데이터 유출이란 무엇인가요?

데이터 유출에는 중요한 정보의 유출이 수반됩니다. 많은 유형의 온라인 공격은 데이터 유출을 일으켜 로그인 자격 증명 및 개인 금융 데이터와 같은 정보를 유출하는 것을 주요 목표로 합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 데이터 유출의 정의
  • 데이터 유출의 몇 가지 예 설명
  • 데이터 유출 완화 전략 살펴보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

데이터 유출이란 무엇인가요?

데이터 유출이란 기밀, 개인 정보 등 중요한 정보가 보호되지 않은 환경으로 유출되는 것을 말합니다. 데이터 유출은 우발적으로 발생하거나 고의적인 공격의 결과로 발생할 수 있습니다.

매년 수백만 명이 데이터 유출로 피해를 입는데, 그 범위는 의사가 의도치 않게 다른 환자의 차트를 보는 것부터 중요한 정보를 빼내기 위해 정부 컴퓨터에 대규모로 액세스하려는 시도까지 다양합니다.

데이터 유출

중요한 데이터가 인터넷을 통해 지속해서 전송되므로 데이터 유출은 중요한 보안 문제입니다. 이러한 지속적인 정보 전송을 통해 공격자는 어느 위치에서든 원하는 거의 모든 개인이나 기업에 대한 데이터 유출을 시도할 수 있습니다.

또한 전 세계 기업에서는 데이터를 디지털 형식으로 저장합니다. 데이터를 저장하는 서버는 다양한 형태의 사이버 공격에 취약한 경우가 많습니다.

일반적으로 누가 데이터 유출의 표적이 될까요?

대기업은 대량의 페이로드를 제공하므로 데이터 유출을 시도하는 공격자의 주요 표적이 됩니다. 이 페이로드에는 로그인 자격 증명, 신용카드 번호 등 수백만 명의 사용자 개인 정보와 금융 정보가 포함될 수 있습니다. 이 데이터는 모두 암시장에서 재판매될 수 있습니다.

하지만 공격자는 데이터를 빼낼 수 있는 모든 사람을 대상으로 삼습니다. 모든 개인 정보나 기밀 데이터는 사이버 범죄자에게 가치가 있으며, 일반적으로 전 세계에서 누군가가 기꺼이 돈을 지불합니다.

데이터 유출이 발생할 수 있는 주요 방법에는 어떤 것이 있을까요?

  • 분실되거나 도난당한 인증 정보 - 온라인에서 개인 데이터를 보는 가장 간단한 방법은 다른 사람의 로그인 인증 정보를 사용하여 서비스에 로그인하는 것입니다.이를 위해 공격자는 사람들의 아이디와 비밀번호를 손에 넣기 위해 다양한 전략을 사용합니다.여기에는 무차별 대입 공격경로상 공격이 포함됩니다.
  • 분실되거나 도난당한 장비 - 기밀 정보가 들어있는 컴퓨터나 스마트폰을 분실하면 다른 사람의 손에 넘어가 아주 위험할 수 있습니다.
  • 소셜 엔지니어링 공격 - 소셜 엔지니어링은 심리적 조작을 통해 사람들을 속여 중요한 정보를 넘기도록 유도합니다.예를 들어, 공격자는 IRS 직원을 사칭하여 피해자에게 전화로 은행 계좌 정보를 공유하도록 유도할 수 있습니다.
  • 내부자 위협 - 보호되는 정보에 액세스할 수 있는 사람이 개인적인 이익을 위해 해당 데이터를 고의로 노출하는 경우가 많습니다.예를 들어, 고객의 신용카드 번호를 복사하는 식당 서버나 외국에 기밀을 유출하는 고위 공무원이 있습니다.(내부자 위협에 대해 자세히 알아보세요.)
  • 취약점 익스플로잇 - 전 세계 거의 모든 기업에서 다양한 소프트웨어 제품을 사용합니다.소프트웨어는 아주 복잡하므로 "취약점"으로 알려진 결함이 있는 경우가 많습니다.공격자는 이러한 취약점을 악용하여 무단으로 액세스하여 기밀 데이터를 보거나 복사할 수 있습니다.
  • 맬웨어 감염 - 많은 악의적 소프트웨어 프로그램은 데이터를 훔치거나 사용자 활동을 추적하여 수집한 정보를 공격자가 제어하는 서버로 전송하도록 설계되어 있습니다.
  • 물리적 point-of-sale(POS) 공격 - 이러한 공격은 신용 카드 및 직불 카드 정보를 대상으로 하며, 대부분 이러한 카드를 스캔하고 판독하는 장치와 관련이 있습니다.예를 들어 누군가가 카드 번호와 PIN을 수집하기 위해 가짜 ATM 기기를 설치하거나 합법적인 ATM 기기에 스캐너를 설치할 수도 있습니다.
  • 자격 증명 스터핑 - 데이터 유출로 인해 누군가의 로그인 인증 정보가 노출된 후 공격자는 수십 개의 다른 플랫폼에서 동일한 인증 정보를 재사용하려고 시도할 수 있습니다.해당 사용자가 여러 서비스에 동일한 사용자 이름과 비밀번호로 로그인하는 경우 공격자는 피해자의 이메일, 소셜 미디어 및/또는 온라인 뱅킹 계정에 액세스할 수 있습니다.
  • 암호화 부족 - 개인 데이터나 금융 데이터를 수집하는 웹 사이트에서 SSL/TLS 암호화를 사용하지 않는 경우, 누구나 사용자와 웹 사이트 간의 전송을 모니터링하고 해당 데이터를 일반 텍스트로 볼 수 있습니다.
  • 잘못 구성된 웹 앱 또는 서버 - 웹 사이트, 애플리케이션, 웹 서버가 제대로 설정되지 않은 경우 인터넷에 연결된 모든 사람에게 데이터가 노출될 수 있습니다.기밀 데이터를 우연히 발견한 사용자나 의도적으로 기밀 데이터를 찾는 공격자가 볼 수 있습니다.

실제 데이터 유출은 어떤 모습일까요?

2017년 발생한 Equifax 데이터 유출 사건은 대규모 데이터 유출의 주요 사례 중 하나입니다. Equifax는 미국의 신용 조사 기관입니다. 2017년 5월과 6월 사이에 공격자가 Equifax 서버에 있는 약 1억 5천만 명의 미국인, 약 천 5백만 명의 영국인, 약 1만 9천 명의 캐나다인의 개인 기록에 액세스했습니다. 이 공격은 Equifax가 시스템의 소프트웨어 취약점에 대한 패치를 적용하지 않아서 가능했습니다.

더 규모가 작은 데이터 유출도 큰 영향을 미칠 수 있습니다. 2020년에는 공격자가 수많은 유명인과 영향력 있는 사람의 트위터 계정을 탈취했습니다. 이 공격은 공격자가 초기에 소셜 엔지니어링 공격으로 트위터의 내부 관리 도구에 액세스함으로써 가능했습니다. 공격자는 이 초기 유출로 시작해서 여러 사람의 계정을 탈취하여 약 117,000달러의 비트코인을 수집하는 사기극을 벌일 수 있었습니다.

최근 수십 년 동안 가장 악명 높았던 데이터 유출 사고 중 하나는 2013년 주요 소매업체 Target을 대상으로 발생한 사이버 공격이었습니다.이 공격을 성공시키기 위해 사용된 전략의 조합은 상당히 정교했습니다.이 공격에는 소셜 엔지니어링 공격, 타사 공급업체의 하이재킹, 물리적 POS 장치에 대한 대규모 공격이 포함되었습니다.

이 공격은 Target 매장에 에어컨을 공급하는 에어컨 회사의 직원을 노린 피싱 사기로 시작되었습니다. 이 에어컨은 에너지 사용량을 모니터링하기 위해 Target 네트워크의 컴퓨터에 연결되었고, 공격자는 에어컨 회사의 소프트웨어를 손상시켜 Target 시스템에 액세스했습니다. 결국 공격자는 Target 매장의 신용카드 스캐너를 공격자에게 고객 신용카드 데이터를 제공하도록 다시 프로그래밍할 수 있었습니다. 이 스캐너는 인터넷에 연결되어 있지는 않았지만, 저장된 신용카드 데이터를 공격자가 모니터링하는 액세스 지점에 주기적으로 보내도록 프로그래밍되어 있었습니다. 이 공격은 성공적이었으며 약 1억 1,000만 명의 Target 고객의 데이터가 유출되었습니다.

기업에서는 데이터 유출을 어떻게 방지할 수 있을까요?

데이터 유출은 다양한 형태로 발생하므로 데이터 유출을 막을 수 있는 단일 솔루션은 없으며 총체적인 접근 방식이 필요합니다. 기업에서 취할 수 있는 몇 가지 주요 조치는 다음과 같습니다.

액세스 제어: 고용주는 직원이 업무 수행에 필요한 최소한의 액세스 및 권한만 갖도록 해서 데이터 유출을 방지할 수 있습니다.

암호화: 기업에서는 SSL/TLS 암호화를 사용하여 웹 사이트와 수신하는 데이터를 암호화해야 합니다.기업에서는 서버나 직원의 장치에 저장되어 있는 미사용 데이터도 암호화해야 합니다.

웹 보안 솔루션: 웹 애플리케이션 방화벽(WAF)은 데이터 유출을 목적으로 하는 여러 유형의 애플리케이션 공격과 취약점 악용으로부터 기업을 보호할 수 있습니다.실제로 WAF가 제대로 구성되었다면 2017년 Equifax에 대한 대규모 데이터 유출 공격을 막을 수 있었을 것으로 추측됩니다.

네트워크 보안: 기업에서는 웹 자산 외에도 내부 네트워크가 손상되지 않도록 보호해야 합니다.방화벽, DDoS 방어, 보안 웹 게이트웨이, 데이터 손실 방지(DLP)는 모두 네트워크 보안을 유지하는 데 도움이 됩니다.

소프트웨어와 하드웨어를 최신 상태로 유지: 오래된 버전의 소프트웨어는 위험합니다.소프트웨어에는 거의 항상 공격자가 중요한 데이터에 액세스할 수 있도록 허용하는 취약점이 존재하며, 이를 적절히 악용할 경우 공격자는 중요한 데이터에 액세스할 수 있습니다.소프트웨어 공급업체는 취약점을 패치하기 위해 정기적으로 보안 패치를 하거나 완전히 새로운 버전의 소프트웨어를 출시합니다.이러한 패치와 업데이트가 설치되지 않은 경우 공격자는 Equifax 유출 사고에서와 같이 해당 시스템을 손상시킬 수 있습니다.특정 시점이 지나면 벤더가 더 이상 소프트웨어 제품을 지원하지 않으므로 해당 소프트웨어는 새로운 취약점이 발견될 때마다 완전히 노출됩니다.

준비: 기업에서는 정보 유출을 최소화하거나 억제하는 것을 목표로 데이터 유출 발생 시 실행할 대응 계획을 준비해야 합니다.예를 들어, 회사에서는 중요한 데이터베이스의 백업 사본을 보관해야 합니다.

교육: 소셜 엔지니어링은 데이터 유출의 가장 흔한 원인 중 하나입니다.직원들이 소셜 엔지니어링 공격을 인식하고 대응할 수 있도록 교육하세요.

사용자가 데이터 유출로부터 자신을 보호하려면 어떻게 해야 할까요?

다음은 데이터 보호를 위한 몇 가지 팁이지만, 이러한 조치만으로는 데이터 보안을 보장할 수 없습니다.

각 서비스마다 고유한 비밀번호 사용: 많은 사용자가 여러 온라인 서비스에서 비밀번호를 재사용합니다.그 결과, 이러한 서비스 중 하나에서 데이터 유출이 발생하면 공격자는 해당 자격 증명을 사용하여 사용자의 다른 계정도 손상시킬 수 있습니다.

2단계 인증 사용: 2단계 인증(2FA)은 로그인을 허용하기 전에 사용자의 신원을 확인하기 위해 두 가지 이상의 인증 방법을 사용하는 것을 말합니다.가장 일반적인 2FA 형태 중 하나는 사용자가 비밀번호와 함께 휴대폰으로 문자로 전송된 고유한 일회용 코드를 입력하는 것입니다.2단계 인증을 사용할 경우 비밀번호만으로는 공격자가 계정을 탈취할 수 없으므로 로그인 자격 증명이 노출되는 데이터 침해에 덜 취약합니다.

HTTPS 웹 사이트에서만 개인 정보를 제출: SSL 암호화를 사용하지 않는 웹 사이트의 URL에는 "https://"가 아닌 "http://"만 포함됩니다.암호화를 사용하지 않는 웹 사이트는 사용자 이름과 비밀번호부터 검색어와 신용카드 번호까지 해당 웹 사이트에 입력한 모든 데이터가 노출됩니다.

소프트웨어 및 하드웨어를 최신 상태로 유지: 이 제안은 사용자뿐만 아니라 기업에도 적용됩니다.

하드 드라이브 암호화: 사용자의 장치가 도난당한 경우, 암호화되어있으면 공격자가 해당 장치에 로컬로 저장된 파일을 볼 수 없습니다.하지만 암호화하더라도 맬웨어 감염이나 다른 방법을 통해 장치에 원격으로 액세스한 공격자를 막지는 못합니다.

신뢰할 수 있는 출처에서 온 애플리케이션을 설치하고 파일 열기: 사용자들은 매일 실수로 맬웨어를 다운로드하고 설치합니다.열거나 다운로드하거나 설치하는 모든 파일이나 애플리케이션이 실제로 합법적인 출처에서 온 것인지 확인하세요.또한 사용자는 예상치 못한 이메일 첨부 파일을 열지 말아야 합니다. 공격자가 이메일에 첨부된 해롭지 않아 보이는 파일에 맬웨어를 숨기는 경우가 많기 때문입니다.