2011년 보안 사고의 특징들(Security Trends)과 대응 방안 1

세계적인 보안 솔루션 및 서비스 업체인 Trustwave 에서 올 해도 변합없이 지난 해 즉 2011년의 보안 트랜드를 조사, 발표(Trustwave 2012 Global Security Report)하였는데요.

오늘은 먼저 보고서의 Executive Summary(p5)에 나와 있는 특징적인 요소들(Key Finding)을 가지고 이야기를 나누어 보겠습니다.

전체 9개의 토픽인데요, 다음과 같습니다.

2011년의 보안 사고들을 쭉 살펴보니, 여전히 해커들의 주된 공격 목표는 고객 정보(Customer Record)였습니다. 다르게 표현하면 개인 정보(Personal Identifiable Information)이지요.

왜그럴까요?

단순합니다. 고객 정보 또는 개인 정보가 돈이 되기 때문에 그렇습니다.

정보가 유출된 업체와의 협상을 통해 돈을 얻어 내든가,
빼낸 정보를 팔아 먹든가,
아님 개인의 정보를 이용하여 사기(피싱 등)를 치는 등
돈을 벌 수 있기 때문입니다.

다음의 보고 내용을 보시면 89%에 달하는 고객 정보 또는 개인 정보에 대한 침해 사례가 과연 사실이구나 하는 것을 믿게 되실 겁니다.

음식과 식음료 산업(Food and Beverage Industry)의 침해 사례(공격 사례)가 44%를 차지 합니다.

더구나 음식과 식음료 산업(Food and Beverage Industry)의 침해 사례는 지난 2년 간 꾸준히 증가하고 있는 것으로 보고서에서는 경고를 합니다.

이건 또 왜 그럴까요?

음식, 식음료 산업은 우리네와 같은 사람들과는 아주 밀접한 관계를 가지고 있지요.
우리 삶의 대부분이요, 우리 지출의 대부분을 차지하는 분야이면서 개개인의 특성에 아주 밀접한 정보를 포함하게 되지요.

즉, 개인 정보의 집합체이기 때문이지요.

또한 타 산업과는 다르게 정보 보안 시스템의 적용이 상대적으로 부족한 산업분야이기도 하지만 아래의 보고 내용과 같이 이 산업에는 프랜차이즈라는 비즈니스를 통해 고객의 정보가 고객의 동의 없이 흘러갈 수도 있다는 약점 때문에 44%라는 수치가 나온 것이라 판단합니다.

프랜차이즈 모델(Franchise Model) 또는 프랜차이즈 비즈니스(Franchise Business)라고도 하지요.

패밀리 레스토랑, 커피 숍, 화장품 가게, 옷 가게 등등 프랜차이즈 모델은 그 종류와 수가 무척이나 많은데요.

이 곳은 그야말로 개인 정보(Personal Identifiable Information)의 보고지요.
개인의 신상정보뿐만 아니라 신용 카드 정보, 멤버십 카드 정보 및 개인이 보유한 마일리지 등의 사이버머니 정보, 현금 카드 영수증에 필요한 정보 등 해커들이 군침을 흘릴만한 정보, 즉시 현금 거래가 가능한 정보가 무척이나 많지요.

거기다가 제휴 카드 정보까지....^^

이러니 해커들의 새로운 목표(New Cyber Target)로 꼽힐만 하지요.

그런데 이 곳의 개인 정보 취급의 형태는 어떨까요? 지금이야 좋은 쪽으로 많이 발전하고 있지만 아직은 아쉬운 것만은 분명한 것 같습니다.

다음의 보고 내용을 보시지요.

기업의 정보 시스템에는 여러 경로를 통해 모은 고객에 대한 데이터(Data)와 그것을 가공하여 마케팅 등에 활용할 수 있도록 만든 정보(Information) 등을 통칭DB(Database)에 모아 저장해 두는데요.

이렇게 Data를 모으고 Information으로 만들어 활용하는 데는 또 다른 소프트웨어들이 사용됩니다.

이럴때 활용되는 소프트웨어, 즉 원래의 목적을 달성하기 위해 선택적으로나 필수적으로 사용되는 소프트웨어를 3'rd Party 소프트웨어라고 합니다.

옆 이미지의 76%라는 수치는 기업의 정보 시스템을 활용하는 데 필수 불가결하게 사용되는 3'rd Party 소프트웨어의 보안 결격 사유(Security Deficiencies)로 발생한 침해 사고의 수치를 나타냅니다.

또한 Data와 Information은 통신 경로를 따라 주고 받게 되는데요. 해커들이 이렇게 Data와 Information을 주고 받을 때, 즉 통신 구간에서 불법으로 정보를 빼 내(Data harvesting in Data in-transit)어 간 경우가 62.5%에 달한다는 보고 입니다.

일종의 도청이라고 생각하시면 되는데요. 해킹 기법(또는 보안 용어)으로는 Hooking 또는 Packet Sniffing인 것입니다.




지금까지의 보고 내용은 시스템적인 측면과 비즈니스적인 측면의 보고라고 볼 수 있는데요. 다음의 3가지 보고 내용은 우리네의 컴퓨터 시스템 사용 형태에 의한 정보 침해라고 볼 수 있겠습니다.

첫 번째 바이러스 백신(Anti-Virus)에 대한 이야기 입니다.

아이쿠 이런!!! 12% 미만이라니요????

이것은 바이러스 백신으로 알려져 있는 Anti-Virus 제품 들의 전체 바이러스 검출율을 이야기하는 것이 아닙니다.

바이러스 중에서 알려져 있는 Malware의 검출율을 나타내는 것입니다.

결국은 Anti-Virus의 선택에 있어서 기존의 바이러스들 뿐만 아니라 새로운 바이러스들에 대한 정보의 정확성과 업데이트의 신속성이 중요한 판단 요소중의 하나인 것임을 나타내는 증거이지요.

사실 malware 는 그 종류도 많고 그 종류의 몇 곱이상으로 변종도 많이 있습니다. 또 수 많은 새로운 넘들이 쏟아져 나오고요.

이런 상황이기 때문에 정보의 정확성과 업데이트의 신속성을 위하여 사용자들의 도움이 무척이나 필요한 것이지요.

또 하나 잊지 말아야 할 것은 이런 상황이기 때문에 더욱 긴장을 놓아서는 안된다는 것입니다.
그저 "우리는 Anti-Virus 등을 직원 PC와 서비스 서버 등에 의무적으로 깔았으니 괜찮다!!!"라는 안일함은 큰 문제가 됩니다.

역시!!
SQL Injection 이라는 해킹 방식이 1등을 차지했네요.

SQL Injection 이라는 해킹 기법은 옆의 그림이 아주 잘 설명했는데요.
SQL 이란 것은 Structured Query Language의 축약어로써, 구조적 질의 언어라고 해석됩니다.

Data와 Information을 사용하기 위해서 Database에 정보를 요구하는 언어라고 쉽게 이해하시면 되는 데요.

Injection은 이 정보를 요구하는 언어를 슬쩍 바꿔서 Database에게 사기를 치는 것입니다.

그 사기의 결과로 원래의 페이지가 아닌 해커가 만들어 놓은 다른 페이지가 열리거나, 원래는 보여 주어서는 안되는 정보인데 정보를 보여준다거나 하는 일이 생기게 됩니다.

최악의 경우는 귀중한 정보가 담겨 있는 Database 자체를 못쓰게 할 수도 있지요.

아~~~~
이러시면 안됩니다.
지금이 어떤때인 데

기껏 패스워드를 만드신 게

"password1" 이라니요~~~

이 password1이 가장 많이 사용되는 패스워드랍니다.

이것은 회사나 시스템의 규칙을 마다하고 개인의 편의를 위해 이렇게 만드신 분도 문제이지만, 시스템적으로 이러한 패스워드를 용인하는 것도 문제입니다.

ID 작성 규칙과 password 작성 규칙을 만드는 것은 그렇게 만들어야 ID 또는 Password가 보호될 수 있기 때문에 그렇습니다.

귀찮으시더라도 꼭 지켜야만 하는 것입니다.

이상으로 2011년의 보안 트랜드를 조사, 발표(Trustwave 2012 Global Security Report)자료의 Executive Summary(p5)에 나와 있는 특징적인 요소들(Key Finding)을 주욱 훑어 보았습니다.

자, 그럼 이제 남은 것은 "어떻게 해야 하나(How to~)"이지요? 다음 시간에는 그 대응 방안을 가지고 나와 이야기를 나누도록 하겠습니다.

감사합니다.


--

2012/03/12 - [IT/Social 이야기] - 2011년 보안 사고의 특징들(Security Trends)과 대응 방안 2, SMB 중심