블로그 | “개인 데이터 노린 공격, 300% 늘었다” 애플의 경고

지난 2년 동안 26억 개 이상의 개인 기록이 노출됐다고 애플이 밝혔다. 엔드투엔드 데이터 암호화가 중요한 이유를 조명하는 소식이다.

보안에 있어 또 한 번의 나쁜 한 주였다. 이른바 '우호적인' 정부들조차도 푸시 알림과 관련된 감시 데이터를 (애플에) 은밀히 요청하고 있음이 드러났다. 애플은 또 지난 2년간 데이터 유출로 인해 이미 26억 개 이상의 개인 기록이 손상된 것으로 분석된다고 전했다. 

온라인 데이터를 보호하는 가장 좋은 방법은 아무도 데이터를 저장하지 못하도록 하는 것일 터다. 애플은 자사가 의뢰한 연구 보고서(개인 데이터에 대한 지속적인 위협)를 공개했는데, 애플은 이 보고서를 통해 강력한 엔드투엔드 데이터 암호화 및 보안이 필요하다는 회사의 주장을 다시 한번 강조하려는 것으로 보인다.

데이터를 안전하게 보호하기 위해 데이터 자체를 안전하게 만들 필요가 있다는, 어찌보면 너무도 당연한 명제를 위해 애플이 보고서 제작을 의뢰했다는 현실 자체가 필자에게는 비극적으로 느껴진다. 하지만 실제 우리가 처한 현실이 그렇다. 
 
애플의 성명
애플의 소프트웨어 엔지니어링 담당 수석 부사장 크레이그 페데리기는 성명에서 다음과 같이 경고했다.

"악의적인 공격자들은 소비자 데이터를 훔칠 수 있는 더 창의적이고 효과적인 방법을 찾는 데 계속해서 막대한 시간과 자원을 쏟아붓고 있다. 우리는 이를 막기 위한 노력을 멈추지 않을 것이다. 소비자 데이터에 대한 위협이 증가함에 따라 더욱 강력한 보호 기능을 추가하여 사용자를 대신하여 대응할 수 있는 방법을 계속 모색할 것이다."

놀라울 정도로 빠르게 증가하는 공격 속도
매사추세츠 공과대학의 스튜어트 매드닉 교수가 수행한 이번 연구는 데이터 유출이 전 세계적으로 만연하다는 분명한 증거를 발견해 제시하고 있다. 데이터 유출 건수가 2013년과 2022년 사이에 3배 이상 증가했으며 2023년에도 계속 악화되고 있다.

중요한 메시지는 데이터 침해에 대한 강력한 보호책이 의무화되어야 한다는 것이다. 예를 들어, 범죄자나 정부의 지원을 받는 수상한 스파이가 데이터가 저장된 서버에 침입하려고 시도하려는 경우 엔드투엔드 암호화는 더욱 중요하다. 서버조차도 해당 정보를 이해하지 못하고 읽을 수 없다면 가해자도 읽을 수 없을 가능성이 높다.

고급 데이터 보호 기능을 사용해야 한다
이 보고서는 또한 애플이 최근 도입한 아이클라우드용 고급 데이터 보호 기능을 활성화해야 할 이유를 분명히 제시한다.

애플의 데이터 보호 기능은 암호 및 기타 민감한 정보와 같은 중요 정보의 암호화까지 확장되어 있었다. 고급 데이터 보호는 일부 제한이 있기는 하지만 메모, 아이클라우드 백업 및 사진에 대해서도 보호 기능을 구현한다.

데이터를 노린 공격의 기세가 급격히 증가하고 있다는 사실은 온라인 사용자라면 누구나 우려할 만한 일이다. 미국에서만 2023년 첫 9개월 동안 전년도보다 20% 가까이 더 많은 침해가 발생했다고 애플은 밝혔다. 

이 보고서는 또한 2021년부터 2022년 사이에 클라우드 인프라에 대한 공격이 거의 두 배로 증가했음에도 불구하고 침해의 80% 이상이 클라우드에 저장된 데이터와 관련이 있다고 경고하고 있다.

정교하고 풍부한 자원을 보유한 공격자
대부분의 보안 전문가들은 해커들이 점점 더 전문화되고 더 많은 자원을 확보하고 있다고 입을 모은다. 일부 해커는 피해를 입은 고객을 지원하기 위해 헬프데스크를 운영하기도 한다!

문제는 랜섬웨어가 거대한 비즈니스라는 점이다. 기업 보안 사슬의 아래쪽에 있는 개인으로부터 작은 데이터를 수집하고 결합하여 다른 곳의 보안을 침해하는 방법을 알아낸 정교한 공격자들의 금전적 이점을 누리고 있다.

오렌지 사이버디펜스의 전략 고문인 시멘 반 데르 페레는 최근의 정교한 랜섬웨어 공격 중 상당수가 여러 단계에 걸쳐 오랜 시간에 걸쳐 발생하곤 한다고 진단했다. 이러한 환경에서는 작은 취약점 하나하나도 놓치지 않고 찾아내야 한다. 

애플은 "해커들이 한때 그들을 막았던 보안 관행을 무력화할 수 있는 더 많은 방법을 찾고 있다. 그 결과, 강력한 보안 관행을 갖춘 조직도 위협에 취약해지고 있다"라고 밝혔다.

모든 것을 암호화하라
보고서는 베르나르도 필로(Bernardo Pillot, 인터폴 사이버범죄 운영 담당 부국장)의 발언을 인용하고 있다. 그는 "최근 몇 년 동안 사이버 위협의 수와 정교함이 전례 없이 증가했으며, 범죄자들이 최대 영향력과 최대 수익을 목표로 삼으면서 공격이 더욱 맞춤화되고 있다"라고 말했다.

데이터에 액세스하더라도 데이터를 이해할 수 없도록 하는 것이 개인 및 기업 보안에 대한 애플의 접근 방식이다. 누군가 온라인 데이터에 침입하더라도 데이터를 이해할 수 없다면 데이터는 사실상 안전한 상태로 유지될 수 있다.

데이터가 직원과 사용자에게만 문제가 되는 것은 아니다. 수많은 기업이 보유한 모든 데이터 레이크는 잠재적인 공격 대상이 될 수 있다. 또 이러한 시스템이 보유한 사람들에 대한 정보도 보호해야 한다는 점은 분명하다.

더 큰 문이 아니라 더 큰 벽이 필요하다
애플은 온라인에서의 활동이 늘어남에 따라 기업, 정부 및 기타 유형의 조직이 점점 더 많은 개인 데이터를 수집하고 있으며, 때로는 개인의 선택권이 거의 없는 경우도 있다고 경고했다.

동시에 글로벌 비즈니스의 상호 연결된 특성으로 인해 특정 조직이 다른 곳에서 도난당한 회사 직원에 대한 데이터를 사용하여 해킹에 성공하면 훨씬 더 큰 회사의 서버에 저장된 정보에 액세스하여 모두를 위험에 빠뜨릴 수 있음을 지적하고 있다.

이러한 종류의 공격은 고객 관계를 망치고 기업을 파산시킬 수 있다. 소비자와 기업 사용자 모두에게 엔드투엔드 암호화 보호를 구현하지 않는 국가는 자국의 국민과 기업이 어떤 위험을 감수해야 하는지 알아야 할 것이다.

연결된 세상에서 강력하고 견고한 디지털 보호는 필수적이며, 이를 약화시키는 조치는 어느 누구에게도 허용되는 사치가 아니다. 

* Jonny는 1999년부터 애플과 기술에 대해 기고해온 전문 저술가다. ciokr@idg.co.kr