대형 사고 터지지 않았으나 중규모 사건은 늘어나
하루에 3백만 건 기록 유출... 올해 말까지 10억 넘길 듯

[보안뉴스 문가용] 2013년의 타깃(Target) 해킹, 2014년의 소니 엔터테인먼트 해킹, 2015년의 인사관리처(OPM) 해킹에 필적할만한 굵직한 사건이 아직 2016년엔 없었다. 사건의 파급력으로만 판단하기에 2016년은 나름 조용한 편이라고 볼 수 있다. 하지만 얌전한 고양이가 부뚜막에 먼저 올라간다고, 올해의 사이버 세상은 작년보다 훨씬 더 많은 범죄에 시달렸다고 BLI(Breach Level Index)가 발표했다.


보고서에 의하면 올 상반기에만 554,454,942개의 기록이 유출되었고, 매체 등을 통해 보도된 사건은 총 974건이라고 한다. 하루에 약 3백만개의 기록이 유출되는 꼴이며, 이런 추세면 2016년 말까지 총 10억개가 넘는 기록이 유출될 전망이다. 작년과 비교해보면 이 수치가 더 확연하게 와 닿는다. 2015년 전체의 유출 기록은 총 707,509,815개이기 때문이다.

게다가 707,509,815개의 기록들 중 상당 부분이 2015년 하반기에 유출된 것으로 BLI는 설명하고 있다. 즉, 이 패턴이 2016년에 반복될 수도 있다는 것. 그렇다면 10억이라는 능선을 넘는다는 것도 과장된 예상이 아니게 된다. 하지만 2015년 하반기에 급증한 유출 사고가 2016년 전반기에도 이어지고 오히려 하반기에 수그러들 수도 있다. 이 역시 2016년 상반기의 어마어마한 유출 기록 개수를 설명할 수 있는 패턴이다.

소위 메가브리치(mega breach)라고 하는 대규모 유출 사고가 아직 없다는 것도 2016년만의 독특한 특징이다. 즉 대량의 정보가 간헐적으로 유출되는 대신, 중량의 정보가 지속적으로 유출되고 있다는 뜻이기 때문이다. BLI의 보고서에 의하면 1백만개의 기록이 29건의 사건을 통해 유출되었다고 한다.

“올해 헤드라인을 사로잡는 사건들이 많이 없었던 건 사실입니다. 그렇지만 공격은 더 많아지고 심해졌어요. 대량 유출 사고가 아니라 중량 유출 사고가 더 빈번하게 발생했다는 건데요, 작년과 재작년의 여러 사건들 속에 기업들이 보안을 강화했는데도 더 ‘많은’ 사고가 발생했다는 것 자체가 충격적입니다. 보안의 여러 가지 대책들이 사실상 소용없다는 뜻입니다.” BLI 측의 설명이다.

또한 작년에는 신용카드 정보가 집중 공격을 받은 것에 비해 2016년에는 개인식별 정보나 로그인 정보(크리덴셜) 등에 많은 초점이 맞춰진 것도 우려된다. 개인식별 정보나 크리덴셜을 활용한 사이버 공격은, 훨씬 다채롭고 심화될 수 있기 때문이다.

2015년 하반기부터 2016년 상반기 기간 동안 아이덴티티 공격만 약 38% 증가했다. 카드 관련 공격은 동 기간 동안 54% 줄어든 것과 상반된 결과다. “사이버 공격자들이 점점 더 창의적으로 변하고 있다고 봐도 되는 정도의 변화”라고 BLI는 분석했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>