2013.05.06

데이터 유출 많은 산업 2위는 ‘유통’··· 카드 단말기 때문

Computerworld Hong Kong staff | Computerworld
최근 버라이즌의 연간 데이터 유출 조사 보고서(DBIR)에 따르면, 데이터 유출의 24%가 유통과 프랜차이즈 레스토랑에서 발견됐으며 금융에 이어 두번째로 가장 많은 것으로 나타났다.

DBIR는 다양한 글로벌 기업들을 대상으로 조사한 글로벌 보안 동향에 대한 연례 보고서다. 올해로 6번째 발간하는 이 보고서에는 19개의 법 집행 기관, 국가 사건 보고 기관, 조사 기관, 다수의 보안 업체 등이 참여했다.

이 보고서는 2012년에 일어난 4만 7,000건의 보안 사고와 관련한 621건의 데이터 유출을 확인했다. 이 확인된 데이터 유출 가운데, 156건이 유통과 식품 서비스 산업에서 발생한 것으로 조사됐다.

이 조사의 아시아 태평양 지역을 담당했던 폴 블랙은 "조직적인 범죄자들은 금융, 유통, 레스토랑을 좋아한다”라고 말했다. "그 이유는 이 산업들이 모든 신용 카드 단말기를 가지고 있기 때문이다"라고 블랙은 설명했다.

블랙은 신용 카드 단말기의 대부분이 공공 장소에서 사용할 수 있고 공용 네트워크에 연결되어 있다고 지적했다. 신용 카드 단말기들은 신용 카드 정보를 캡처해 물리적이고 가상적으로 악성코드 설치하는데 접근할 수 있다.

DBIR은 공격 동기, 피해 산업, 공격 전술과의 상관 관계도 밝혔다. 돈을 목적으로 할 경우 ATM 내부 스키머, POS 단말기, 가스 펌프 터미널 등 대부분 물리적인 공격을 시도했다. 블랙은 “대부분의 조직적인 범죄들이 돈을 목적으로 하고 이들의 기술은 그다지 고도화 돼 있지 많지만 대상을 목표로 한 계산된 공격을 시도하려는 경향이 있다”라고 덧붙였다.

그는 돈을 목적으로 한 물리적인 공격을 보호하려면, 기술적인 IT 문제가 유일한 방법이 아닐 수 있다고 주장했다. 그는 프로세스 재설계와 사용자 교육을 포함하는 장기적인 솔루션을 제안했다.

또한, PCI 보안 표준 준수는 물리적 공격으로부터 보호받아야 하는 유통에게 좋은 모범 사례가 될 것이다. 그러나 그는 소프트웨어 및 기술이 지속적으로 발전하면서 기업들은 자신들의 규제 준수를 업데이트해야 한다고 덧붙였다.

"사람들이 PCI를 준수한다면, 그들은 일반적으로 매우 안전하다"라고 블랙은 말했다. "그러나 데이터 유출에 대한 다른 동기들이 생겨나고 있으며 그에 따라 시스템을 공격하는 방법이 바뀌고 있다. 그냥 점검하는 것만으로는 부족하다. 점검은 진행 과정일 뿐이다"라고 그는 강조했다. ciokr@idg.co.kr



2013.05.06

데이터 유출 많은 산업 2위는 ‘유통’··· 카드 단말기 때문

Computerworld Hong Kong staff | Computerworld
최근 버라이즌의 연간 데이터 유출 조사 보고서(DBIR)에 따르면, 데이터 유출의 24%가 유통과 프랜차이즈 레스토랑에서 발견됐으며 금융에 이어 두번째로 가장 많은 것으로 나타났다.

DBIR는 다양한 글로벌 기업들을 대상으로 조사한 글로벌 보안 동향에 대한 연례 보고서다. 올해로 6번째 발간하는 이 보고서에는 19개의 법 집행 기관, 국가 사건 보고 기관, 조사 기관, 다수의 보안 업체 등이 참여했다.

이 보고서는 2012년에 일어난 4만 7,000건의 보안 사고와 관련한 621건의 데이터 유출을 확인했다. 이 확인된 데이터 유출 가운데, 156건이 유통과 식품 서비스 산업에서 발생한 것으로 조사됐다.

이 조사의 아시아 태평양 지역을 담당했던 폴 블랙은 "조직적인 범죄자들은 금융, 유통, 레스토랑을 좋아한다”라고 말했다. "그 이유는 이 산업들이 모든 신용 카드 단말기를 가지고 있기 때문이다"라고 블랙은 설명했다.

블랙은 신용 카드 단말기의 대부분이 공공 장소에서 사용할 수 있고 공용 네트워크에 연결되어 있다고 지적했다. 신용 카드 단말기들은 신용 카드 정보를 캡처해 물리적이고 가상적으로 악성코드 설치하는데 접근할 수 있다.

DBIR은 공격 동기, 피해 산업, 공격 전술과의 상관 관계도 밝혔다. 돈을 목적으로 할 경우 ATM 내부 스키머, POS 단말기, 가스 펌프 터미널 등 대부분 물리적인 공격을 시도했다. 블랙은 “대부분의 조직적인 범죄들이 돈을 목적으로 하고 이들의 기술은 그다지 고도화 돼 있지 많지만 대상을 목표로 한 계산된 공격을 시도하려는 경향이 있다”라고 덧붙였다.

그는 돈을 목적으로 한 물리적인 공격을 보호하려면, 기술적인 IT 문제가 유일한 방법이 아닐 수 있다고 주장했다. 그는 프로세스 재설계와 사용자 교육을 포함하는 장기적인 솔루션을 제안했다.

또한, PCI 보안 표준 준수는 물리적 공격으로부터 보호받아야 하는 유통에게 좋은 모범 사례가 될 것이다. 그러나 그는 소프트웨어 및 기술이 지속적으로 발전하면서 기업들은 자신들의 규제 준수를 업데이트해야 한다고 덧붙였다.

"사람들이 PCI를 준수한다면, 그들은 일반적으로 매우 안전하다"라고 블랙은 말했다. "그러나 데이터 유출에 대한 다른 동기들이 생겨나고 있으며 그에 따라 시스템을 공격하는 방법이 바뀌고 있다. 그냥 점검하는 것만으로는 부족하다. 점검은 진행 과정일 뿐이다"라고 그는 강조했다. ciokr@idg.co.kr

X