이제 랜섬웨어 공격자들까지 데이터 훔치는 데 혈안이 됐으니, 우리가 가진 각종 데이터는 너무나 위험한 상황에 놓여 있게 됐다. 그런데도 데이터 암호화는 보편화 되지 않고 있다는 지적이 애플에서부터 나왔다.

[보안뉴스 문가용 기자] 최근 애플이 MIT 대학에 의뢰하여 진행한 연구의 결과가 보고서 형태로 발간됐다. 지난 2년 동안 발생한 데이터 침해 사고들을 분석한 결과 신뢰 관계가 형성된 혹은 신뢰할 수 있을 만한 명성을 가진 기술 분야 벤더들과 연루된 랜섬웨어/데이터 침해 사건이 급증하고 있다는 사실이 드러났다. ‘신뢰’의 근간을 뒤흔드는 사건이 빠르게 증가하고 있다.


침해된 기록이 수십억
2021년과 2022년, 데이터 침해 사고로 노출된 개인 기록들은 26억 건이었다. 그 중 15억 건이 2022년 한 해에만 나온 결과다. 이 추세대로라면 2023년 침해되는 기록들은 더 많았을 것으로 예상할 수 있다. 일단 2023년 1월~9월까지 침해된 개인 기록들의 수는 이미 2022년 1월~12월의 그것보다 20%나 많으니 예상은 예상이 아니라 확신에 가깝다.

IBM의 ‘2023 데이터 침해 비용 보고서’와 포레스터(Forrester)의 관련 보고서에서 발췌한 내용이 이번 애플의 보고서에도 포함되어 있는데, “침해 사고를 경험했던 기업의 95%가 최소 한 번 이상의 침해 사고를 과거에도 경험한 적이 있다”는 것이었다. 그것도 1년 새 두 번의 침해 사고를 겪었다는 회사는 75%나 되었던 것으로 조사됐다.

데이터 침해 사고로 이어지는 공격의 유형 중 가장 많은 것을 차지하는 건 랜섬웨어와 서드파티 공격이었다. 비율만이 아니라 절대적인 빈도 자체도 높아졌다. 2023년 1월부터 9월 사이에 발생한 랜섬웨어 공격의 수는 2022년 동기간에 비해 70%나 증가한 것으로 조사됐다. 2023년 전반기에 랜섬웨어 공격에 의한 피해를 신고한 기업의 수는 2022년 전반기보다 50% 증가했다. 하반기의 상황은 아직 집계가 다 되지는 않았지만 더 심각한 추세를 보이고 있다고 한다.

그 다음은 서드파티 공격인데, 이번 조사에 의하면 기업들의 98%가 최소 한 번 이상의 데이터 침해 사건을 경험한 외부 기술 벤더사와 파트너십을 맺고 있다고 한다. 사용자와 고객사가 많은 기업인 마이크로소프트, 프로그레스소프트웨어, 3CX, 포트라 등에서 침해 사고가 몇 차례 일어났던 것이 주요하게 작용한 것으로 분석되고 있다.

결국 데이터를 침해하는 시도가 크게 늘어나는 중이라는 건데, 애플은 이런 현상이 나타나는 근본적인 이유가 개인정보를 암호화 하지 않은 채 보관하거나 처리하는 곳이 아직 많기 때문이라고 진단을 내린다. “특히 클라우드에 데이터를 저장할 때 암호화를 잘 하지 않으려는 경향이 있는 것으로 나타났습니다. 사실 이 때문에 클라우드를 침해하려는 시도도 급증하고 있지요. 전부 맞물려 있는 트렌드입니다. 만약 종단간 암호화 기술이 데이터에마다 적용되었다면 어떨까요? 데이터를 가져가봐야 소용이 없으니 탈취나 침해 시도 자체가 줄어들 겁니다.”

암호화, 이제는 필요가 아닌 필수 요소
데이터 암호화가 필수라는 소리는 아주 오래 전부터 있어 왔다. 사용 중에 있는 데이터이든, 어디론가 옮겨가고 있는 데이터이든, 가만히 저장되어 있는 데이터이든 암호화를 해야만 한다고 보안 전문가들은 주구장창 주장해 왔다. 암호화 자체로 데이터 도난을 막을 수는 없지만, 훔쳐가봐야 아무런 소용이 없다는 게 데이터 암호화의 큰 장점이었다. 그래서 일부 산업 표준들은 암호화를 필수 요소로 도입해 기업들에 강요하고 있기도 하다. 대표적인 것이 PCI DSS, HIPAA, GLBA, GDPR이다.

보안 업체 파노레이즈(Panorays)의 CTO인 데미 벤아리(Demi Ben-Ari)는 “민감한 정보를 보호하는 데 있어 암호화 만큼 강력한 것도 없다”고 말한다. “데이터 암호화는 관계자 외 다른 사람은 데이터를 전혀 읽어들이지 못하게 합니다. 데이터를 훔치려는 동기 자체를 삭제시키는 효과를 가지고 있는 것이죠. 게다가 데이터를 도난당했다 하더라도 그것이 악용될 가능성을 없애줍니다. 현존하는 기술로는 데이터 암호화를 이겨낼 방법이 없습니다.”

하지만 아직 수많은 기업들이 암호화를 전혀 적용하지 않고 있다. “여기에는 여러 가지 이유가 있는데, 암호화 시스템을 도입할 때 적지 않은 비용이 든다는 것과, 암호화 기술을 매번 적용하려면 강력한 컴퓨팅 파워가 필요하다는 것, 그리고 암호화 전문가를 확보하는 게 어렵다는 것이 크게 작용하고 있습니다.” 보안 업체 온티뉴(Ontinue)의 부회장 크레이그 존스(Craig Jones)의 설명이다.

불가능한 도전 과제는 아니야
존스는 “암호화 기술을 구축하여 활용한다는 게 말처럼 쉬운 일이 아님은 분명하다”고 말한다. “하지만 불가능할 정도로 어렵냐 하면, 그건 또 아닙니다. 그리고 기업의 사정에 따라 그 난이도도 천차만별로 달라집니다. 해보지도 않고 어렵다고 하는 건 틀릴 가능성이 높다는 것이고, 그러므로 어느 기업이든 시도해봄직한 일이라는 것입니다.”

그러면서 존스는 “사전 계획을 실시해 적절한 투자 규모를 파악하고, 비용 효율성이 높은 도구나 기술들을 조사해서 알아냄으로써 그다지 비싸지 않게 암호화를 구축할 수도 있다”고 강조한다. “경영진이 의지만 있다면 암호화 기술 구축은 충분히 해볼 수 있는 일입니다. 진짜 문제는 오히려 문화적인 부분에서 나옵니다. 특히 암호화 키 관리 부분이 꽤나 까다로울 수 있는데요, 키를 잃는다는 건 데이터를 잃는다는 것과 같은 뜻이 됩니다. 리스크가 크죠. 평소처럼 데이터를 활용하고 싶은데, 암호화니 키 관리와 같은 개념이 중간에 끼어들게 되면 거부감도 심하고 실수도 자주 발생합니다.”

클라우드 인프라가 빠르게 증가하고 있다는 것 역시 중요하게 생각해봐야 할 문제라고 존스는 지적한다. “데이터 침해 사고의 80%가 클라우드 환경에서 발생하고 있습니다. 온프레미스 상황에서의 데이터 암호화 기술 도입도 어렵다고 많이 느끼죠? 클라우드 환경에서의 암호화 기술 도입은 더 어렵습니다. 그래서 지금 암호화에 대한 고민 없이 클라우드로 마구 넘어가는 현상이 우려스러운 게 사실입니다.”

보안 업체 퀄리스(Qualys)의 위협 부문 디렉터인 켄 던햄(Ken Dunham)은 “결국 이야기는 돌고 돌아 평소 보안 실천 사항을 조직 차원에서 얼마나 잘 지키고 있었느냐로 귀결된다”고 말한다. “보안이 문화적으로 잘 정착한 기업은 클라우드 인프라를 이용하더라도 데이터 가시성을 잘 확보하고 있습니다. 회사 내 디지털 자산 역시 잘 파악하고 있지요. 게다가 구성원들도 각종 데이터 관련 보안 사항을 잘 준수하고 있을 것이고요. 이런 곳이라면 암호화 키 관리나 추가 암호화 과정에 대한 거부감이 크지 않습니다. 암호화 기술 구축을 위한 망 환경도 잘 되어 있을 가능성도 높습니다.”

비슷한 맥락에서 벤아리도 “클라우드 업체에 보안까지 일절 맡겨버린 회사라면 암호화 기술을 갖추는 게 쉽지 않을 것”이라고 지적한다. “클라우드 인프라의 취약점을 해커가 익스플로잇 해서 데이터를 훔쳐갔다면 클라우드 업체의 책임입니다. 하지만 그 데이터가 암호화 되어 있지 않아 피해가 증폭된다면 그건 고객사의 책임입니다. 물론 계약 내용에 따라 책임 소재가 다소 달라질 수 있긴 하지만, 기본적으로 자기 데이터는 자기가 암호화 하는 게 맞습니다.”

3줄 요약
1. 애플과 MIT가 최근 데이터 침해 사고 현황을 조사함.
2. 결론은 데이터 암호화가 보편화 되어 있지 않아 침해되는 데이터가 급증하고 있다는 것.
3. 데이터 암호화 도입에 여러 가지 어려움 있지만, 실제 해보지 않고는 모름.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>