작년의 침해사고로 잃은 정보, 끝까지 추적해 회수 성공했으나
애초에 그 많은 정보를 왜 보관? 데이터 공급망 검토 새롭게 할 필요 있어
[보안뉴스 문가용 기자] 세계적인 선박 회사인 클락슨 PLC(Clarkson PLC)가 작년 5월과 11월 사이에 발생한 데이터 침해 사고에 대해 새로운 사실을 발표했다. 하지만 전문가들은 이 발표를 듣고 전혀 새로운 것에 놀라고 있다.
[이미지 = iclickart]
먼저 클락슨은 지난 11월 어떤 공격자들이 단 한 개의 사용자 계정을 통해 시스템 침투에 성공했다는 사실을 공표했다. 이로써 공격자들은 개인정보를 빼돌렸고, 이를 빌미로 회사를 협박하며 돈을 요구했다고 설명하기도 했다. 당시 클락슨은 공격자들과의 협상을 거부했으며, 그러므로 공격자들이 조만간 정보를 공개하거나 악용할 것이 예상됐다. 클락슨의 CEO 앤디 케이스(Andi Case)는 고객들에게 사과의 말을 전달했다.
하지만 최근 발표를 통해 클락슨은 사법 기관 및 포렌식 전문가들의 도움을 빌려 공격자들을 추적하고 도난당한 데이터를 전부 회수하는 데 성공했다고 주장했다. 하지만 공격자들이나 다른 관여자들이 해당 데이터를 복제했었는지에 대해서는 따로 언급하지 않았다. 대신 “아이덴티티 도난이나 사기 등에 대한 경계를 늦추지 말라”고 권고했다.
즉 이번 발표로 클락슨은 ‘우리 회사는 없어진 데이터에 대해 할 만큼 했다’는 걸 고객들에게 알리는 데 성공하긴 했지만, 피해를 입은 고객들의 완전한 안전을 보장하지는 못했다고 볼 수 있다. 또한 발표를 통해 클락슨이 개인정보를 얼마나 많이 저장하고 있었는지도 알려 보안 전문가들을 경악케 했다.
“침해 사건으로 피해를 입은 고객들마다 사정이 조금씩 다르긴 하지만 도난당한 개인정보에는 다음과 같은 것들이 포함되어 있을 수 있습니다. 1) 생년월일, 2) 연락처, 3) 범죄 이력, 4) 인종, 5) 의료 정보, 6) 종교, 7) 로그인 정보, 8) 서명, 9) 세금 관련 정보, 10) 보험 정보, 11) 형식을 갖추지 않은 참조 정보, 12) 국민 보험 번호, 13) 여권 정보, 14) 사회보장 번호, 15) 비자 및 여행 정보, 16) 이력서, 17) 운전자 면호 및 차량, 18) 선원 정보, 19) 은행 계좌, 20) 지불카드 정보, 21) 금융 관련 정보, 22) 주소, 23) 연령 관련 정보 등입니다.” 클락슨의 실제 발표 중 일부 내용이다.
그러면서 클락슨은 이러한 방대한 개인정보 관련 데이터에 대한 암호화나 해시 처리 여부를 밝히지 않았다. 이러한 데이터가 공격자의 손에 넘어가 어디론가 복제되었다고 한다면 아이덴티티 도난, 은행 사기, 협박 등의 다양한 범죄 활동이 가능하게 된다.
보안 업체 타이코틱(Thycotic)의 최고 보안 과학자인 조셉 카슨(Joseph Carson)은 “계정 하나를 통해 이렇게나 많은 민감 정보로 접근할 수 있었다는 것 자체가 너무나 충격적”이라고 밝혔다. 그러면서 “GDPR 위원회가 이 사건을 면밀히 검토 중에 있을 것으로 보인다”고 말했다. “만약 GDPR 규정을 위반했다는 판단이 내려진다면, 어마어마한 벌금형을 받을 것으로 예상됩니다.”
보안 업체 데미스토(Demisto)의 창립자 리시 바가바(Rishi Bhargava)는 외신과의 인터뷰를 통해 “클락슨 측은 일단 정보 유출 사고에 대한 고지는 충실하고 투명하게 한 것으로 보인다”고 말했다. 다만 “진짜 문제는 클락슨이 이렇게까지나 방대한 개인정보를 애초부터 수집할 필요가 있었느냐는 것”이라고 지적했다. “GDPR로 인해 이제 기업들은 데이터 공급망을 다시 한 번 검토해야 할 필요가 생겼습니다. 데이터를 처리하고, 사용자의 동의를 얻고, 꼭 필요한 데이터인지를 엄격하게 확인하고, 그런 확인을 통과한 데이터만 저장하는 등의 노력을 해야 합니다.”
또한 데이터를 추적해 회수했다는 건 공격자의 정체를 파악했을 가능성이 높다는 뜻도 된다는 지적도 나왔다. 사법 기관과 함께 작업을 했다니 공격자가 체포되었거나 수배 중일 가능성도 낮지 않다. “그러나 이러한 사실은 추후 사법 기관의 발표를 통해 알게 될 것이니 딱히 더 궁금해 할 필요가 없습니다. 오히려 권한이 높은 계정에 대한 보호 조치가 얼마나 중요한지 이번 사건을 통해 기업들이 체감하기를 바랍니다.”
보안 업체 언탱글(Untangle)의 CTO인 티무르 코발레프(Timur Kovalev)는 또 다른 외신과의 인터뷰를 통해 “이런 사건은 매우 흔하게 발생한다”며 “권한이 높은 계정에는 다중 인증 시스템을 적용하는 게 첫 번째 방지 대책”이라고 설명했다. 또한 해당 계정에 대한 접근 상황(접속 위치, 장비, 시간 등)도 철저하게 통제하고, 불필요한 정보를 처음부터 저장하지 않는 것도 중요하다고 덧붙였다.
클락슨은 “이번 사건으로 권한이 높은 계정을 보호하는 게 얼마나 중요한지 깨달았다”며 “비밀번호만으로는 보호할 수 없다는 것을 알았으니, 보다 탄탄한 보안 장치를 마련하겠다”고 말했다. 또한 “한 계정만으로 방대한 분량의 데이터에 접근하지 못하도록 시스템을 개편하겠다”고도 말했다.
아직 영국 업체인 클락슨에 대한 EU GDPR 위원회의 결정은 내려지지 않은 상태다.
3줄 요약
1. 영국의 선박 회사, 작년 침해 사고에 대한 새로운 내용 발표. 내용은 “정보 회수 성공.”
2. 하지만 애초부터 그렇게나 많은 정보를 저장할 필요 있었느냐 의문 제기되고 있음.
3. 게다가 한 계정으로 그 많은 정보에 접근 가능한 시스템이었다는 것도 충격적.
[국제부 문가용 기자(globoan@boannews.com)]
애초에 그 많은 정보를 왜 보관? 데이터 공급망 검토 새롭게 할 필요 있어
[보안뉴스 문가용 기자] 세계적인 선박 회사인 클락슨 PLC(Clarkson PLC)가 작년 5월과 11월 사이에 발생한 데이터 침해 사고에 대해 새로운 사실을 발표했다. 하지만 전문가들은 이 발표를 듣고 전혀 새로운 것에 놀라고 있다.
[이미지 = iclickart]
먼저 클락슨은 지난 11월 어떤 공격자들이 단 한 개의 사용자 계정을 통해 시스템 침투에 성공했다는 사실을 공표했다. 이로써 공격자들은 개인정보를 빼돌렸고, 이를 빌미로 회사를 협박하며 돈을 요구했다고 설명하기도 했다. 당시 클락슨은 공격자들과의 협상을 거부했으며, 그러므로 공격자들이 조만간 정보를 공개하거나 악용할 것이 예상됐다. 클락슨의 CEO 앤디 케이스(Andi Case)는 고객들에게 사과의 말을 전달했다.
하지만 최근 발표를 통해 클락슨은 사법 기관 및 포렌식 전문가들의 도움을 빌려 공격자들을 추적하고 도난당한 데이터를 전부 회수하는 데 성공했다고 주장했다. 하지만 공격자들이나 다른 관여자들이 해당 데이터를 복제했었는지에 대해서는 따로 언급하지 않았다. 대신 “아이덴티티 도난이나 사기 등에 대한 경계를 늦추지 말라”고 권고했다.
즉 이번 발표로 클락슨은 ‘우리 회사는 없어진 데이터에 대해 할 만큼 했다’는 걸 고객들에게 알리는 데 성공하긴 했지만, 피해를 입은 고객들의 완전한 안전을 보장하지는 못했다고 볼 수 있다. 또한 발표를 통해 클락슨이 개인정보를 얼마나 많이 저장하고 있었는지도 알려 보안 전문가들을 경악케 했다.
“침해 사건으로 피해를 입은 고객들마다 사정이 조금씩 다르긴 하지만 도난당한 개인정보에는 다음과 같은 것들이 포함되어 있을 수 있습니다. 1) 생년월일, 2) 연락처, 3) 범죄 이력, 4) 인종, 5) 의료 정보, 6) 종교, 7) 로그인 정보, 8) 서명, 9) 세금 관련 정보, 10) 보험 정보, 11) 형식을 갖추지 않은 참조 정보, 12) 국민 보험 번호, 13) 여권 정보, 14) 사회보장 번호, 15) 비자 및 여행 정보, 16) 이력서, 17) 운전자 면호 및 차량, 18) 선원 정보, 19) 은행 계좌, 20) 지불카드 정보, 21) 금융 관련 정보, 22) 주소, 23) 연령 관련 정보 등입니다.” 클락슨의 실제 발표 중 일부 내용이다.
그러면서 클락슨은 이러한 방대한 개인정보 관련 데이터에 대한 암호화나 해시 처리 여부를 밝히지 않았다. 이러한 데이터가 공격자의 손에 넘어가 어디론가 복제되었다고 한다면 아이덴티티 도난, 은행 사기, 협박 등의 다양한 범죄 활동이 가능하게 된다.
보안 업체 타이코틱(Thycotic)의 최고 보안 과학자인 조셉 카슨(Joseph Carson)은 “계정 하나를 통해 이렇게나 많은 민감 정보로 접근할 수 있었다는 것 자체가 너무나 충격적”이라고 밝혔다. 그러면서 “GDPR 위원회가 이 사건을 면밀히 검토 중에 있을 것으로 보인다”고 말했다. “만약 GDPR 규정을 위반했다는 판단이 내려진다면, 어마어마한 벌금형을 받을 것으로 예상됩니다.”
보안 업체 데미스토(Demisto)의 창립자 리시 바가바(Rishi Bhargava)는 외신과의 인터뷰를 통해 “클락슨 측은 일단 정보 유출 사고에 대한 고지는 충실하고 투명하게 한 것으로 보인다”고 말했다. 다만 “진짜 문제는 클락슨이 이렇게까지나 방대한 개인정보를 애초부터 수집할 필요가 있었느냐는 것”이라고 지적했다. “GDPR로 인해 이제 기업들은 데이터 공급망을 다시 한 번 검토해야 할 필요가 생겼습니다. 데이터를 처리하고, 사용자의 동의를 얻고, 꼭 필요한 데이터인지를 엄격하게 확인하고, 그런 확인을 통과한 데이터만 저장하는 등의 노력을 해야 합니다.”
또한 데이터를 추적해 회수했다는 건 공격자의 정체를 파악했을 가능성이 높다는 뜻도 된다는 지적도 나왔다. 사법 기관과 함께 작업을 했다니 공격자가 체포되었거나 수배 중일 가능성도 낮지 않다. “그러나 이러한 사실은 추후 사법 기관의 발표를 통해 알게 될 것이니 딱히 더 궁금해 할 필요가 없습니다. 오히려 권한이 높은 계정에 대한 보호 조치가 얼마나 중요한지 이번 사건을 통해 기업들이 체감하기를 바랍니다.”
보안 업체 언탱글(Untangle)의 CTO인 티무르 코발레프(Timur Kovalev)는 또 다른 외신과의 인터뷰를 통해 “이런 사건은 매우 흔하게 발생한다”며 “권한이 높은 계정에는 다중 인증 시스템을 적용하는 게 첫 번째 방지 대책”이라고 설명했다. 또한 해당 계정에 대한 접근 상황(접속 위치, 장비, 시간 등)도 철저하게 통제하고, 불필요한 정보를 처음부터 저장하지 않는 것도 중요하다고 덧붙였다.
클락슨은 “이번 사건으로 권한이 높은 계정을 보호하는 게 얼마나 중요한지 깨달았다”며 “비밀번호만으로는 보호할 수 없다는 것을 알았으니, 보다 탄탄한 보안 장치를 마련하겠다”고 말했다. 또한 “한 계정만으로 방대한 분량의 데이터에 접근하지 못하도록 시스템을 개편하겠다”고도 말했다.
아직 영국 업체인 클락슨에 대한 EU GDPR 위원회의 결정은 내려지지 않은 상태다.
3줄 요약
1. 영국의 선박 회사, 작년 침해 사고에 대한 새로운 내용 발표. 내용은 “정보 회수 성공.”
2. 하지만 애초부터 그렇게나 많은 정보를 저장할 필요 있었느냐 의문 제기되고 있음.
3. 게다가 한 계정으로 그 많은 정보에 접근 가능한 시스템이었다는 것도 충격적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
