2014.07.17

타깃 사건이 중소기업의 데이터 보안에 미친 영향

Jen A Miller | CIO

지난해 타깃(Target)에 막대한 피해를 입혔던 공격 방식으로부터 스스로가 안전하다고 생각하는 중소기업들이 많을지 모른다. 그러나 중소기업을 대상으로 한 이런 공격 방식은 해커에게 더 큰 보상으로 이어질 수 있기 때문에 주의를 기울여야 한다.

타깃에 대한 공격이 발생한 후, 니만 마쿠스(Neiman Marcus), 이베이(eBay), PF창스(PF Chang’s) 등과 같은 다른 소매업체들도 영향을 받았다. 하지만 타깃 공격은 4,000만 개의 카드번호, 7,000만 명의 고객이름, 주소, 이메일, 전화번호 정보가 유출된 아주 거대한 보안사건이었다.

정보 유출의 책임을 지고 타깃 CEO 그렉 스테인하펠과 CIO 베스 제이콥이 사임했고, 피해액은 계속해서 불어났다. 여러 금융업체의 카드가 영향을 받았는데, 디스커버 파이낸셜 서비스(Discover Financial Services)의 연구에 의하면, 이 가운데 10%는 대형은행, 14%는 신용협동조합, 9%는 지역은행이었다.

전체적으로 84%의 금융업체가 영향을 받았는데, 전형적인 데이터 유출로 인한 피해 수는 겨우 29%에 그친다.

더욱 직접적으로 피트니스처럼 할부나 매월 결제를 위해 고객 카드번호를 파일상에 보유하는 소기업들은 취소된 카드로부터 더 이상 결제를 진행할 수가 없었다.

프라이버시 보호와 데이터 보호에 중점을 둔 조사업체인 포네몬 인스티튜트(Ponemon Institute)의 의장이자 창업자인 래리 포네몬은 "소기업들은 자신들이 해커의 영향을 받지 않는다고 생각하기 쉽다"고 말했다.

해커들의 공격의 초점은 대기업에 맞춰져 있다. 수많은 중소기업들은 그저 작은 회사에 불과한 자신들은 공격의 대상이 아니라고 생각한다. '대체 누가 우리 같은 회사를 해킹하겠어'라고 생각하기 마련이다.

사실 아주 많은 이들이 중소기업들을 대상으로 공격하는 게 현실이다. 중소기업들은 이들과 함께 협력하는 대기업과 동일한 공격의 위험에 처해있지만, 이들에게만 독특하게 발생하는 위험도 있다.

자신이 회사를 지켜라
모바일과 클라우드 보안 서비스에 특화된 보안과 위험 관리 컨설팅 업체인 네오햅시스 시큐리티 서비스(Neohapsis Security Services) 선임 보안 컨설팅 이사 마크 해몬드는 "타깃의 보안 실패는 전체적인 것이었다"고 말했다.

해몬드는 "협력업체들이 조직 내에서 관리되는 방법도 실패로 꼽힌다. 기술 문제만이 아니었다. 문제의 모든 측면에 이에 기여한 사람과 절차가 있었다"고 설명했다.

해커들은 타깃의 공조 시스템(Heating, Ventilating Air Conditioning, HVAC) 업체 자격으로 타깃의 보안과 결제 시스템을 뚫고 악성코드를 업로드했다. 당시 타깃의 악성코드 감지 툴이 이 공격을 잡아냈지만, 이 위협을 자동적으로 무력화시키는 기능이 꺼져 있었으며, 이 후에 이어진 경고도 무시됐다.

이 점이 바로 중소기업, 특히 대기업에 서비스를 제공하는 업체일 경우 공격의 대상이 될 수 있는 이유다. 해커들은 타깃의 공조 시스템 도급업체를 공격 진입로로 활용했고, 보안 실패가 계속 이어지며 결국 공격이 성공하게 되었다.

포네몬은 해커들에 의해 지적 자산이 담긴 정보를 도난 당한 군수업체의 예를 추가로 들었다. 포네몬은 "이 군수업체 시스템에 침투한다는 것은 침입 난이도 1에서 10의 기준에서 볼 때 난이도가 100정도"라고 말했다. 이 대신 해커들은 군수업체의 도급업체를 표적으로 삼고 이 업체를 통로로 해킹했다.

바로 이 점이 직원과 개발업체들이 중요한 이유다. 포네몬은 "신뢰의 수준을 조금 줄일 필요가 있다"고 조언했다. 이 사건은 이 군수업체와 협력해 일하던 소기업이 고용했던 청소업체 때문에 발생한 것이었다. 회사 직원뿐 아니라 자사와 협력하는 개발업체들에 대해서도 적절한 배후 조사를 실시해야 한다.




2014.07.17

타깃 사건이 중소기업의 데이터 보안에 미친 영향

Jen A Miller | CIO

지난해 타깃(Target)에 막대한 피해를 입혔던 공격 방식으로부터 스스로가 안전하다고 생각하는 중소기업들이 많을지 모른다. 그러나 중소기업을 대상으로 한 이런 공격 방식은 해커에게 더 큰 보상으로 이어질 수 있기 때문에 주의를 기울여야 한다.

타깃에 대한 공격이 발생한 후, 니만 마쿠스(Neiman Marcus), 이베이(eBay), PF창스(PF Chang’s) 등과 같은 다른 소매업체들도 영향을 받았다. 하지만 타깃 공격은 4,000만 개의 카드번호, 7,000만 명의 고객이름, 주소, 이메일, 전화번호 정보가 유출된 아주 거대한 보안사건이었다.

정보 유출의 책임을 지고 타깃 CEO 그렉 스테인하펠과 CIO 베스 제이콥이 사임했고, 피해액은 계속해서 불어났다. 여러 금융업체의 카드가 영향을 받았는데, 디스커버 파이낸셜 서비스(Discover Financial Services)의 연구에 의하면, 이 가운데 10%는 대형은행, 14%는 신용협동조합, 9%는 지역은행이었다.

전체적으로 84%의 금융업체가 영향을 받았는데, 전형적인 데이터 유출로 인한 피해 수는 겨우 29%에 그친다.

더욱 직접적으로 피트니스처럼 할부나 매월 결제를 위해 고객 카드번호를 파일상에 보유하는 소기업들은 취소된 카드로부터 더 이상 결제를 진행할 수가 없었다.

프라이버시 보호와 데이터 보호에 중점을 둔 조사업체인 포네몬 인스티튜트(Ponemon Institute)의 의장이자 창업자인 래리 포네몬은 "소기업들은 자신들이 해커의 영향을 받지 않는다고 생각하기 쉽다"고 말했다.

해커들의 공격의 초점은 대기업에 맞춰져 있다. 수많은 중소기업들은 그저 작은 회사에 불과한 자신들은 공격의 대상이 아니라고 생각한다. '대체 누가 우리 같은 회사를 해킹하겠어'라고 생각하기 마련이다.

사실 아주 많은 이들이 중소기업들을 대상으로 공격하는 게 현실이다. 중소기업들은 이들과 함께 협력하는 대기업과 동일한 공격의 위험에 처해있지만, 이들에게만 독특하게 발생하는 위험도 있다.

자신이 회사를 지켜라
모바일과 클라우드 보안 서비스에 특화된 보안과 위험 관리 컨설팅 업체인 네오햅시스 시큐리티 서비스(Neohapsis Security Services) 선임 보안 컨설팅 이사 마크 해몬드는 "타깃의 보안 실패는 전체적인 것이었다"고 말했다.

해몬드는 "협력업체들이 조직 내에서 관리되는 방법도 실패로 꼽힌다. 기술 문제만이 아니었다. 문제의 모든 측면에 이에 기여한 사람과 절차가 있었다"고 설명했다.

해커들은 타깃의 공조 시스템(Heating, Ventilating Air Conditioning, HVAC) 업체 자격으로 타깃의 보안과 결제 시스템을 뚫고 악성코드를 업로드했다. 당시 타깃의 악성코드 감지 툴이 이 공격을 잡아냈지만, 이 위협을 자동적으로 무력화시키는 기능이 꺼져 있었으며, 이 후에 이어진 경고도 무시됐다.

이 점이 바로 중소기업, 특히 대기업에 서비스를 제공하는 업체일 경우 공격의 대상이 될 수 있는 이유다. 해커들은 타깃의 공조 시스템 도급업체를 공격 진입로로 활용했고, 보안 실패가 계속 이어지며 결국 공격이 성공하게 되었다.

포네몬은 해커들에 의해 지적 자산이 담긴 정보를 도난 당한 군수업체의 예를 추가로 들었다. 포네몬은 "이 군수업체 시스템에 침투한다는 것은 침입 난이도 1에서 10의 기준에서 볼 때 난이도가 100정도"라고 말했다. 이 대신 해커들은 군수업체의 도급업체를 표적으로 삼고 이 업체를 통로로 해킹했다.

바로 이 점이 직원과 개발업체들이 중요한 이유다. 포네몬은 "신뢰의 수준을 조금 줄일 필요가 있다"고 조언했다. 이 사건은 이 군수업체와 협력해 일하던 소기업이 고용했던 청소업체 때문에 발생한 것이었다. 회사 직원뿐 아니라 자사와 협력하는 개발업체들에 대해서도 적절한 배후 조사를 실시해야 한다.


X