세이프넷, 2014년 1분기 데이터 유출/침해 통계 발표

세이프넷코리아(지사장 황동순)가 2014년 1분기 전 세계 데이터 유출•침해(Data Breach) 통계 보고서를 발표했다.

이번 조사 결과 전 세계에서는 2014년 1분기 동안 254건의 크고 작은 사고를 통해 2억 건 가량의 개인정보나 기타 민감한 기업 정보 등이 유출된 것으로 나타났다. 이는 전년 동기 대비 233% 증가한 것으로 매 시간 9만 3,000건의 중요 정보가 내부자나 해커에 의해 외부로 유출된 것이다.

이번 1분기 통계 보고서에서 주목할 것은 254건의 사고 중 외부로 유출된 데이터의 안전을 보장할 수 있는 사전 조치를 취해 2차, 3차 피해로부터 안전을 보장할 수 있는 사건 수는 1%에 그친 다는 것이다. 이 1%에 속한 사건은 피해 기업, 기관이 데이터 암호화, 안전한 암호화 키 관리, 강력한 사용자 인증 등 기본에 충실한 곳이다. 이 수치는 보안 업계조차 놀랄 정도의 결과다. 보안 시장에서 추정하는 것보다 기업과 기관에서 데이터 유출•침해 방지의 기본인 암호화 조차 제대로 하지 않고 있음이 들어난 것이기 때문이다.

이와 관련해 황동순 지사장은 “대형 데이터 유출 사고가 거의 매일같이 터지고 있지만 아직 많은 기업이 방화벽, IDS/IPS, VPN 등 네트워크 관점의 경계 보안에만 집중하는 경향이 있다”라며 말했다.

근는 이어  “개인정보나 회사 기밀 정보의 유출이 커다란 사회적 파장을 일으키는 동시에 기업과 기관의 경영 위험으로까지 이어지는 시대를 맞아 이제 네트워크뿐 아니라 데이터의 생성, 보관, 사용, 저장, 폐기 등 생명 주기 차원에서 보호하는 데이터 관점의 접근이 매우 중요해졌다"며 "데이터 보호의 출발점이 암호화와 안전한 키 관리란 사실은 다 알지만 글로벌 하게 봤을 때 기업과 기관의 보안 수준이 낮은 이유는 데이터의 생명 주기 관점에서 기술과 솔루션이 적용되어 있지 않기 때문”이라고 설명했다.

한편 이번 발표에서 대한민국은 국가별 비교에서 데이터 유출•침해 건수 1위 국가의 오명을 썼다.  카드사, 통신사, 의료 관련 협회, 대형 포털 등 2014년 1분기 연이은 사건을 통해 총 1억 5,800만 건의 중요 정보가 유출되었기 때문이다. 대한민국에서 일어난 사건 중 주목할 만한 것은 4건 정도에 불과했지만 피해 건수로는 전세계 79%란 것에서 사고의 규모가 어느 정도인지를 어렵지 않게 가늠해 볼 수 있다.

참고로 지역 별 데이터 유출•침해 사건 수를 비교해 보면 총 199건을 기록한 북미 지역이 78%를 차지하고 있으며 그 뒤를 유럽 13%, 아시아 태평양 7%이 잇고 있다.  산업별 통계를 놓고 볼 때 2014년 사건, 사고가 가장 많았던 곳은 전체 56%를 차지한 금융권으로 나타났다. 다음으로 24%를 차지한 의료 서비스, 20%를 차지한 첨단 기술 산업 분야가 뒤를 이었다. 공공과 교육 쪽은 1%로 낮은 수치를 보여주었지만 데이터 유출 건수 비중으로 놓고 보면 이야기가 달라진다.

공공과 교육은 사건 수는 적지만 데이터 유출 건수 면에서는 전체 산업 분야에서 23%에 달한다. 사고 수가 많았던 금융은 유출 건수 비중이 14%, 의료 서비스는 9%인 점에 비교해 볼 때 데이터 보호 수준이 상대적으로 취약한 탓에 사고 수가 적어도 피해 규모가 큰 것으로 분석되었다.

이외에 주목할 것으로 데이터 유출•침해의 피해 경로가 있다. 2014년 1분기의 경우 조사 결과 외부자에 의한 피해는 43%인 반면 내부자에 의한 피해가 전체 사건에서 52%로 가장 큰 것으로 나타났다.