2015.03.24

'이제는 보험사다' 해커들이 노리는 이유

Jen A. Miller | CIO
최근 미국 건강보험사가 해킹당해 좀더 강력한 보안 조치가 요구되는 가운데, 이 사고의 피해 규모가 유통, 은행의 사고보다 훨씬 더 클 수 있다는 주장이 제기됐다.


이미지 출처 : flickr/powtac

미국 최대 규모의 건강보험사인 앤썸(Anthem)의 해킹 사태로 8,000만 명에 달하는 고객 정보가 유출됐다. 여기에는 사회보장 번호도 포함돼 있었다. 이번 데이터 유출 사건은 소비자들이 지게 되는 위험이 얼마나 크고 해커들이 얼마나 개인 정보를 쉽게 약탈할 수 있는지를 여실히 보여주었다. 그 중에서도 특히 건강 관련 데이터가 매우 취약한 것으로 나타났다.

해커들이 건강보험사를 노리는 이유는 단순히 중요한 정보가 많아서가 아니라 이들 회사의 보안 수준이 낮기 때문이다.

미국 시라큐스 대학(Syracuse University) 정보학 부교수인 아트 토마스는 “보험사 해킹에 성공하기만 하면 은행을 해킹했을 때만큼의, 혹은 그 이상의 정보를 얻을 수 있다”고 말했다.

늘어난 정보 보관기간
보험사들은 은행이나 신용카드 회사들보다 훨씬 더 많은 고객 정보를 보관하기 때문에 해커들이 노리는 먹잇감이 된다.

“보험회사는 정보를 처리하는 여러 집단간의 브로커와 같은 역할을 하기 때문에 일종의 정보 허브라 할 수 있다”고 토마스는 설명했다.

예를 들어 일반 기업의 건강보험을 담당하는 업체의 경우 직원들의 회사 정보나 연봉 정보를 보관하고 있을 수 있다. 또 그 사람의 주소, 사회보장번호, 가족관계 등의 정보도 저장돼 있을 수 있다.

이러한 정보들이 있으면 해당 인물의 프로필을 매우 쉽게 작성할 수 있다고 토마스는 말했다.

보안업체인 애조리언 사이버 시큐리티(Azorian Cyber Security)의 CEO인 찰스 텐델은 프로필이 정확할수록 피해 액수와 규모도 커진다고 말했다. “신용카드를 훔치면 물건 몇 개 사고 말겠지만, 개인 정보를 훔치면 직접 (피해자 이름으로) 신용카드를 만들 수 있다”고 그는 말했다.

IT보안업체 ESET의 보안 연구원 캐머론 캠프에 따르면, 이런 이유로 암시장에서는 개인 정보가 금융 정보보다 유통 기한이 길다. 금융 정보의 경우 판매 후 2주가 지나면 무용지물이 되기 때문이다. “건강 보험이나 개인 정보를 훔치게 되면 정확도도 훨씬 올라가고 정보의 유효기간도 더 길어진다”고 그는 말했다.

완전한 데이터일수록 해커는 피해자의 신상을 더욱 정확하게 파악할 수 있다. “해커들은 이렇게 얻은 정보로 피해자의 은행 계좌나 지메일 계정을 이용할 수도 있다. ‘비밀번호 찾기’ 메뉴를 이용해 온라인 계정의 비밀번호를 재설정 해버리기 때문에 특히 온라인으로 많이 거래하는 이들에게 더 큰 피해를 입힐 수 있다”고 캠프는 밝혔다.




2015.03.24

'이제는 보험사다' 해커들이 노리는 이유

Jen A. Miller | CIO
최근 미국 건강보험사가 해킹당해 좀더 강력한 보안 조치가 요구되는 가운데, 이 사고의 피해 규모가 유통, 은행의 사고보다 훨씬 더 클 수 있다는 주장이 제기됐다.


이미지 출처 : flickr/powtac

미국 최대 규모의 건강보험사인 앤썸(Anthem)의 해킹 사태로 8,000만 명에 달하는 고객 정보가 유출됐다. 여기에는 사회보장 번호도 포함돼 있었다. 이번 데이터 유출 사건은 소비자들이 지게 되는 위험이 얼마나 크고 해커들이 얼마나 개인 정보를 쉽게 약탈할 수 있는지를 여실히 보여주었다. 그 중에서도 특히 건강 관련 데이터가 매우 취약한 것으로 나타났다.

해커들이 건강보험사를 노리는 이유는 단순히 중요한 정보가 많아서가 아니라 이들 회사의 보안 수준이 낮기 때문이다.

미국 시라큐스 대학(Syracuse University) 정보학 부교수인 아트 토마스는 “보험사 해킹에 성공하기만 하면 은행을 해킹했을 때만큼의, 혹은 그 이상의 정보를 얻을 수 있다”고 말했다.

늘어난 정보 보관기간
보험사들은 은행이나 신용카드 회사들보다 훨씬 더 많은 고객 정보를 보관하기 때문에 해커들이 노리는 먹잇감이 된다.

“보험회사는 정보를 처리하는 여러 집단간의 브로커와 같은 역할을 하기 때문에 일종의 정보 허브라 할 수 있다”고 토마스는 설명했다.

예를 들어 일반 기업의 건강보험을 담당하는 업체의 경우 직원들의 회사 정보나 연봉 정보를 보관하고 있을 수 있다. 또 그 사람의 주소, 사회보장번호, 가족관계 등의 정보도 저장돼 있을 수 있다.

이러한 정보들이 있으면 해당 인물의 프로필을 매우 쉽게 작성할 수 있다고 토마스는 말했다.

보안업체인 애조리언 사이버 시큐리티(Azorian Cyber Security)의 CEO인 찰스 텐델은 프로필이 정확할수록 피해 액수와 규모도 커진다고 말했다. “신용카드를 훔치면 물건 몇 개 사고 말겠지만, 개인 정보를 훔치면 직접 (피해자 이름으로) 신용카드를 만들 수 있다”고 그는 말했다.

IT보안업체 ESET의 보안 연구원 캐머론 캠프에 따르면, 이런 이유로 암시장에서는 개인 정보가 금융 정보보다 유통 기한이 길다. 금융 정보의 경우 판매 후 2주가 지나면 무용지물이 되기 때문이다. “건강 보험이나 개인 정보를 훔치게 되면 정확도도 훨씬 올라가고 정보의 유효기간도 더 길어진다”고 그는 말했다.

완전한 데이터일수록 해커는 피해자의 신상을 더욱 정확하게 파악할 수 있다. “해커들은 이렇게 얻은 정보로 피해자의 은행 계좌나 지메일 계정을 이용할 수도 있다. ‘비밀번호 찾기’ 메뉴를 이용해 온라인 계정의 비밀번호를 재설정 해버리기 때문에 특히 온라인으로 많이 거래하는 이들에게 더 큰 피해를 입힐 수 있다”고 캠프는 밝혔다.


X