2024년 한해도 마무리되어 가고 있습니다. 여러가지로 다사다난했던 한해였는데요. 보안사고 역시 어마어마했습니다. 2024년 상반기는 데이터 해킹 사고가 다수 발생한 시기로 기록되었습니다. 2024년 상위 5개 데이터 침해 사건을 위험 노출 점수에 따라 순위를 매겨보았습니다. 위험 노출 점수란 노출된 기록의 양, 노출된 기록의 재정적 영향, 랜섬웨어(Ransomware), 데이터 민감성, 데이터 침해의 심각성, 규제 노출 등을 척도화한 점수입니다.

공동 TOP 1 : 1억 건의 민감한 의료 데이터, 다크웹으로 유출되다

1위는 Change HealthCare입니다. 이 회사는 미국 의료 시스템에서 상당히 중요한 역할을 하는 보험 청구 처리 허브입니다. 국민건강보험과 건강보험심사평가원이 있고, 각종 신분 확인시스템이 철저히 관리되는 한국에서는 이해가 가지 않을 수도 있겠지만, 이 사건은 미국에서 꽤나 큰 피해를 발생시켰습니다. 미국은 거의 모든 보험사 및 의료기관의 정보가 전산화되어 있다 보니, Change HealthCare를 거치는 가운데, 랜섬웨어 공격을 받아 약 1억건의 개인 및 의료 정보가 침해되었습니다. 추정 총 피해액수는 무려 179억 달러입니다.

이 사건에는 개인별 건강, 의료 기록이 포함되어 있어서 매우 민감한 사건으로 취급되었는데요. 보통 이런 데이터는 다크웹에서 가장 가치 있는 데이터로 취급받습니다. 건강/의료 데이터는 신원 도용에 쓰일 수 있고, 훔친 정보를 사용하여 무단 의료 서비스를 받을 수도 있기 때문입니다. 미 법무부는 이 사건 이후 부랴부랴 Change HealthCare가 독점 금지법에 위배되는 것이 아닌지를 조사했지만, 사실상 (한국의 카카오톡처럼) 공공에 준하는 인프라로 공공연히 기생하고 있었다는 점에서 비난을 피할 수 없게 되었습니다.

공동 TOP 1 : 백그라운드 체크 기업인 NPD의 치명적 실수, 다크웹에서 거래된 개인정보

공동 1위는 National Public Data(NPD)입니다. 지난 4월에 있었던 이 사건은 단일 해킹피해로는 최악의 사건이었는데요. 무려 29억개의 기록이 유출되었습니다. 이 회사는 범죄 기록, 주소, 고용 이력을 포함한 각종 공개, 비공개 데이터를 수집하고 판매하는 소위 '백그라운드 체크' 업체였는데요. 도난당한 데이터에는 미국, 영국, 캐나다 등에 거주하는 사람들의 이름, 주소 및 주소 변경 기록, 사회보장번호, 생년월일, 전화번호 등이 전부 노출된 것이 확인되었습니다. 이 데이터는 다크웹에서 350만 달러에 거래되면서 사건이 알려졌습니다. 문제는 이 해킹의 계기가 NPD의 한 브로커가 실수로 모든 정보에 접근할 수 있는 백엔드(backend) 데이터베이스의 암호를 실수로 홈페이지에 게시하면서 벌어졌다는 것입니다. NPD는 소송으로 인해 파산선언을 했지만, 천문학적인 유출 건수로 인해 피해가 어디까지 확산되었을 지는 아무도 알 수 없는 상황입니다.

TOP 3: 해커와 협상을 하게 된 AT&T의 비트코인 40만 달러 지불 사례

3위는 AT&T입니다. 통화, 메시지 기록을 포함하여 1억 1천만명에 달하는 가입자 대부분의 데이터가 유출되었습니다. 지난 3월에 한 번, 그리고 7월에 또 한 번 일어났는데요. 유출된 데이터 중에는 고객통신기록, 즉 이동통신 및 유선고객들의 전화 통화와 문자 기록까지 포함된 것으로 알려졌습니다. 통화와 문자의 전체내용과 개인정보는 포함되지 않았다고 AT&T 측은 해명했으나 연락한 번호와 서로 연락한 횟수 등은 포함돼 있어, 몇몇 정보가 결합되면 특정 전화번호를 가진 개인 정보를 손쉽게 식별할 수 있게 되는 점에서 의미가 없다고 볼 수 있습니다.

AT&T는 해커들에게 도난당한 정보 삭제를 위해 비트코인으로 40만 달러(약 5억 5천만원)를 지급했습니다. 해커는 돈을 받은 대가로 데이터를 지우는 화면이 담긴 7분 길이 영상 등을 넘겨줬다고 하는데요. 이는 유사한 규모의 개인정보 유출/피해사례와 비교해 상대적으로 크지 않은 액수입니다. 금융이나 의료정보와 같이 즉시 악용 가능한 민감한 자료가 아니기 때문에 그런 걸 수도 있겠네요.

TOP 4: 런던 병원들을 마비시킨 랜섬웨어 공격, NHS의 보안 허점

4위는 영국의 의료 시스템인 NHS입니다. 이번에도 랜섬웨어(Ransomware) 공격을 받았으며, 해당 공격은 NHS의 서드파티 벤더 중 하나인 시노비스(Synnovis)였습니다. 해당 업체는 NHS와 연계하여 혈액 검사와 같은 실험을 대행하는 병리학 전문 연구실입니다. 해당 데이터를 병원들과 연계하여 주고받는데, IT 시스템이 마비되면서 NHS와 연결된 런던의 병원들이 마비되었습니다. 여러 건의 수술이 지연되기도 하고 각종 환자들이 다른 병원으로 이송되는 등 수많은 사람들이 영향을 받았고, 사실상 영국 의료계가 큰 혼란에 빠졌습니다.

만약 공격자들이 환자들의 개인정보와 혈액형 정보를 가져갔을 경우 환자들은 후속 사이버 공격에 노출될 수 있기에 더 위험해집니다. 신원 인증을 주로 휴대전화나 인증서로 하는 한국과 달리 영미권에서는  환자의 의료정보를 통해 인증하기 때문에 특히나 더 위험입니다. 의료정보와 개인정보, PII(Personally Identifiable Information , 개인 식별 정보)가 결합하게 되면 사실상 개인 정보를 전부 확보한 것과 같기 때문이죠.

TOP 5: 테일러 스위프트 투어 티켓 44만 장 갈취, 해커들의 협박전

5위는 티켓마스터(TicketMaster)입니다. 이 회사는 콘서트, 극장, 스포츠 행사 티켓을 판매하는 업체인데요. 해킹범으로 주장하는 샤이니헌터즈(ShinyHunters)는 "테일러 스위프트의 투어 티켓 44만 장을 훔쳤다"고 주장하면서 티켓마스터의 모회사인 라이브네이션(Live Nation)에 800만 달러의 합의금을 요구했습니다. 해당 유출은 총 2억여 건에 달합니다. 유출된 정보 중 직접적으로 도용 가능한 티켓 정보만 해도 200억 달러가 넘는 것으로 알려졌는데요. 샤이니헌터즈는 라이브네이션 측에 100만 달러를 요구했는데, 자신들이 가진 데이터의 가치를 파악하고서는 800만 달러로 금액을 올렸습니다.

이번 티켓마스터 사건으로 유출된 데이터는, 자동화 기술로 단순 스크래핑하여 수집한 정보가 아니라 정제된 데이터이기에 더욱 문제가 됩니다. 스크래핑하지 않은 개인 식별 정보가 이 정도 규모로 유출된 건 사상 최초입니다. 일단 데이터가 도난당하면 피해자가 데이터 보호를 위해 할 수 있는 일은 아무것도 없는데요. 최소한의 조치로 암호화만 시행했더라도 이 데이터를 쓸 수 없었을 것이라는 안타까움이 있습니다.

흥미로운 것은, 이런 대규모 업체들의 해킹에는 관리자의 실수도 있지만 연결된 시스템이 있는 서드파티나 벤더, 혹은 스타트업이 있다는 것입니다. 실제 한국에서도 과거 전자책 플랫폼인 '밀리의 서재'나 명품 쇼핑 플랫폼 '발란'과 같은 스타트업 플랫폼에서 개인정보 유출 사고가 발생하기도 했는데요. 스타트업들은 핵심 서비스에 우선 투자를 하다 보니, 정보보호에 상대적으로 신경을 쓰지 못하는 경우가 많았습니다. '설마 우리 회사가 해킹을 당하겠어?'라는 안일한 인식도 있죠. 단기간에 성장을 이루다 보니 규모가 커진 후에 회사 상황에 맞는 보안체계를 구축하지 못하는 경우도 많습니다. 뒤늦게 보안을 강화하려고 하면 직원들이 번거로운 일로 여기기도 하죠.

기업내 정보보호 책임자의 부재 : 조직 문화로 정착해야 할 보안의식

실제 소위 빅테크로 분류되는 일부 기업을 제외하곤 대부분이 정보보호 책임자가 없는 경우가 많습니다. 일부에서는 개인정보 데이터를 관리하는 관리자를 고용하려 해도 문제가 생겼을 때, 책임소재를 짊어질 수 있기 때문에 꺼린다는 말도 있었습니다. 실제로 국내 다수 스타트업의 경우 아직은 직접 정보보호 인력을 제대로 갖추거나 초기비용부담이 큰 보안 솔루션을 직접 도입하기보단, 자체적으로 기본적인 보안이 된 업체를 활용해 그 안에서 자신의 서비스를 하려는 경우가 더 많기도 합니다. 물론 현행법을 다 지키면서 경영을 이어가기에 업무량 부분에서 현실적으로 이행하기 힘들다는 지적도 있습니다. 규제를 다 맞추고 인증을 획득하기 위한 서류 작업하는 데만 시간이 상당히 소요되기 때문이죠.

그래도 점차 정보보호에 대한 관심이 조금씩 커지면서 관련 솔루션을 도입하거나 관련 인력을 채용하려는 움직임은 커지고 있습니다. CPO, CISO를 채용하거나 ISMS, ISO27001을 획득하는 등의 보안 강화를 여러 업체에서 하고 있기 때문이죠. 또한 보안 솔루션 패키지나 어플라이언스를 도입하는 등의 활동도 늘어나고 있습니다. 하지만 무엇보다 가장 중요한 것은 보안에 있어서 가장 취약한 부분에 해커들은 무조건 공격을 한다는 것을 인지하고 거기에 대해 계속 관심을 가지고 보호하려는 조직 차원에서의 문화가 정착되는 것이어야 할 것입니다.