2019.02.18

"2018년 유출된 데이터는 총 50억 개, 전년 대비 1/3 이상 감소" RBA 보고서

Brian Cheon | CIO KR
RBA(Risk Based Security)의 보고서에 따르면 누출 데이터 수가 감소하는 경향이 나타났다. GDPR과 같은 개인 정보 보호 규정이 효과를 발휘하고 있는지 여부는 아직 불확실하다. 

이 보안 기관은 2018년 누출된 민감한 각종 기록 데이터가 2017년의 79억 개에서 1/3 이상 감소한 50억 개인 것으로 조사됐다고 밝혔다. 

보고서에 따르면 또 작년 데이터 유출 사건은 총 6,500건이었으며 이 중 2/3가 비즈니스 분야에서 발생했다. 정부 부문은 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다. 

가장 큰 누출 사건은 인도의 국가 ID 데이터베이스가 포함된 2018년 3월 보고된 사건이었다. 국가 ID 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등을 포함해 12억 명의 인도 국민 정보가 누출됐다. 

다른 주요 침해 사건으로는 해커가 메리어트의 스타우드 게스트 예약 데이터베이스에 접근해 3억 3,300만 건의 로열티 프로그램 기록과 화주 호텔 그룹의 2억 4,000만 고객 기록을 획득한 사례가 있었다. 

이 밖에 1억 건 이상의 민감한 기록이 누출된 사건은 작년 12건이 발생했으며, 이들은 전체 데이터 누출의 74%를 차지한 것으로 분석됐다. 

RBS는 데이터 유출의 가장 일반적인 원인은 해킹으로, 작년 4,508건의 사건과 관련 있었다. 그 다음으로는 스키밍 (453건), 웹 관련 누출 (268건), 피싱 (177건) 및 맬웨어 (160건) 등이 있었다. 

그러나 침해 사건별 유출 기록 수를 살펴본 결과는 다소 달랐다. 웹 카테고리가 39%, 해킹이 28%, 사기가 25%, 데이터 오처리가 7%였다. RBS 측은 ""2017년 이전에는 해킹이 가장 흔한 침입 유형이었으며 노출 된 레코드 수에 가장 많이 기여했다. 그러나 그 추세는 2017년부터 웹이 누출 기록 수 측면에서 1위를 차지하지 시작했다"라고 전했다. 

데이터 유출 발견 및 보고 사이의 평균 일수는 49.6일이었다. 2017년에 비해 약간 늘어났다. GDPR은 유출 사건을 발견한 후 72시간 이내에 규제 당국에 보고하도록 규정하고 있다. 

RBS 측은 외부 또는 내부에서 유출이 발견되는 방식과 조직이 이러한 누출을 공개하는 데 소요되는 시간 사이의 상관 관계를 2019년 보다 심층적으로 조사할 계획이라고 밝혔다. 회사는 "침해를 더 잘 발견하는 조직이 대응할 준비도 잘 되어 있을 것"으로 예측했다. ciokr@idg.co.kr



2019.02.18

"2018년 유출된 데이터는 총 50억 개, 전년 대비 1/3 이상 감소" RBA 보고서

Brian Cheon | CIO KR
RBA(Risk Based Security)의 보고서에 따르면 누출 데이터 수가 감소하는 경향이 나타났다. GDPR과 같은 개인 정보 보호 규정이 효과를 발휘하고 있는지 여부는 아직 불확실하다. 

이 보안 기관은 2018년 누출된 민감한 각종 기록 데이터가 2017년의 79억 개에서 1/3 이상 감소한 50억 개인 것으로 조사됐다고 밝혔다. 

보고서에 따르면 또 작년 데이터 유출 사건은 총 6,500건이었으며 이 중 2/3가 비즈니스 분야에서 발생했다. 정부 부문은 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다. 

가장 큰 누출 사건은 인도의 국가 ID 데이터베이스가 포함된 2018년 3월 보고된 사건이었다. 국가 ID 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등을 포함해 12억 명의 인도 국민 정보가 누출됐다. 

다른 주요 침해 사건으로는 해커가 메리어트의 스타우드 게스트 예약 데이터베이스에 접근해 3억 3,300만 건의 로열티 프로그램 기록과 화주 호텔 그룹의 2억 4,000만 고객 기록을 획득한 사례가 있었다. 

이 밖에 1억 건 이상의 민감한 기록이 누출된 사건은 작년 12건이 발생했으며, 이들은 전체 데이터 누출의 74%를 차지한 것으로 분석됐다. 

RBS는 데이터 유출의 가장 일반적인 원인은 해킹으로, 작년 4,508건의 사건과 관련 있었다. 그 다음으로는 스키밍 (453건), 웹 관련 누출 (268건), 피싱 (177건) 및 맬웨어 (160건) 등이 있었다. 

그러나 침해 사건별 유출 기록 수를 살펴본 결과는 다소 달랐다. 웹 카테고리가 39%, 해킹이 28%, 사기가 25%, 데이터 오처리가 7%였다. RBS 측은 ""2017년 이전에는 해킹이 가장 흔한 침입 유형이었으며 노출 된 레코드 수에 가장 많이 기여했다. 그러나 그 추세는 2017년부터 웹이 누출 기록 수 측면에서 1위를 차지하지 시작했다"라고 전했다. 

데이터 유출 발견 및 보고 사이의 평균 일수는 49.6일이었다. 2017년에 비해 약간 늘어났다. GDPR은 유출 사건을 발견한 후 72시간 이내에 규제 당국에 보고하도록 규정하고 있다. 

RBS 측은 외부 또는 내부에서 유출이 발견되는 방식과 조직이 이러한 누출을 공개하는 데 소요되는 시간 사이의 상관 관계를 2019년 보다 심층적으로 조사할 계획이라고 밝혔다. 회사는 "침해를 더 잘 발견하는 조직이 대응할 준비도 잘 되어 있을 것"으로 예측했다. ciokr@idg.co.kr

X