1년간 지속되는 무료 고객 신용 감시 서비스와 사과만 남은 사고 발표
기업으로서는 부담 없고, 개개인만 피해 보는 상황...정부가 주도해 변화시켜야
[보안뉴스 문가용 기자] 지난 주 목요일 미국의 대형 신용정보사인 에퀴팩스(Equifax)에서 1억 4천 3백만 명의 민감한 정보가 유출되는 사고가 터진 바 있습니다. 이미 ‘역사상 가장 파장이 큰 사고’로 평가받고 있으며, 신용관리 기관에 대한 보안 관리가 더 엄격하게 이뤄져야 한다는 각계각층의 목소리가 나오고 있다.
[이미지 = iclickart]
사건을 다시 짚어보면 지난 목요일 에퀴팩스는 1) 누군가 자사 웹사이트 애플리케이션을 통해 침입했고 2) 이 공격자는 이름, 사회보장번호, 생년월일, 주소 등이 저장된 파일에 접근하는 데 성공했고, 3) 피해자의 수는 미국 전체 인구의 40%에 해당한다고 발표했다. 해당 공격은 올해 5월 중순부터 7월까지 이어진 것으로 보이며, 209,000명 고객들의 운전면허 번호와 신용카드 데이터가 추가 유출된 것도 드러났다.
에퀴팩스는 “아직 핵심 고객 및 상업 신용과 관련된 데이터베이스가 침해된 흔적은 발견할 수 없었다”고 덧붙였다. 하지만 구체적으로 어떤 부분이 잘못되었거나 공격을 당했는지는 밝히지 않고 있는데, 이는 어느 새 ‘유출 사고에 관한 발표’의 관례로 자리 잡고 있다. 다만 의례히 그렇듯 ‘피해를 본 고객들에게 1년짜리 무료 신용 감시 서비스를 제공한다’고 밝혔다.
에퀴팩스의 의장이자 CEO인 리차드 스미스(Richard Smith)는 “에퀴팩스라는 기업에 있어서 무척 실상스러운 사건이 아닐 수 없다”며 “회사의 정체성과 본질 자체에 타격을 가한 공격”이라고 설명했다. “이번 사건으로 걱정과 염려를 하게 될 고객 및 파트너들에게 깊은 사과의 뜻을 전합니다.” 사건이 보도된 후 에퀴팩스의 주가는 15%나 떨어졌지만 현재는 조금씩 회복 추세다.
한편 보안 업계는 거세게 비판하고 있다. “미국 성인의 절반 이상이 이번 사고로 피해자가 됐습니다. 에퀴팩스의 고객이라면 완전히 인터넷을 끊고 주류 시스템에서 떨어져 생활하던가, 돈이나 신용카드를 당분간 전혀 쓰지 않고 살아야만 안심할 수 있을 겁니다. 현대 생활을 가능하게 하는 모든 정보가 사실상 다 나갔다고 볼 수 있습니다.” 센트리페탈 네트웍스(Centripetal Networks)의 보안 책임자인 제스 파넬(Jess Parnell)의 설명이다.
보안 전문 업체인 바로니스(Varonis)의 브라이언 베치(Brian Vecci)는 “은행, 병원, 모바일 폰 제조업체, 보험사, 통신사 등에서 개인 신원을 확인하기 위해 활용되는 모든 정보가 이번에 한 번에 유출됐다”며 “이제 온라인 상에서 신원을 위장하는 게 한층 더 쉬워졌다”고 말한다. “신용 관리 업체는 가장 엄격한 관리를 받아야 마땅합니다. 현대 사회에서 가장 치명적일 수 있는 정보를 전부 보관하고 있는 곳이니까요. 이번 에퀴팩스 정보 유출 사건 덕분에 몇 년 동안은 관련 사고가 계속해서 발생하리라고 봅니다.”
또 다른 보안 업체 서프왓치랩스(SurfWatch Labs)의 보안 전략가인 아담 메이어(Adam Meyer) 역시 신용과 관련된 신원도난 사건이 앞으로 계속해서 파생될 것이라는 의견이다. “특정 거래를 성사시키기 전 신원을 증명하기 위해 제공해야 했던 정보들이 있습니다. 사용자 자신만 아는 것들이죠. 예를 들면 과거 집 주소나 최근 대출 현황 등이 바로 그것입니다. 굉장히 민감한 정보이면서 해커들에겐 반대로 매우 유용한 정보인데요, 정부 기관 등은 고용할 때나 공공 사업을 진행할 때 이러한 방식으로 신원 조회를 합니다. 이번 에퀴팩스 유출 사건으로 인해 이러한 방식 자체가 힘을 잃게 되었습니다.”
한편 에퀴팩스 해킹 사건이 어떤 과정으로 발생했는지에 대한 추측도 난무하다. 하지만 대부분은 기본적인 애플리케이션 보안 수칙을 지키지 않은 것에서 원인을 찾는다. (에퀴팩스 스스로도 웹사이트 애플리케이션으로부터 공격이 들어왔다고 밝혔다.) 웹 애플리케이션 보안은 수년 전부터 보안 업계로부터 강조되어온 것이며, 웹 애플리케이션은 해커들의 주요 공격 통로로 활용되어 왔다.
웹 애플리케이션 보안을 꾸준히 강조해온 조직 중 대표적인 건 OWASP과 SANS 인스티튜트가 있다. 이러한 조직들의 노력으로 웹 애플리케이션 보안을 강화할 수 있는 실천수칙들도 다양하게 개발되어 왔다.
에퀴팩스 유출 사고는 ‘유명한 대기업이라고 해서 보안 수칙을 잘 지키는 건 아니’라는 또 다른 사례다. 2015년에는 같은 업종에 있는 대형 신용 관리 회사인 익스피리언(Experian)의 서버가 공격을 당해 1천 5백만 명의 사회보장번호, 생년월일 등이 유출된 바 있다. 하지만 일각에서는 에퀴팩스 사건이 익스피리언보다 10배 이상의 피해자가 발생한 사건이라며 “이 정도 피해를 사회에 끼쳤으면 그에 상응하는 대가를 치루는 것은 물론 사업을 접도록 해야 한다”고 주장하기도 한다.
이런 의견을 제시하는 사람 중 하나가 보안 업체 스트레티직 사이버 벤처스(Strategic Cyber Ventures)의 COO인 행크 토마스(Hank Thomas)다. “무슨 유사 정부 기관이라도 되는 것처럼 거들먹거리면서 수익 활동을 벌이더니, 그에 맞는 책임을 전혀 지지 않으려고 하는 기업이 계속 남아있어야 할 이유를 모르겠습니다. 개개인의 허락 없이 신용 조사 기관이 우리의 정보를 가져가려면 가장 철저한 보안 방어책을 필수로 갖추고 있도록 강제해야 합니다.”
보안 업체 센티넬원(SentinelOne)의 CSS인 제레미야 그로스만(Jeremiah Grossman)은 “이러한 사건의 끝에서 결국 피해를 보는 건 소비자일 뿐”이라고 지적했다. “개개인이 다 알지도, 허용하지도 않은 범위에서 개인정보가 유통되고 있고, 그로 인해 이런 기업들만 배를 불리는데, 사고가 나면 이상하게 일반 개개인들에게만 피해가 돌아가죠. 공평하지 않은 시스템입니다.”
제레미야는 설명을 이어갔다. “그러니 기업들로서는 보안에 돈을 더 쓸 이유가 없습니다. 위험부담이 전부 고객들에게 돌아가기 때문입니다. 벌금을 치명적으로 내길 하나, 도산의 위기에 처하길 하나... 그냥 사과하고 1년 신용 감시 서비스만 제공하면 끝이에요. 이들이 만드는 1년 수익에 흠집도 안 가는 수준이죠. 이 상황을 올바르게 다잡기 위해서는 정부가 주도해 사회 규범을 바꿔야 합니다. 사건 발표에 있어야 할 내용들을 규정으로 정하고, 벌금도 높여서 기업들이 보안에 투자할 수밖에 없게끔 만들어야 합니다. 특히 이렇게 민감한 정보를 가지고 있는 곳이라면요.”
[국제부 문가용 기자(globoan@boannews.com)]
기업으로서는 부담 없고, 개개인만 피해 보는 상황...정부가 주도해 변화시켜야
[보안뉴스 문가용 기자] 지난 주 목요일 미국의 대형 신용정보사인 에퀴팩스(Equifax)에서 1억 4천 3백만 명의 민감한 정보가 유출되는 사고가 터진 바 있습니다. 이미 ‘역사상 가장 파장이 큰 사고’로 평가받고 있으며, 신용관리 기관에 대한 보안 관리가 더 엄격하게 이뤄져야 한다는 각계각층의 목소리가 나오고 있다.
[이미지 = iclickart]
사건을 다시 짚어보면 지난 목요일 에퀴팩스는 1) 누군가 자사 웹사이트 애플리케이션을 통해 침입했고 2) 이 공격자는 이름, 사회보장번호, 생년월일, 주소 등이 저장된 파일에 접근하는 데 성공했고, 3) 피해자의 수는 미국 전체 인구의 40%에 해당한다고 발표했다. 해당 공격은 올해 5월 중순부터 7월까지 이어진 것으로 보이며, 209,000명 고객들의 운전면허 번호와 신용카드 데이터가 추가 유출된 것도 드러났다.
에퀴팩스는 “아직 핵심 고객 및 상업 신용과 관련된 데이터베이스가 침해된 흔적은 발견할 수 없었다”고 덧붙였다. 하지만 구체적으로 어떤 부분이 잘못되었거나 공격을 당했는지는 밝히지 않고 있는데, 이는 어느 새 ‘유출 사고에 관한 발표’의 관례로 자리 잡고 있다. 다만 의례히 그렇듯 ‘피해를 본 고객들에게 1년짜리 무료 신용 감시 서비스를 제공한다’고 밝혔다.
에퀴팩스의 의장이자 CEO인 리차드 스미스(Richard Smith)는 “에퀴팩스라는 기업에 있어서 무척 실상스러운 사건이 아닐 수 없다”며 “회사의 정체성과 본질 자체에 타격을 가한 공격”이라고 설명했다. “이번 사건으로 걱정과 염려를 하게 될 고객 및 파트너들에게 깊은 사과의 뜻을 전합니다.” 사건이 보도된 후 에퀴팩스의 주가는 15%나 떨어졌지만 현재는 조금씩 회복 추세다.
한편 보안 업계는 거세게 비판하고 있다. “미국 성인의 절반 이상이 이번 사고로 피해자가 됐습니다. 에퀴팩스의 고객이라면 완전히 인터넷을 끊고 주류 시스템에서 떨어져 생활하던가, 돈이나 신용카드를 당분간 전혀 쓰지 않고 살아야만 안심할 수 있을 겁니다. 현대 생활을 가능하게 하는 모든 정보가 사실상 다 나갔다고 볼 수 있습니다.” 센트리페탈 네트웍스(Centripetal Networks)의 보안 책임자인 제스 파넬(Jess Parnell)의 설명이다.
보안 전문 업체인 바로니스(Varonis)의 브라이언 베치(Brian Vecci)는 “은행, 병원, 모바일 폰 제조업체, 보험사, 통신사 등에서 개인 신원을 확인하기 위해 활용되는 모든 정보가 이번에 한 번에 유출됐다”며 “이제 온라인 상에서 신원을 위장하는 게 한층 더 쉬워졌다”고 말한다. “신용 관리 업체는 가장 엄격한 관리를 받아야 마땅합니다. 현대 사회에서 가장 치명적일 수 있는 정보를 전부 보관하고 있는 곳이니까요. 이번 에퀴팩스 정보 유출 사건 덕분에 몇 년 동안은 관련 사고가 계속해서 발생하리라고 봅니다.”
또 다른 보안 업체 서프왓치랩스(SurfWatch Labs)의 보안 전략가인 아담 메이어(Adam Meyer) 역시 신용과 관련된 신원도난 사건이 앞으로 계속해서 파생될 것이라는 의견이다. “특정 거래를 성사시키기 전 신원을 증명하기 위해 제공해야 했던 정보들이 있습니다. 사용자 자신만 아는 것들이죠. 예를 들면 과거 집 주소나 최근 대출 현황 등이 바로 그것입니다. 굉장히 민감한 정보이면서 해커들에겐 반대로 매우 유용한 정보인데요, 정부 기관 등은 고용할 때나 공공 사업을 진행할 때 이러한 방식으로 신원 조회를 합니다. 이번 에퀴팩스 유출 사건으로 인해 이러한 방식 자체가 힘을 잃게 되었습니다.”
한편 에퀴팩스 해킹 사건이 어떤 과정으로 발생했는지에 대한 추측도 난무하다. 하지만 대부분은 기본적인 애플리케이션 보안 수칙을 지키지 않은 것에서 원인을 찾는다. (에퀴팩스 스스로도 웹사이트 애플리케이션으로부터 공격이 들어왔다고 밝혔다.) 웹 애플리케이션 보안은 수년 전부터 보안 업계로부터 강조되어온 것이며, 웹 애플리케이션은 해커들의 주요 공격 통로로 활용되어 왔다.
웹 애플리케이션 보안을 꾸준히 강조해온 조직 중 대표적인 건 OWASP과 SANS 인스티튜트가 있다. 이러한 조직들의 노력으로 웹 애플리케이션 보안을 강화할 수 있는 실천수칙들도 다양하게 개발되어 왔다.
에퀴팩스 유출 사고는 ‘유명한 대기업이라고 해서 보안 수칙을 잘 지키는 건 아니’라는 또 다른 사례다. 2015년에는 같은 업종에 있는 대형 신용 관리 회사인 익스피리언(Experian)의 서버가 공격을 당해 1천 5백만 명의 사회보장번호, 생년월일 등이 유출된 바 있다. 하지만 일각에서는 에퀴팩스 사건이 익스피리언보다 10배 이상의 피해자가 발생한 사건이라며 “이 정도 피해를 사회에 끼쳤으면 그에 상응하는 대가를 치루는 것은 물론 사업을 접도록 해야 한다”고 주장하기도 한다.
이런 의견을 제시하는 사람 중 하나가 보안 업체 스트레티직 사이버 벤처스(Strategic Cyber Ventures)의 COO인 행크 토마스(Hank Thomas)다. “무슨 유사 정부 기관이라도 되는 것처럼 거들먹거리면서 수익 활동을 벌이더니, 그에 맞는 책임을 전혀 지지 않으려고 하는 기업이 계속 남아있어야 할 이유를 모르겠습니다. 개개인의 허락 없이 신용 조사 기관이 우리의 정보를 가져가려면 가장 철저한 보안 방어책을 필수로 갖추고 있도록 강제해야 합니다.”
보안 업체 센티넬원(SentinelOne)의 CSS인 제레미야 그로스만(Jeremiah Grossman)은 “이러한 사건의 끝에서 결국 피해를 보는 건 소비자일 뿐”이라고 지적했다. “개개인이 다 알지도, 허용하지도 않은 범위에서 개인정보가 유통되고 있고, 그로 인해 이런 기업들만 배를 불리는데, 사고가 나면 이상하게 일반 개개인들에게만 피해가 돌아가죠. 공평하지 않은 시스템입니다.”
제레미야는 설명을 이어갔다. “그러니 기업들로서는 보안에 돈을 더 쓸 이유가 없습니다. 위험부담이 전부 고객들에게 돌아가기 때문입니다. 벌금을 치명적으로 내길 하나, 도산의 위기에 처하길 하나... 그냥 사과하고 1년 신용 감시 서비스만 제공하면 끝이에요. 이들이 만드는 1년 수익에 흠집도 안 가는 수준이죠. 이 상황을 올바르게 다잡기 위해서는 정부가 주도해 사회 규범을 바꿔야 합니다. 사건 발표에 있어야 할 내용들을 규정으로 정하고, 벌금도 높여서 기업들이 보안에 투자할 수밖에 없게끔 만들어야 합니다. 특히 이렇게 민감한 정보를 가지고 있는 곳이라면요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
