지난해 발생했던 기업의 보안 사고 대부분이 사람의 실수에 기인한 것으로 파악됐다.
Credit: iStockphoto
미국 전역에 사무실을 운영하는 법무법인인 베이커호스테틀러(BakerHostetler)의 개인정보 및 데이터 보호 팀은 2014년에 자신들이 맡았던 보안 사고를 조사한 결과 대부분이 사람 실수 때문에 발생했다는 내용을 담은
보고서를 발간했다.
이 보고서에 따르면, 직원의 과실이 36%로 가장 많았고 다음으로는 외부 침입(22%), 내부자 도용 (16%), 악성코드(16%), 피싱(14%) 순으로 책임이 있는 것으로 나타났다. 이는 지난해 베이커호스테틀러가 맡았던 200건 이상의 사건을 분석한 결과다.
사고 빈도를 보면, 의료가 가장 많았는데 이는 의료의 보안규제가 특히 엄격하기 때문인 것으로 풀이됐다. 의료 다음으로는 유통이며 이어서 금융, 전문서비스, 교육 등의 빈도수가 많았다. 하지만 보안 사고의 심각성 측면에서 보면, 전문서비스가 가장 심각한 것으로 나타났다.
"비공개 건강 정보(PHI)가 유출되는 일이 자주 발생하더라도, 사고 영향을 받은 환자 수가 적어(많은 사고들에서 피해 환자 수는 10명 미만이었음) 심각성은 낮다. 그에 비해 전문서비스와 유통의 경우 심각성은 훨씬 높다. 이 산업들에서는 종종 포렌식 조사를 요구하고 언론에 대서특필되기 때문에 비용과 잠재적인 경제 손실은 사건 1건에 대해서도 매우 크게 상승하게 된다”고 보고서는 전했다.
이 보고서에서 언급된 또다른 흥미로운 점은 탐지에 주목하고 있다는 것이다. 정보보안 업계의 포렌식 업체들은 기업들이 대부분의 사건들을 직접 탐지할 수 없다고 주장하는데 실제 베이커호스테틀러를 찾아온 기업들은 당시 자신들의 문제를 64% 발견한 상태였다. 베이커호스테틀러에 의뢰한 기업의 대다수는 디지털 데이터 문제로 고심하고 있었지만, 이들 중 21%는 종이 서류 관련 사고였다. 대부분의 의료기관들이 아직도 종이기록물을 사용한다는 점을 감안하면 이는 적은 숫자가 아니다.
이 보고서는 고객사 대부분이 특정 사건의 여파로 신용 모니터링을 제공에 주의를 기울이고 있다고 밝혔다.
"종이건 디지털이건 우리가 맡았던 사건의 58%에서 의사결정을 끌어낸 위험한 데이터는, 사회보장번호나 운전면허증번호와 계좌정보 같은 침해통지법 대상의 데이터였다. 영향을 받았단 사고 가운데 34%는 의료정보였고 8%는 지불카드 데이터였다"라고 보고서는 덧붙였다.
규제 조치에 대해 다수의 주정부가 문의한 경우는 사고의 5%도 채 되지 않았으며 59건만이 검찰총장의 통지를 요구했다. 유통의 경우 지불카드 데이터 유출을 겪은 사업자들은 벌금을 물었다.
보고서는 보안 사고에서 아직까지 사람이 가장 위험한 원인으로 나타났으며 이는 해결하기 쉽지 않은 문제라고 결론지었다.
"정교한 소프트웨어 및 모니터링/탐지 시스템이 더 많이 도입됐지만, 우리의 데이터는 많은 보안 침해가 여전히 낮은 기술 실책 때문인 것으로 나타났다. CISO는 취약점을 최소화하기 위해 최첨단 데이터 보안 아키텍처를 갖춘 일반적인 보안 인식 교육을 결합해야 한다"라고 베이커호스테틀러의 개인정보 및 데이터 보호 팀 공동리더인 제럴드 퍼거슨은 말했다. ciokr@idg.co.kr