초이스포인트(ChoicePoint)사는 월 스트리트 저널의 첫 페이지와 기업 이사회, 그리고 미국인들의 머리 속에 데이터 침해를 각인시켰다.

                                                                              

초이스포인트(ChoicePoint)의 최고 정보 보안 책임자 리처드 바이흐(Richard Baich)의 자신의 회사가 해킹이 아닌, 사기의 피해자라는 2005년 이의 제기는 이제 거의 선사시대의 일처럼 들린다.

바이흐는 “이것은 정보 보안 이슈가 아니다”며 2005년 초 도둑들이 16만3000명 이상의 고객 정보를 훔쳤다고 털어놓은 직후 인포메이션 시큐리티(Information Security)지에 말했다. “나의 가장 큰 걱정은 사람들이 초이스포인트가 해킹되었다고 말하는 관점에서 비롯되어 업계에 주는 영향이다. 아니다. 우리는 해킹당하지 않았다. 이것은 매일 같이 발생하는 사기 유형이다.”

 

사실, 그 사건은 믿고 있던 내부인들에 대한 전통적인 컴퓨터 해킹부터 초이스포인트 사기꾼들과 같은 도둑들에 이르기까지 수많은 공격 벡터들에 대해 민감한 데이터의 취약성을 드러냈다. 그들은 합법적인 비즈니스 고객인 것처럼 꾸몄고 초이스포인트가 일반적으로 보험회사와 신용카드 회사에 팔았던 정보를 손에 넣기 위해 거래를 시작했다. 초이스포인트 사태가 최초나 최악의 데이터 침해는 아니지만, 그것은 엄청났고 셀 수 없는 회사들로 하여금 초이스포인트의 매우 끔찍하고 공공연한 경험에서 발을 빼도록 했다.

그 일로 초이스포인트는 캘리포니아 조사 위원들과 소비자들에게 데이터 침해를 보고한 후, 천만 달러의 벌금과 5백만 달러의 소비자 배상을 지불했다. 덤으로 초이스포인트 임원들은 의회의 호된 질책을 받았다.

“초이스포인트와 다른 회사들에 대한 메시지는 명백합니다. 소비자들의 사적인 데이터는 도둑들로부터 보호되어야만 한다는 것입니다.” FTC의장 데보라 플랫 마조라스(Deborah Platt Majoras)는 그 당시 성명을 통해 이같이 밝혔다. “데이터 보안은 고객에게 중요한 것이며 그것을 보호하는 것은 FTC의 최우선 사항일 뿐만 아니라 미국 내 모든 기업들에서도 마찬가지여야만 합니다.”

가트너(Gartner) 분석가 아이바 리탄(Avivah Litan)은 그러나 데이터 소유자들이 주요 정보를 보호하고 사기꾼을 방지하기에는 갈 길이 멀다고 말했다. 그는 또 “데이터 침해는 여전히 발생하고 있다”고 말했다. 초이스포인트가 침입 당했기 때문에 1억 6700만 이상의 개인 정보가 유출됐다. TJX, 갭, 몬스터 닷 컴과 TD Ameritrade는 2007년 초이스포인트, AV, 그리고 다른 많은 회사들이 주창했던 조악한 데이터 보안에 합류했다.

SB 1386(캘리포니아 데이터베이스보안위반법)

리탄은 데이터 중개업계에 긍정적인 변화가 하나라도 나타났다면 그것은 초이스포인트가 부주의했음을 인정했기 때문은 아니라고 말했다. 그보다는 데이터 소유자들로 하여금 피해자들에게 침해를 드러내도록 강제하는 캘리포니아의 SB 1386 법안 때문이라고 한다. 캘리포니아에서 활동하는 모든 기업은 데이터 침해를 공지해야만 한다. SB 1386과 다른 38개 주의 데이터 침해 공지 법안 이전까지 데이터 침해나 유출 정보를 고객에게 알리도록 강요받은 회사는 거의 없었다.

 

리탄은 법이 개인 신원 정보의 정확성을 확보하고 있는 반면, 그 정보와 소비자들을 사기꾼으로부터 보호하는데 실패한 회사들에 대한 엄한 형벌은 충분히 수반하지 못 하고 있다고 말했다. 그는 “나는 법이 모든 것의 해답이라고 말하고 있는 것이 아니다”며 “그러나 그것은 변화(데이터 브로커들의 변화)를 얻기 위한 날카로운 수단이 될 것”이라고 덧붙였다.

수백만 개의 고객 파일을 보관하고 있는 기업들과 미 정부 기관들은 일반적으로 신원 도용을 예방하기 위해 그들이 취하는 몇 가지 스텝으로 보호된다. 예를 들어 Target이나 이베이와 같은 소비자 기업들은 이런 기사에 관한 인터뷰를 거절했다.

리탄은 최고 정보 보안 책임자들에게 그들이 잠재 고객을 위해 좀 더 면밀히 조사할 필요가 있다고 납득시키는 것은 어렵다고 말했다. 또한 그는 “데이터 브로커들은 그들의 고객에게 ‘네’라고 말함으로써 돈을 번다”고 밝혔다.

기업의 실제 손해는?

만일 데이터 침해의 급류가 가라앉지 않는다면 그들은 더 많은 징벌적 손해 배상에 대해 그저 ‘알았다’고 대답할 수도 있다. 침해를 정리하는데 2억5000달러가 들었다고 보고하는 TJX와 더불어 2007년 신용 카드 정보를 포함한 4500만 이상의 고객 기록을 해킹당한 회사들에 대한 집단 소송이 제기됐다. 개인 정보 권리 단체(Privacy Rights Clearinghouse) 보고서의 영향으로 TJX는 신원이 위험한 4500만명 중 45만5000명에 대한 신용 모니터링을 제공하는 타협안을 9월에 발표했다.

2006년 폰몬 인스티튜트(Ponemon Institute)는 통지와 배상, 법적 비용을 포함해 데이터 침해로 유출된 정보 한 건당 최대 182달러를 지불해야한다고 평가했다. 그러나 얼마나 많은 손해를 입을지 불안해하는 회사들의 선두에 있는 TJX는 그런 총계의 근처에도 도달하지 못 했다.

기업 평판의 손상뿐만 아니라 브랜드 네임의 손해를 측정한다는 것은 거의 불가능 하지만, 2007년 7월 인포메이션 시큐리티 지의 기사는 TJX의 주가를 예로 들어 그 위기 내내 바닥을 쳤다고 보고했다. 보잉이나 뱅크 오브 아메리카와 같은 다른 회사들은 그들의 주식이 침해 이후 일정 기간이 지나서 오르는 것을 보았다.

Darwin Professional Underwriters의 수석 인수인 애덤 실즈(Adam Sills)는 TJX와 다른 회사들은 제 3자 비용이 다른 회사로 넘어가면 정말로 고통 받을 수 있다고 말한다. 그는 “개인적 채무는 크게 알려지지 않았지만 중요한 요소이다”며 “그것으로 당신은 심각한 비용을 알고 버릴 수도 있다”고 말했다.

 

More Milestones Turning Points 7 초이스포인트, 사베인즈-옥슬리, 그리고 크라임웨어가 회사를 삼켰다. 여기 지난 10년의 정보 보안 지침이 7개 더 있다. DDoS 공격 오늘날의 조직화된 온라인 범죄와 비교해서 지난 2000년 2월 야후, 바이닷컴, E*트레이드, 이베이, ZDNet, CNN 그리고 아마존과 같은 몇몇의 주요 전자 거래 사이트를 다운 시켰던 마피아보이(MafiaBoy)의 DDoS 공격은 수준 높은 인터넷 장난으로 보일 지도 모른다. 그러나 그들은 DDoS 공격에 기반을 둔 다발적인 강탈 계획의 길을 닦았고 온라인 구매에 관한 고객들의 신뢰를 흔들었다. 그 고객들의 3분의 1일 미만이 인터넷에서 물건을 살 것 같다고 전망했고 5명 중 3명은 이전에 비해 그들의 사생활에 대해 더욱 걱정하게 됐다. Code Red, NIMDA, Slammer 사악한 초기 맬웨어, 코드레드, 님다, 그리고 SQL 슬래머의 삼위일체는 정말로 윈도우와 네트워크 관리자들을 떨게 만들었다. 코드레드는 2001년 7월 처음으로 강타했는데 몇 주 앞서 패치되었던 마이크로소프트의 ISS Web 서버의 버퍼 오버플로 취약성을 익스플로이트 했다. 반면 님다는 9월 11일 테러 1주일 후 나타났는데 일부로 하여금 웜 바이러스가 이미 충격 받은 국가에 후속타를 줄 수도 있다고 생각하게 했다. 님다는 코드레드가 그랬던 것처럼 이메일을 통해 퍼질 뿐만 아니라 오픈 네트워크 공유나 감염된 웹 사이트를 통해서도 퍼진다. 그것은 또한 ISS의 구멍을 익스플로이트 했다. 슬래머는 가지를 치고 영향을 주는 대부분의 웜 바이러스처럼 역사 속으로 사라질 지도 모른다. 2003년 1월의 강타로 슬래머는 엄청나게 빠른 속도로 SQL 서버 월드와이드 내에 버퍼 오버플로 버그를 퍼뜨렸다. 10분 내에 취약한 컴퓨터의 90%가 감염됐다(취약성을 위한 패치는 6개월간 사용가능하다). 슬래머는 400비트 미만 코드로 끼어들었지만 전 세계의 모든 나라에서 인터넷 백본 속도를 저하시키면서 고약한 서비스 페이로드 거부를 퍼뜨렸다. 9/11  9월 11일 테러리스트의 공격은 미국의 경제적, 정신적, 사회적 구조에 영구적인 영향을 가져왔다. 그러나 그것이 정보 보안의 전환점이었을까? 상당한 정도는 아니었지만 실제로 그것은 보안에 대한 자각을 증가시켰고 재난 계획과 사업 연속성에 주의를 집중시켰다. SPAM 이메일 보안 회사 Commtouch에 따르면 스팸은 2006년말 전 세계 이메일의 87%를 차지하면서 보안 및 사용 문제로 폭발했다. 그 양은 봇넷 사용에 자극 된 2006년 말 주소 리스트의 매매의 대거 교체 및 원치 않는 정크 메일뿐만 아니라 지겨운 피싱 공격과 스파이웨어를 전달하는 새로운 회피 기술을 성급하게 망쳐버렸다. 빌 게이츠의 첫 RSA 기조 연설 마이크로소프트사의 트러스트워씨 컴퓨팅 개시 2년, 빌 게이츠는 네 번의 RSA 컨퍼런스 기조연설 중 첫 번째 연설을 했다. 그것은 그가 2004년 2월 24일에 말했던 것과는 다소 달랐지만 그는 끊임없는 패칭과 맬웨어의 윈도우 시스템 강타에 지쳐버린 관객들 앞에서 연설을 했다. 참고로 게이츠는 제일 처음으로 XP서비스 팩 2의 보안을 시연했다. SPYWARE  ‘애드웨어 대 스파이웨어’ 논쟁은 스파이웨어가 명백한 보안 이슈가 되며 컴퓨터들이 짜증 이상의 팝업에 감염되었던 2004년에 잦아들었다. 애초부터 시장의 대응은 느렸다. 결국 안티바이러스는 서명(그리고 가동) 기반 감지, 호스트 기반 침입 방지, 호스트 방화벽과 그 이상의 조합을 특징으로 하는 통합되고 종합적인 안티맬웨어 툴로 이행했다. 해커들 또한 스파이웨어 주변에 트로이나 DDoS 공격에서부터 돈 세탁 계획에 이르는 모든 것에 사용되는 하이재킹 장치를 뿌리는 거대한 봇넷을 지닌 비즈니스 모델을 만들었다. WIRELESS  WiFi는 우리가 일하는 방식을 변화시키며 즉, 모바일을 가능하게 하고 집에서나 길 위에서 또는 유선 이더넷 연결의 제한 없이 직장 전체에서의 로밍으로 인터넷이나 기업 자산에 접속할 수 있게 해주며 우리를 자유롭게 했다. 대부분의 새로운 강화 기술들처럼 보안은 기능 따라잡기 놀이를 하고 있다. WiFi는 특히 불안정한 루즈 접속 포인트 밀집과 기업 자산을 연결하는 핫스팟의 사용에 취약했다. 심지어 첫 보안 표준인 WEP이 약한 암호화와 정지 키들로 고통 받았기 때문에 분별 있는 예방조차 종종 충분하지 않았다. WPA 와 WPA2 표준이 결국 WEP의 취약점을 수정했다.

<글: 마크 바드[Mark Baard](인포메이션 시큐리티의 프리랜서 작가)>

Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제89호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>