기사

(개인정보 포함) 데이터 유출의 유형

(개인정보 포함) 데이터 유출 에는 여러 유형이 있습니다. 이들 사고는 보통 개인 정보를 취득하여 신원 도용, 민감한 데이터 절도, 제한 정보 무단 액세스 또는 취득, 랜섬웨어 공격, 불법적 데이터 노출, 기밀 정보 누설 등으로 이어진다는 공통점을 갖습니다.

대다수 데이터 유출은 사이버 범죄자나 악의적인 의도를 가진 사람들에 의해 발생하지만, 일부는 사고나 과실로 인해 발생합니다.

미국의 50개 주와 컬럼비아특별구, 괌, 푸에르토리코, 버진 아일랜드는 대다수 유형의 데이터 유출 발생 시 해당 사실을 의무적으로 통지하도록 요구하는 법률을 통과시켰습니다. 데이터 유출 사실 통지법은 공공 부문과 민간 부문 모두에 적용됩니다.

데이터 유출 사실 통지법은 조직이 개인 정보와 기타 중요한 정보를 지키기 위해 필요한 조치를 취하도록 압박을 높여 개인 정보 유출로 인한 위험과 그 밖의 잠재적 치명적인 결과를 최소화하려는 목적을 가지고 있습니다.

일반적인 (개인정보 포함) 데이터 유출의 유형

대부분의 (개인정보 포함) 데이터 유출은 멀웨어에서 비롯됩니다. 멀웨어는 공격자가 시스템과 데이터에 대한 무단 액세스를 확보할 수 있도록 설계된 모든 유형의 악성 소프트웨어 프로그램을 일컫는 포괄적 개념입니다.

멀웨어는 정보 탈취, 운영 방해, 시스템 완전 무력화 등에 사용됩니다. 멀웨어의 형태는 다음과 같이 다양합니다.

애드웨어
백도어
파일리스 멀웨어
랜섬웨어
스파이웨어
트로이 목마 바이러스
바이러스
와이퍼
웜

크로스 사이트 스크립팅(XSS) 공격

XSS 공격은 정상적이고 신뢰할 수 있는 사이트를 탈취하여 멀웨어를 심고 다양한 데이터 유출의 시작점이 되는 악성 실행 스크립트를 주입합니다. XSS 공격이 실행되면 공격자는 피해자의 신원을 가장하여 다음을 수행할 수 있습니다.

다른 사용자에게 멀웨어 확산
사용자가 가진 권한 범위 내에서 모든 작업을 수행하거나 모든 데이터에 액세스
사용자가 양식에 입력하는 로그인 자격 증명을 탈취

키스트로크 로거

키스트로크 로거는 사용자의 키보드 입력을 모두 기록해 사용자 이름과 비밀번호를 포함한 모든 데이터를 수집하는 멀웨어의 일종입니다. 이러한 정보는 공격자에게 전송되어 각종 데이터를 침해하거나 시스템에 입력되는 정보(예: 신용카드 번호와 같은 민감 정보)를 탈취하는 데 사용됩니다.

키로거 멀웨어의 종류와 기능은 다양합니다. 가장 흔하고 기본적인 것은 사용자 모드 또는 API(애플리케이션 프로그래밍 인터페이스) 수준의 키로거입니다. 이는 API를 통해 정보를 포착하고 전송하지만 관리자 수준의 기능은 없습니다.

커널 수준 키로거는 운영체제에 임베드되므로 탐지하여 삭제하기가 상대적으로 어렵습니다. 또한 브라우저에 기반하며 웹 양식에 입력되는 정보를 수집하는 키로거도 있습니다.

중간자(MITM) 공격

MITM 공격의 일반적인 목적은 개인 정보 탈취입니다. 중간자 공격을 실행하는 자는 커뮤니케이션을 엿듣거나 가로채어 네트워크상으로 전송되는 데이터를 빼냅니다.

대다수 중간자 공격 실행자는 카페나 공항 등의 장소에서 제공하는 무료 Wi-Fi와 같은 공용 네트워크의 취약점을 악용합니다.

비밀번호 추측 또는 무차별 대입 공격

무차별 대입 공격은 비교적 쉽게 예방할 수 있는 데이터 유출의 유형이지만 비밀번호가 취약할 때는 막지 못할 수 있습니다. 무차별 대입 공격에서는 도구를 사용해 가능한 비밀번호를 수백만 가지까지 대입해 일치하는 값을 찾습니다.

시스템에서 강력한 비밀번호를 요구하고, 로그인 시도가 일정 횟수 이상 실패할 경우 액세스를 차단한다면 이러한 데이터 유출을 예방할 수 있습니다.

피싱

피싱은 가장 널리 퍼진 데이터 유출 유형 중 하나입니다. 피싱은 타인을 신뢰하는 마음, 분주한 하루의 틈새, 사용자의 부주의를 공략하며 교묘하게 작성된 이메일이나 문자 메시지를 통해 사람의 경계 심리를 무너뜨리므로 여전히 효과적인 공격 경로입니다.

사용자 한 명만 피싱 링크를 클릭해도 네트워크 전반으로 확산되어 다른 연결된 시스템까지 감염될 수 있습니다. 피싱 공격의 목적은 일반적으로 다음 3가지 중 하나입니다.

피해자를 속여 피해자의 시스템, 더 나아가서는 타인의 시스템에 멀웨어를 심는 악성 링크나 첨부 파일을 클릭하게 합니다.

수신자가 자격 증명 및 신용 카드 정보를 공격자에게 전송하는 양식을 갖춘 가짜 웹사이트에 접속하도록 유도합니다.

타인의 신원을 위장(상사, 친구, 가족 등)하여 민감한 정보를 공유하거나 자금을 이체하게 유도합니다.

피싱의 변종인 스피어 피싱은 특정 개인이나 집단을 정밀 타겟으로 삼는 공격입니다. 피싱의 또 다른 변종인 웨일 피싱은 조직의 임원과 같은 주요 인사를 표적으로 삼습니다.

랜섬웨어

랜섬웨어는 멀웨어의 일종이지만 다른 멀웨어들과는 작동 방식이 다릅니다. 침해에 성공할 경우 랜섬웨어는 데이터를 암호화하여 잠그며, 공격자는 잠긴 파일을 해제하는 대가로 피해자에게 금전을 요구합니다.

경우에 따라 공격자는 파일을 잠글 뿐만 아니라 파일을 빼낸 뒤 공개적으로 유출하겠다고 협박하며 2차 대가를 요구합니다. 이런 공격은 일반적으로 기밀 정보나 피해자의 평판에 악영향을 미칠 수 있는 정보를 표적으로 삼으며, 예방하기가 매우 어렵기로 악명 높습니다.

SQL 삽입 공격

SQL 삽입 공격은 SQL 쿼리를 통해서 시스템에 악성 코드를 삽입합니다. 이후 공격자는 데이터베이스에 접근하여 정보를 탈취하거나(데이터 유출의 유형 중 하나를 이용) 수정하거나(데이터 훼손 등) 잠글 수 있습니다(랜섬웨어 공격 등).

물리적 도난

데이터 유출을 논의할 때는 사이버 채널을 활용하는 유형이 흔히 언급되지만 물리적 도난 또한 문제가 됩니다. 서류 파일, 노트북, 외장 하드디스크 등을 절도하는 행위가 여기에 해당합니다.

(개인정보 포함) 데이터 유출이 발생하는 이유

위에서 제시한 각종 유형의 (개인정보 포함) 데이터 유출은 아래와 같이 다양한 동기에 따라 수많은 방식으로 발생합니다.

데이터 유출 원인:

내부자의 우발적 실수
직원이 적절한 승인을 얻지 않고 파일에 액세스하는 경우, 정보가 외부로 유출되지 않았더라도 이는 데이터 유출로 간주됩니다.
악의적 내부자
합법적인 권한을 보유한 사용자가 특수 권한을 악용해 민감한 정보를 열람, 공유, 절도하는 경우입니다.
외부 사이버 범죄자
이들은 의도적으로 사용자와 시스템을 표적으로 삼아 다양한 유형의 데이터 유출을 감행합니다.

각종 데이터 유출은 다음과 같은 동기로 발생합니다.

평판 쌓기
사이버 보험 사기
신원 도용
지적재산권 절도
금전적 이익
자경 활동이나 정치/사회적 목적의 해킹