Cappuccino sapiens

IBM Security는 조사 전문기관인 포네몬과 함께 연간 보고서인 ”2020 글로벌 기업 데이터 침해사고 보고서“를 발간하였습니다.  15번째로 발간된 이번 보고서는 2019년 8월 부터 2020년 4월까지 전세계에서 발생한 데이터 침해사고 524건을 분석하였습니다.

다음은 주요 침해사고 수치에 대해 올해 대비 전년도, 전세계 대비 국내와 비교한 수치를 보여 줍니다.

  ※ 국내 총 24개 기업 참여, 최근 3년간의 데이터 침해사고 자료 분석

    - 피해액 상위 분야: 금융, 서비스, 기술분야 순

    - 주요 공격 요인(피해액, 억원): 악의적 공격 50% (41.1), 시스템 오류 39%(36.1), 관리실수 21%(33.3)

올해는 COVID-19 펜데믹으로 인해 전세계적으로 많은 기업들이 어려움을 겪고 있으며, 재택근무 등 업무환경의 변화는 보안업무에도 많은 변화를 가져왔습니다. 재택근무를 선택한 기업 중 76%는 근무환경의 변화로 인해 침해사고를 인지하고 복구하는 시간이 길어질 것이라고 답했습니다.

침투 테스트 및 취약점 진단을 수행한 기업은 글로벌 평균 침해사고 비용보다 적은 비용을 지출했으며, 이는 평소의 침해사고 훈련이 효과적임을 나타내고 있습니다. 또한, 원격근무를 채택한 기업과 보안기술이 상대적으로 낮은 기업의 경우, 침해사고 비용이 평균보다 더 많이 지출한 것으로 나타났습니다.

주요 시사점은 다음과 같습니다.

1. 침해사고 훈련 및 대응 자동화는 침해사고 비용 감소에 효과적

  - 보안 자동화(인공지능, 머신러닝, SOAR 등)를 구현한 기업은 그렇지 않은 기업보다 3.58백만달러 적은 침해사고 비용 지출 (2.45백만달러 vs. 6.03백만달러)

  - 잘 준비된 침해사고대응팀을 갖춘 기업은 그렇지 않은 기업보다 2백만달러 적은 침해사고 비용 지출 (3.29백만달러 vs. 5.29 백만달러)

2. 개인정보의 증가는 기업의 피해액 증가

  - 데이터별 레코드당 평균 피해액: 고객 개인정보 150달러, 지적재산 147달러, 익명 고객정보 143달러, 직원 개인정보 141달러

  - 전체 데이터 침해사고의 80%가 고객 데이터 침해사고로 분류

3. 가장 큰 공격요인은 인증정보 탈취 및 클라우드 환경설정 오류

  - 침해사고중 가장 많은 비중을 차지하고 있는 악의적 공격 (Malicious attack)은 2019년 51%에서 2020년 52%로 다소 높아짐

  - 공격 비중 및 손실비용은 탈취된 인증정보 19% (4.77백만달러), 클라우드 환경설정 오류 19% (4.41백만달러), 타사 소프트웨어 취약점 16% (4.53 백만달러) 순

4. 악의적 공격 중 데이터 파괴 및 랜섬웨어 공격으로 인한 피해비용은 높게 나타남

  - 악의적 공격에 의한 평균 피해비용이 4.27 백만달러로, 데이터 파괴 4.52 백만달러, 랜섬웨어 4.44백만달러 보다 다소 높게 나타남

5. 국가지원 조직에 의한 침해사고는 많지 않으나, 피해금액은 제일 높게 나타남

  - 가장 흔한 공격동기는 금전적이 이유(53%) 였으며, 국가지원 및 정치적인 이유는 각각 13%로 낮음

  - 국가지원 조직에 의한 침해사고 비용은 4.43백만달러로, 정치적 목적4.28 백만달러, 금전적인 목적 4.23백만달러 보다는 높게 나타남

※ 원문: What’s New in the 2020 Cost of a Data Breach Report

※ 보고서 요약(국내): South_Korea_Cost of a Data Breach Report 2020.pdf

BEC (Business Email Compromise)는 기업의 이메일 계정을 도용하여 기업을 대상으로 사기행각을 벌이는 행위입니다. 개인의 이메일 도용을 말하는 EAC (Email Account Compromise)와 구분하지만, 엄밀히 말하면 같은 수법이라고 할 수 있습니다.

“2019 Internet Crime Report, FBI”에 따르면 ‘사이버 범죄가 점점 더 정교해 짐에 따라, 희생자들은 가짜와 진짜를 구분하는 일이 점점 더 어려워 지고 있다.’고 언급하며, 공격형태가 BEC로 옮겨가고 있고 새로운 골칫거리라고 말합니다. 2019년도에만 BEC공격에 대한 불만 건수가 23,775건에 달했으며, 피해액도 $1.7 billion (약 2.1조)이상으로 보고 있습니다.

BEC는 기존의 이메일을 위장하는 형식이 아닌 정당한 사용자로부터 발신된 메일이기 때문에 수신자가 진위를 판단하기는 쉽지 않습니다. BEC는 주로 탈취된 인증정보인 크리덴셜을 사용하여 내부 직원에게 송금을 요구하거나 민감한 자료를 요구합니다. 또는 외부 거래처를 대상으로 입금계좌가 변경된 가짜 인보이스를 보내기도 합니다. 

BEC를 예방하기 위해서는 송금이나 민감정보 요구시 수신자를 확인하거나 별도 승인과정을 거치도록 하고, 보안업무 절차 반영 및 임직원에 대한 보안교육을 통해 보완할 수 있습니다.

원격근무 또는 재택근무 등의 업무환경 변화에 따라, 회사의 자산에 접근하는 경로(외부 PC, 태블릿, 모바일 폰 등)와 접속환경(자택, 카페 등)이 다양해 지고 있으며, 이에 따라 단말기 보안을 포함해 인증정보에 대한 관리 또한 더욱 강화할 필요가 있습니다.

※ 보고서 다운받기: 2019 Internet Crime Report (https://pdf.ic3.gov/2019_IC3Report.pdf)

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 멀티팩터 인증, 프로그램 및 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 프로그램 사용 이력관리 등), 디바이스 보안관리 기능을 제공합니다. (MaaS 360웹사이트)