데이터 유출

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 정의
3. 빈도
4. 가해자
5. 원인
- 5.1. 기술적 원인
- 5.2. 인적 원인
6. 유출 생애주기
- 6.1. 예방
- 6.2. 대응
7. 결과
- 7.1. 소비자에 대한 영향
- 7.2. 조직에 대한 영향
8. 법률
참조

1. 개요

데이터 유출은 조직, 규제, 법률 또는 계약을 위반하여 개인 정보가 무단으로 노출, 공개 또는 손실되는 행위이다. 2002년에 처음 보고된 이후 데이터 유출 사고는 증가하는 추세이며, 조직 범죄, 시스템 관리자, 최종 사용자, 국가 또는 국가 관련 행위자 등 다양한 가해자에 의해 발생한다. 기술적 취약점, 인적 오류, 소셜 엔지니어링 공격 등이 데이터 유출의 주요 원인이며, 데이터 유출은 예방, 대응, 그리고 결과로 이어지는 생애주기를 갖는다. 데이터 유출은 소비자에게 신분 도용, 금전적 피해, 심리적 피해 등을, 조직에게는 사업 손실, 평판 훼손, 소송 비용 증가 등 다양한 피해를 야기한다. 데이터 유출 통지법은 유출 발생 시 통지를 의무화하며, 보안 조치 및 소송과 관련된 법률도 존재한다.

2. 정의

데이터 유출은 "조직, 규제, 입법 또는 계약" 법률 또는 정책을 위반하여 "개인 정보"의 무단 노출, 공개 또는 손실을 야기하는 행위이다. 법적 및 계약적 정의는 다양하다. 일부 연구자들은 지적 재산 또는 기밀 정보와 같은 다른 유형의 정보도 포함한다. 그러나 기업들은 주로 법에 의해 요구되기 때문에 데이터 유출을 공개하며, 데이터 유출 통지법은 개인 정보만을 다룬다.

3. 빈도

최초로 보고된 데이터 유출 사고는 2002년 4월 5일에 발생했으며, 캘리포니아 주에서 수집한 25만 건의 사회보장번호가 데이터 센터에서 도난당했다. 2005년경 데이터 유출 통지법이 널리 채택되기 전에는 데이터 유출의 발생률을 파악하기가 어려웠다. 심지어 그 이후에도 데이터 유출 사고는 발생 후 몇 년이 지나서 보고되거나 전혀 보고되지 않을 수 있기 때문에 연도별 통계를 신뢰할 수 없다. 그럼에도 불구하고, 통계는 데이터 유출 사고의 수와 심각성이 계속 증가하고 있음을 보여준다. 2016년 연구원 사샤 로마노스키는 데이터 유출(피싱 제외)이 다른 보안 침해 사고보다 4배 더 많다고 추정했다.

4. 가해자

데이터 유출의 가해자는 다양하며, 그 동기 또한 여러 가지다. 2020년 추정에 따르면, 데이터 유출의 55%는 조직 범죄에 의해, 10%는 시스템 관리자에 의해, 10%는 고객이나 직원과 같은 최종 사용자에 의해, 10%는 국가 또는 국가 관련 행위자에 의해 발생했다.

기회주의적 범죄자는 멀웨어 또는 소셜 엔지니어링 공격을 사용하기도 하지만, 보안 수준이 높으면 다른 곳으로 이동한다. 조직적인 범죄자는 더 많은 자원을 가지고 특정 데이터를 타겟팅하며, 금전적 이득을 위해 정보를 판매한다. 정치적 동기를 가진 해커도 데이터 유출의 원인이며, 익명 등이 그 예시이다.

국가 지원 해커는 정치적 탄압 및 스파이와 같은 목적으로 자국 시민 또는 외국 단체를 타겟으로 하며, 해커에게 거액의 돈을 지불하는 공개되지 않은 제로데이 취약점을 사용한다. 이스라엘 회사 NSO 그룹이 개발한 페가수스 스파이웨어는 대부분의 휴대폰에 설치되어 사용자의 활동을 감시할 수 있는 노클릭 멀웨어로, 마약왕 엘 차포와 같은 범죄자뿐만 아니라 정치적 반대자들을 대상으로 사용되어 자말 카슈끄지 살해 사건을 촉진한 것으로 알려져있다.

5. 원인

5. 1. 기술적 원인

거의 모든 소프트웨어와 하드웨어에는 버그가 존재하며, 이러한 버그가 보안 위험을 생성하면 취약점이라고 불린다. 식별된 취약점을 해결하기 위해 패치가 릴리스되지만, 알려지지 않은 취약점(제로 데이)과 패치되지 않은 취약점은 여전히 악용될 수 있다. 침해 대상이 작성한 소프트웨어와 대상이 사용하는 타사 소프트웨어 모두 공격에 취약하다. 소프트웨어 공급업체는 침해 비용에 대한 법적 책임을 지는 경우가 드물며, 이는 더 저렴하지만 보안이 덜한 소프트웨어를 만들도록 유도한다.

취약점은 악의적인 행위자에 의해 악용될 수 있으며, 가장 가치 있는 것은 공격자가 사용자가 인지하지 못하는 상태에서 자신의 코드를 주입하고 실행할 수 있도록 하는 것이다(멀웨어). 일부 멀웨어는 악성 링크를 클릭하여 사용자가 다운로드하지만, 악성 웹 애플리케이션이 웹사이트를 방문하는 것만으로도 멀웨어를 다운로드할 수 있다(드라이브 바이 다운로드). 사용자의 키 입력을 기록하는 멀웨어 유형인 키로거는 종종 데이터 유출에 사용된다. 대부분의 데이터 유출은 모든 민감한 정보를 암호화된 형식으로 저장함으로써 예방할 수 있다. 공격자가 암호화 키를 가지고 있지 않는 한, 저장 장치를 물리적으로 소유하거나 암호화된 정보에 접근하는 것은 쓸모가 없게 된다. 해싱 또한 비밀번호를 무차별 대입 공격으로부터 안전하게 유지하는 좋은 해결책이지만, 알고리즘이 충분히 안전한 경우에만 유효하다.

많은 데이터 유출은 2013년 타겟 데이터 유출과 2014년 JP모건 체이스 데이터 유출과 같이 대상 조직의 파트너가 운영하는 하드웨어에서 발생한다. 제3자에게 작업을 아웃소싱하면 해당 회사가 낮은 보안 표준을 가지고 있을 경우 데이터 유출 위험으로 이어진다. 특히, 소규모 회사는 종종 많은 보안 예방 조치를 취할 자원이 부족하다.

5. 2. 인적 원인

소셜 엔지니어링 공격은 내부자를 속여 비밀번호를 공개하거나 악성코드를 다운로드하기 위한 링크를 클릭하는 등 시스템의 보안을 훼손하는 행위를 하도록 하는 데 의존한다. 데이터 유출은 내부자에 의해 의도적으로 발생할 수도 있다. 피싱은 소셜 엔지니어링의 한 유형으로, 은행과 같은 합법적인 주체를 사칭한 악성 메시지를 보내 사용자의 자격 증명을 획득하고 사용자가 사이버 범죄자가 제어하는 악성 웹사이트에 자신의 자격 증명을 입력하도록 유도한다. 2단계 인증은 악의적인 행위자가 자격 증명을 사용하는 것을 방지할 수 있다. 소셜 엔지니어링을 인식하도록 직원을 교육하는 것도 또 다른 일반적인 전략이다.

공개하지 말아야 할 정보를 게시하는 등 정보의 실수로 인한 공개도 유출의 원인이 된다. 원격 근무와 BYOD 정책이 증가함에 따라 대량의 기업 데이터가 직원의 개인 장치에 저장된다. 부주의하거나 회사 보안 정책을 무시하여 이러한 장치를 분실하거나 도난당할 수 있다. 기술적인 해결책은 모든 민감한 데이터를 암호화하고, 직원들이 안전하지 않은 비밀번호를 사용하는 것을 방지하고, 안티바이러스 소프트웨어를 설치하여 악성코드를 방지하고, 모든 장치를 최신 상태로 유지하기 위한 강력한 패치 시스템을 구현하는 등 인적 오류의 많은 원인을 방지할 수 있다.

6. 유출 생애주기

6. 1. 예방

정보 보안 및 데이터 유출 방지 소프트웨어를 통해 데이터 유출 위험을 줄일 수 있지만, 완벽한 보안은 불가능하다. 많은 기업들이 최고 정보 보안 책임자(CISO)를 고용하여 정보 보안 전략을 감독하고, 보안 전문가들은 네트워크를 통해 위협 정보를 공유한다. 방어 조치에는 사고 대응 전략, 디지털 포렌식 회사와의 계약, 사이버 보험, 다크 웹 모니터링 등이 포함될 수 있다.

국립 표준 기술 연구소(NIST)는 데이터 기밀성 및 데이터 보호에 대한 표준을 발표했다. 회사의 시스템 아키텍처는 공격 억제에 중요한 역할을 하며, 단일 인증 수단, 중복 시스템 방지, 안전한 기본 설정, 심층 방어(컴퓨팅), 분산 권한, 최소 권한의 원칙 적용 등이 권장된다. 보안을 통한 난해함에 의존하는 것은 데이터 유출로 이어질 수 있지만, 사용 편의성도 중요하다. 소프트웨어 테스팅, 침투 테스트를 포함한 엄격한 소프트웨어 관리가 필요하다.

최소 보존 원칙에 따라 불필요한 데이터 수집을 피하고 더 이상 필요하지 않은 데이터를 파기하면 유출 피해를 줄일 수 있다.

6. 2. 대응

데이터 유출은 제3자, 직원, 자동화 시스템 등에 의해 감지될 수 있다. 유출 대응은 주로 컴퓨터 보안 사고 대응팀의 책임이며, 기술 전문가, 홍보, 법률 고문 등이 포함된다. 많은 회사는 자체 전문 지식 부족으로 인해 이러한 역할의 일부를 외부에 위탁하며, 사이버 보험 정책을 통해 외부 지원을 받기도 한다.

데이터 유출이 확인되면, 대응 팀은 피해를 억제하기 위해 노력한다. 일반적인 전략에는 영향을 받는 서버를 종료하거나 오프라인으로 전환하고, 취약점을 패치하며, 재구축하는 것이 포함된다. 침투 테스트를 통해 수정 사항을 확인하고, 멀웨어 관련 시 모든 침투 및 유출 경로를 조사하고 닫아야 하며, 시스템에서 모든 멀웨어를 찾아 제거해야 한다. 다크 웹에 게시된 데이터는 삭제를 시도할 수 있다.

데이터베이스 포렌식은 사건의 범위를 좁히는 데 도움이 될 수 있다. 광범위한 조사는 소송보다 더 많은 비용이 소요될 수 있다. 미국에서는 시민권 사무소, 미국 보건복지부, 연방 거래 위원회(FTC)와 같은 정부 기관에서 조사할 수 있다. 법 집행 기관의 조사도 가능하지만, 해커가 잡히는 경우는 드물다.

데이터 유출 피해자에게는 일반적으로 법에 따라 알림이 발송된다. 많은 회사에서 무료 신용 모니터링을 제공하지만, 이용률은 약 5%에 불과하다. 신용 카드 사기 위험을 줄이기 위해 새로운 신용 카드를 발급하는 것은 효과적인 전략이다. 회사는 신뢰 회복 및 재발 방지를 위한 조치를 취한다.

7. 결과

7. 1. 소비자에 대한 영향

데이터 유출 이후 범죄자들은 사용자 이름, 비밀번호, 소셜 미디어 또는 고객 충성도 계정 정보, 직불 카드 및 신용 카드 번호, 개인 건강 정보(의료 데이터 유출 참조)와 같은 데이터를 판매하여 돈을 벌 수 있다.^[1] 이 정보는 스팸 발송, 피해자의 충성도 또는 결제 정보를 사용하여 제품 획득, 신분 도용, 처방 의약품 사기, 또는 보험 사기와 같은 다양한 목적으로 사용될 수 있다.^[1] 데이터 유출 또는 데이터 유출로 얻은 정보 공개의 위협은 강요에 사용될 수 있다.^[1]

소비자는 개인 데이터 도난으로 인해 다양한 형태의 유형적 또는 무형적 피해를 입을 수 있으며, 피해를 전혀 인지하지 못할 수도 있다.^[1] 데이터 유출의 영향을 받은 사람들의 상당 부분이 신분 도용의 피해자가 된다.^[1] 개인 식별 정보는 종종 다크 웹에서 수년 동안 유통되어 구제 노력과 관계없이 신분 도용의 위험을 증가시킨다.^[1] 고객이 신용 카드 사기 또는 신분 도용에 대한 비용을 지불하지 않더라도, 상황을 해결하는 데 시간을 할애해야 한다.^[1] 무형적 피해에는 예를 들어, 약물 사용 또는 개인 사진과 같은 도깅 (다른 사람의 개인 정보를 공개적으로 공개)이 포함된다.^[1]

7. 2. 조직에 대한 영향

데이터 유출은 기업에게 사업 손실, 시스템 중단, 직원 생산성 감소, 고위 임원의 사임 또는 해고, 평판 훼손, 감사 또는 보안 비용 증가 등 다양한 피해를 야기할 수 있다. 유출로 인한 소비자의 손실은 기업에게 부정적인 외부효과로 작용한다.

데이터 유출 비용은 유출 규모, 피해 정도, 소송 비용 등에 따라 크게 달라질 수 있다. 케비 파울러(Kevvie Fowler)는 기업이 부담하는 직접 비용의 절반 이상이 소송 비용과 피해를 입은 개인에게 제공되는 서비스의 형태로 발생하며, 나머지 비용은 포렌식 및 조사를 포함한 통지 및 탐지에 분산된다고 추정했다. 사샤 로마노스키(Sasha Romanosky)는 평균 유출 비용이 대상 기업에 약 500만 달러였지만, 일반적인 데이터 유출은 약 20만 달러로 훨씬 저렴하다고 추정했다.

8. 법률

8. 1. 통지

데이터 유출 통지법은 일반적으로 개인 정보 보호법에 포함되며, 유출 발생 시 통지를 의무화하는 조항이 주를 이룬다. 법률은 유출의 정의, 보호되는 정보의 유형, 통지 기한, 그리고 법 위반 시 소송을 제기할 자격이 있는 주체에 따라 크게 다르다. 통지법은 투명성을 높이고 기업이 유출을 줄이도록 평판에 대한 인센티브를 제공한다. 유출 통지 비용은 많은 사람이 영향을 받은 경우 높을 수 있으며, 회사의 책임과 관계없이 발생하므로, 이는 무과실 책임 벌금과 같은 역할을 할 수 있다.

2002년 4월 최초의 데이터 유출이 보고된 직후, 캘리포니아는 개인의 개인 정보가 유출되었을 때 통지를 의무화하는 법률을 통과시켰다. 미국에서는 2005년 2월 초이스포인트 데이터 유출 이후 통지법이 급증했는데, 이는 영향을 받은 사람의 수가 많았고(14만 명 이상), 회사가 처음에는 캘리포니아의 영향을 받은 사람들만 통지했다는 사실에 대한 분노가 컸기 때문이다. 2018년에는 유럽 연합의 일반 개인 정보 보호 규정 (GDPR)이 발효되었다. GDPR은 72시간 이내 통지를 요구하며, 대규모 기업이 이를 준수하지 않을 경우 매우 높은 벌금이 부과될 수 있다. 이 규정은 또한 다른 지역의 데이터 프라이버시 법률 강화에 자극을 주었다.

대한민국에서도 개인정보보호법에 따라 개인정보 유출 시 정보주체에게 통지하고, 일정 규모 이상의 유출은 관계 기관에 신고해야 한다. 2022년 현재, 데이터 유출에 대한 통지를 요구하는 유일한 미국 연방법은 HIPAA에 따라 규제되는 의료 데이터에 국한되어 있지만, 50개 주 전체 (2018년 앨라배마에서 법률이 통과된 이후)가 자체적인 일반 데이터 유출 통지법을 가지고 있다.

8. 2. 보안 조치

데이터 유출로부터 데이터를 보호하기 위한 조치는 일반적으로 법에 명시되어 있지 않거나 모호하다. 이러한 격차를 메우는 것은 대부분의 대기업이 보유하고 있으며, 사실상의 규제 역할을 하는 사이버 보험이 요구하는 표준이다. 현존하는 법률 중에는 두 가지 주요 접근 방식이 있는데, 하나는 특정 표준을 규정하는 것이고, 다른 하나는 합리성 접근 방식이다. 전자는 유연성의 부족과 입법자들이 기술적인 문제를 중재하려는 꺼림칙함 때문에 거의 사용되지 않으며, 후자의 접근 방식에서는 법이 모호하지만 판례법에서 구체적인 표준이 나올 수 있다. 기업들은 더 큰 법적 확실성을 제공하기 위해 종종 표준 접근 방식을 선호하지만, 안전한 제품을 제공하지 않고 모든 조건을 충족할 수 있다. 또 다른 결점은 법률의 집행이 제대로 이루어지지 않아 위반에 대한 벌금이 위반 비용보다 훨씬 적고, 많은 기업이 이를 따르지 않는다는 것이다.

8. 3. 소송

데이터 유출 이후 많은 집단 소송, 파생 소송 및 기타 소송이 제기되었다. 이러한 소송은 소송 비용이 높기 때문에 사건의 정당성과 관계없이 종종 합의된다. 합의금이 지급되더라도 피해를 입은 소비자는 거의 돈을 받지 못하는데, 이는 일반적으로 피해자당 몇 센트에서 몇 달러에 불과하기 때문이다. 법학자 다니엘 J. 솔로베와 우드로우 하르조그는 "소송은 데이터 유출 비용을 증가시켰지만 그 외에는 거의 아무것도 이루지 못했다"고 주장한다. 원고는 종종 데이터 유출로 인해 피해를 입었다는 것을 증명하기 위해 고군분투한다. 회사의 행위가 데이터 유출에 기여하는 정도는 다양하며, 마찬가지로 데이터 유출로 인한 손해에 대한 책임 역시 논쟁의 대상이다. 엄격 책임, 과실 중과실 또는 기타 다른 기준 중 어떤 기준을 적용해야 하는지에 대한 논쟁이 있다.

참조

_[1] 뉴스 Darknet markets generate millions in revenue selling stolen personal data, supply chain study finds https://theconversat[...] The Conversation (website) 2024-04-22
_[2] 간행물 Stolen data markets on Telegram: A crime script analysis and situational crime prevention measures https://link.springe[...] 2024

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com