- 지난해 하반기 대비 데이터 유출 사고 15%, 유출 데이터 개수 31% 증가
- 전체 데이터 유출 사고의 1/3은 헬스케어 업종에서 발생
올해 상반기 데이터 유출 사고건수가 지난해 하반기 대비 15% 증가한 것으로 나타났다. 디지털 보안의 세계적 선두업체 젬알토가 발표한 Breach Level Index에 따르면 올해 상반기에 전 세계적으로 974건의 데이터 유출 사고가 발생해 5억 5,400만 개에 달하는 데이터 기록이 침해됐다. 이는 지난해 하반기 기록(844건, 4억 2,400만 개)보다 상승한 수치다. 또한 데이터 유출 건수의 52%는 신고 당시 피해 데이터 규모가 보고되지 않은 것으로 드러났다.
Breach Level Index는 데이터 유출 건수를 집계한 글로벌 데이터베이스로서 유출 데이터 개수, 유출 원인, 암호화 여부 등 다양한 각도에 기반해 유출의 심각 정도를 산출한다. Breach Level Index는 개벌 유출사고의 심각도를 수치화해 비교 목록을 작성, 엄청난 파장을 낳는 대형 유출사고와 일반적인 사고를 구분한다.
Breach Level Index 보고서에 따르면 집계 결과가 공개되기 시작된 2013년 이후 48억 개 이상의 데이터 기록이 유출된 것으로 나타났다. 2016년 상반기의 경우 신분 도용이 전체의 64%로 지난해 하반기(53%)보다 상승하며 유출사고의 주요 원인으로 나타났다. 외부의 악의적 공격으로 인한 사고는 지난해 하반기(56%)보다 늘어난 69%로 가장 큰 비중을 차지했다.
젬알토의 제이슨 하트(Jason Hart) 부사장 겸 최고기술자(데이터 보안)는 “지난 1년간 해커들은 지속적으로 신분 도용에 사용할 수 있는 손쉬운 목표물과 보호 받지 않은 민감한 데이터를 노려 왔다”면서 “사용자 이름과 계좌를 도용하는 것은 소비자 불편을 야기하는 정도에 그친다. 그러나 기업체가 민감한 개인 정보와 신분 보안에 실패하는 것은 디지털 서비스와 기업의 개인 정보 보안 능력에 대한 소비자 신뢰에 영향을 준다는 점에서 점증하는 문제로 대두되고 있다”고 밝혔다.
전체 업종 가운데 헬스케어 업종에서 발생한 유출 사고는 지난해 하반기보다 25% 증가했으며 전체 건수의 27%를 차지했다. 그러나 유출된 데이터 개수는 지난해 하반기(12%) 대비 하락한 5%에 불과했다. 반면 정부기관의 경우 유출 사고는 전체의 14% 정도로 지난해 하반기와 동일했지만, 유출된 데이터 개수는 전체의 57%에 달했다. 금융서비스 업종은 사고 건수가 전체의 12%로 지난해 하반기 대비 4% 내려갔으며 유출된 데이터 건수는 전체의 2%에 그쳤다.
리테일 업종에서 발생한 데이터 유출 사고가 전체에서 차지하는 비중은 지난해 하반기보다 6% 하락한 11%였으며 유출 데이터 개수는 전체의 3%를 차지했다. 또한 교육 분야 사고 건수는 전체의 11%, 유출된 데이터 개수는 전체의 1% 미만이었다. 기타 업종의 데이터 유출 사고와 유출 데이터 개수는 각각 전체의 16%씩을 나타냈다.
신고된 데이터 유출 사고 비중이 가장 높은 3대 지역을 보면 79%는 북미지역에서 발생했으며 유럽은 전체 사고의 9%, 아태지역이 8%로 그 뒤를 이었다.
Breach Level Index: 데이터 유출 사고별 심각도는 각기 다르다
하트 부사장은 “데이터 유출 사고의 빈도와 규모가 날로 증가하고 있는 상황에서 소비자와 정부 규제기관, 기업들이 엄청난 여파를 미치는 대형 유출사고와 단순 사고를 구분해내는 일은 점점 더 어려워지고 있다”면서 “뉴스 보도의 경우 사고별로 심각도를 구분해내지는 못하지만 개별 사안이 낳는 결과가 다르기 때문에 사고의 이해에 중요한 역할을 한다. 1억건의 사용자 이름이 유출되는 사고는 계좌번호와 사회보장번호, 기타 금융 서비스에 사용되는 각종 개인 신원정보 100만 건이 유출되는 것이 더 심각한 상황이다”고 말했다.
하트 부사장은 이어 “나날이 디지털화되고 있는 세상 속에서 각 기업체와 정부 기관들은 민감성이 천차만별인 데이터들을 저장하는 경향이 늘고 있다. 이와 동시에 데이터 유출 사고 발생 역시 필연적이 되면서 사고 방지에만 전적으로 의존하던 기업들은 점차 데이터 보안을 확보하는 전략을 구축하는 방향으로 이동하고 있다. 때문에 민감한 데이터의 의미, 저장 장소, 방어의 최선책에 대해 보다 집중적으로 이해할 필요가 있다. 결국 최선의 데이터 보안책은 데이터를 없애는 것이다. 즉 사용자 크리덴셜을 강력한 인증으로 보호하고 민감한 데이터를 암호화로 보호해 데이터를 빼내는 범인들에게 쓸모 없는 존재로 만드는 것이 필요하다”고 밝혔다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>