 있습니다. 개인과 개인에게 서비스를 제공하는 기관을 탈취하는 것이 사이버 범죄자의 목적입니다. 그리고 사이버 범죄는 성장 산업입니다. 사이버 범죄자의 역량, 리소스 동원력 또는 가치 높은 데이터를 탈취할 위치·시기·방법에 관한 상상력을 과소 평가하면 안 됩니다.

Related CIO Content