2014년은 정말 최악의 해였나? 숫자로 되돌아보는 한 해
일반 사용자의 보안 의식 가장 취약한 것으로 드러나
[보안뉴스 문가용] 2014년이 몇 시간 남지 않았다. 해외의 정보 업계에서는 2014년을 역사상 최고의 정보 유출 사건이 있던 해라고 부르고 있으며, 여러 기관에서도 관련 보고서들을 내고 있다. CVE 네이밍 체계를 바꿔야 한다는 소리가 나오고, 다시 냉전 체제가 가동될 것만 같은 목소리들이 넘치고 넘치다 못해 연말엔 사용자들의 위기 의식과 보안 의식이 마비되고 있다는 통계까지 나오고 있는 걸 보면 확실히 사건이 많긴 많았다는 걸 알 수 있는데, 이것들은 다 수군수군 거리는 장터 입소문만 같다. 형체가 없다는 것이다. 다들 보안, 보안 하는데 도대체 정보유출 사건이 실제로 얼마나 일어난 걸까? 가장 사건이 많이 일어나는 미국의 한 해를 크게 5분야로 나눠 정리해 보았다. 3부를 위해 소니 픽처스는 통계에서 제외했다.
1. 금융계
총 41번의 사건으로 1,182,492건의 정보 유출이 발생했다. 평균 한 건당 28,841 건의 정보가 유출된 것이며 전체 유출 사고의 6%를 차지한다. 유출된 정보의 양으로 치면 전체의 1.5%를 차지한다. 금융계는 예로부터 해커들이 가장 많이 노리는 분야였는데 의외로 적은 수치다. 그만큼 금융계의 보안체계가 강력하다는 뜻도 되고 숱한 전문가들이 “우회 공격이 더 활발해졌다”고 분석한 것이 생각나기도 하는 대목이다.
* JP모건 체이스(JPMorgan Chase) : 1,000,000건
* 토탈뱅크(TotalBank) : 72,500건
* 스탠다드 페더를 크레딧 유니언(Standard Federal Credit Union) : 18,000건
* 노던 트러스트(Northern Trust) : 10,172건
* 팀큰 컴파니(Timken Company) : 4,987건
2. 일반 기업
총 218번의 사건으로 64,668,672건의 정보 유출이 발생했다. 평균 한 건당 296,618 건의 정보가 유출된 것이며 전체 유출 사고의 32.1%를 차지한다. 유출된 정보의 양으로 치면 전체의 79.5%라는 압도적인 부분을 차지하고 있다. 원래 ‘일반’이라는 개념 자체가 포괄적일 수밖에 없지만, 그럼에도 한번 침입에 유출되는 정보량이나 전체 유출 정보량이 다른 항목과 비교해서 너무나 많다. 일반 사용자의 보안 인식이 드러나는 지표일 수밖에 없다.
* 홈데포(Home Depot) : 56,000,000건
* 마이클즈 스토어즈(Michael’s Stores) : 2,600,000건
* 네이만 마커스(Neiman Marcus) : 1,100,000건
* 바이에이터(Viator) : 880,000건
* 굿윌(Good Will) : 868,000건
3. 교육
총 52번의 사건으로 1,233,222건의 정보 유출이 발생했다. 평균 한 건당 23,716 건의 정보가 유출된 것이며 전체 유출 사고의 7.7%를 차지한다. 유출된 정보의 양으로 치면 전체의 1.5%를 차지한다. 전부 최대 10만 단위에서 그쳐 비교적 선방한 것으로 평가되는 교육 분야의 유출 사건은 대학기관에서 주로 발생했으며, 주로 지적 재산을 노린 해커들이나 우회 공격을 꾀한 해커들의 목표가 된 듯이 보인다. 대학 단위에서의 연구를 통해 생성된 지적 재산은 아직 해커들이 집중해서 노릴 만큼 구미를 당기지는 않는다는 것인데, 이는 기업들의 ‘상품화’ 과정 없는 정보는 해커들에게 아직까지 무용지물이라는 의미라고 분석된다. 하지만 월가의 어려운 M&A 및 주식 시장의 고급 정보도 노리고 악용할 줄 아는 해커들이 2014년 말에 발견된 만큼 대학에서 막 생성된 날 것의 지식을 활용할 줄 아는 해커가 2015년에 등장하지 말란 법도 없으니 긴장을 늦출 수는 없을 것이다.
* 버틀러 대학 : 163,000건
* 노스 다코타 대학 시스템 : 291,465건
* 메릴랜드 대학 : 309,079건
* 인디아나 대학 : 146,000건
* 버지니아 웨슬리안 대학 : 59,000건
4. 정부/ 국방
총 80번의 사건으로 6,473,879건의 정보 유출이 발생했다. 평균 한 건당 80,923 건의 정보가 유출된 것이며 전체 유출 사고의 11.8%를 차지한다. 유출된 정보의 양으로 치면 전체의 8.0%를 차지한다. 미국은 주마다 하나의 작은 정부와 같은 역할을 하기 때문인지 중앙 정부의 시스템보다는 주 정부 기관이 해커들의 인기 있는 공격 목표가 되었다. 한편 대중이 느끼는 충격은 실제 피해 규모와 상관없어 보이기도 하는데, 아무래도 기관마다 가지고 있는 중요도가 판이하기 때문인 것도 같다. 그런 의미에서 가장 큰 충격을 주었던 건 우체국 서비스와 백악관의 침입 사태였다.
* 텍사스 의료 및 인간 서비스(Texas Health and Human Services) : 2,000,000건
* 미국 국세청 : 1,400,000건
* 공중 보건 및 인간 서비스(Department of Public Health and Human Services) : 1,062,509건
* 오리곤고용부(Oregon Employment Department) : 851,322건
* 미국 우체국 : 800,000건
5. 의료 건강
총 288건의 사건으로 7,787,832건의 정보 유출이 발생했다. 평균 한 건당 27,041 건의 정보가 유출된 것이며 전체 유출 사고에서 가장 많은 42.4%를 차지한다. 유출된 정보의 양으로 치면 그러나 전체의 9.6%에 불과하다. 의료계 보안이 취약하다는 분석이 일견 맞기도 하고 틀리기도 한 것으로 보이는 내용이다. 확실히 2014년 해커들은 의료계를 주 타깃으로 삼은 것이 틀림없다. 의료기기가 가지고 있는 취약점과 의료산업에 종사하는 이들의 상대적으로 낮은 보안성이 주로 원인이었다. 하지만 통계에 비해 실제 해킹 성공률은 많이 낮은 것이 의외다.
* 커뮤니티 보건 시스템(테노바) : 4,500,000건
* 성 요셉 건강 시스템(St. Joseph Health System) : 405,000건
* 터치스톤 메디컬 이미징(Touchstone Medical Imaging, LLC) : 307,528건
* 인디언 건강 서비스(Indian Health Service) – 메릴랜드 : 214,000건
* 서덜랜드 의료건강 솔루션(Sutherland Healthcare Solutions) : 342,197건
하지만 이 모든 사건을 잊게 만들 수 있는 엄청난 단일 사건이 12월 느지막에 터졌으니 이는 3편에서 다루기로 한다.
[국제부 문가용 기자(globoan@boannews.com)]