2016년은 대규모 보안 사고의 해

정보 유출 2014~2015년 합친 것보다 많아…IBM 보고서


[아이뉴스24 김국배기자] 2016년은 '대규모 보안 사고의 해'로 기록될 것으로 보인다.

지난해 정보 유출 건수가 이전 두 해인 2014년과 2015년을 합친 것보다 많다는 조사가 나왔다.

전체 공격·사고 건수 자체는 줄어들었지만 오히려 방대한 정보가 유출됐으며 공개된 취약점 건수도 기록적으로 나타났다.

14일 IBM 엑스포스(X-Force) 보안 동향 및 위험 보고서에 따르면 2016년 정보 유출 건수는 40억 건 이상으로 나타났다. 2014년(10억 건)과 2015년(6억 건) 유출된 정보 건수를 합한 것보다 2배 이상 많은 수치다.

특히 유출 사실이 알려지지 않았던 수십 억 건의 데이터가 '다크웹'에서 판매되고 있는 사실이 드러나면서 '과거의 해킹'이 뒤늦게 밝혀진 경우가 많았다. 실제로 야후(Yahoo)는 2014년 5억 건, 2013년 10억 건의 정보가 유출됐다고 지난 연말 고객들에게 밝혔다.

링크드인(LinkedIn) 역시 2012년 보안 침해 사고로 650만 명의 사용자가 피해를 입었다고 발표했으나 작년 다크웹에 '덤프(Dump)'가 올라오면서 실제로는 1억1천700만 개 이메일 주소와 비밀번호가 유출된 것이 밝혀졌다.

덤프란 기본 또는 보조 스토리지에서 외부 미디어로 복사된 판독 가능한 형식의 데이터를 뜻한다.

공개된 취약점 수도 2010년 이래 처음으로 1만 건(1만197건)을 넘었다. 이중 웹 애플리케이션 취약점이 전체의 22%를 차지했다. 대다수가 취약한 시스템 공격에 쓰일 수 있는 XSS(cross-site scripting), SQL 인젝션(SQLi) 취약점이다.

다만 공격·사고 건수 자체는 줄어든 것으로 조사됐다. 2016년 공격 건수는 1천19건으로 전년대비 12% 감소했다. 보안 사고 건수도 015년 178건에서 작년 93건으로 48%나 줄었다.

이는 2016년 보안 환경이 더 안전했다기보다는 공격자들이 사전에 검증된 기법으로 공격하면서 필요한 시도 횟수가 감소했을 가능성이 더 큰 것으로 보고서는 분석했다.

또 보고서는 "예전에는 주로 신용카드 정보, 비밀번호, 주민등록번호, 개인 의료정보 등이 유출 대상이었으나 최근엔 이메일 내용과 같은 비정형 데이터 유출이 크게 늘었다"고 평가했다.

보안 사건과 유출 데이터 수가 가장 많은 업종은 정보통신, 정부·공공 분야였으며 금융 서비스, 미디어·엔터테인먼트 분야가 뒤를 이었다. 의료 분야는 가까스로 상위 5위 밖이었지만 사건 수는 여전히 많았다.

구체적으론 정보 통신 분야 유출 데이터 수는 34억 건, 보안 사건 수는 85건이었으며 정부·공공은 각각 4억 건, 39건으로 조사됐다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스









아이뉴스24 TV