[ad_1]
2023년에는 사이버 공격이 점점 더 널리 퍼지고 있습니다. 더 이상 올해에 기록적인 데이터 침해 건수를 기록할지 여부가 문제가 아니라 그 수치가 얼마나 높을지가 더 중요합니다.
ITRC(Identity Theft Resource Center)에 따르면 9월 말 현재 기업에서는 올해 2,116건의 데이터 손상을 보고했습니다. 이는 2021년에 설정된 이전 연간 기록인 1,862건보다 이미 높은 수치입니다. 그리고 4분기는 이미 수백만 명의 회사 고객에게 영향을 미칠 수 있는 23andMe의 세간의 이목을 끄는 해킹으로 시작되었습니다.
3분기에는 총 733건의 침해가 보고되었으며, 이는 66,658,764명의 사람들에게 영향을 미쳤습니다. 금융 서비스는 가장 많이 공격을 받은 부문으로, 2022년 2분기 이후 처음으로 의료 서비스를 넘어섰습니다. 이는 3분기에 데이터 손상을 보고한 금융 기관의 수가 급증했기 때문일 수 있습니다. 총 204건의 공지가 발부되었는데, 이는 지난 2년간 금융서비스업에서 보고된 총 135건보다 많은 수치입니다.
의료 기업은 3분기에 113건의 데이터 손상을 보고했습니다. 다른 업계에서는 침해율을 세 자릿수로 보고하지 않았습니다.
ITRC 회장 겸 CEO인 에바 벨라스케스(Eva Velasquez)는 성명을 통해 “데이터 침해 건수에 대한 기록을 세우는 것은 주목을 끌지만 불행히도 이는 놀라운 일이 아니다”라고 말했다. “제로데이 공격의 급격한 증가부터 새로운 랜섬웨어 그룹이 범죄 신원 시장에 진입하면서 새로운 랜섬웨어 공격의 물결에 이르기까지 데이터 손상이 증가하는 데에는 몇 가지 이유가 있습니다.”
한 가지 좋은 소식은 기록적인 침해 건수에도 불구하고 현재까지 총 피해자 수는 기록적인 속도를 크게 벗어나고 있다는 것입니다. 올해 첫 3분기 동안 추정 피해자 수는 2억 3,390만 명으로 2022년 현재 4억 2,500만 명에 비해 높습니다. (2022년에는 Twitter 및 AT&T를 포함한 일부 대규모 침해가 포함되었습니다.)
위험 증가
ITRC 보고서의 데이터 침해 범위는 랜섬웨어부터 피싱 공격, 맬웨어 감염까지 다양합니다. 이로 인해 라스베가스에 심각한 영향을 미친 MGM 랜섬웨어 공격과 같이 회사의 시스템이 차단되는 것부터 다크 웹에 신원이 판매된 개인에게 재정적으로 영향을 미치는 것까지 모든 것이 발생할 수 있습니다.
그러나 이스라엘 전쟁은 잠재적인 새로운 유형의 위협을 불러일으키고 있습니다. 23AndMe 해킹은 유대인 혈통의 사용자를 표적으로 삼았습니다. 판매용 데이터를 제공하는 한 온라인 게시물은 해당 조상과의 관계가 1% 미만인 사람들을 포함하여 아쉬게나지 유대인에 대한 거대한 데이터베이스를 보유하고 있다고 자랑했습니다.
온라인에서 유대인에 대한 반유대주의적 발언이 늘어나고 국내외에서 실제적인 물리적 위협이 가중되고 있는 상황에서 해당 게시물은 23AndMe 회원들 사이에서 자신의 안전에 대한 우려를 불러일으켰습니다.
더욱 우려스러운 점은 실제 위반 건수와 피해자 수가 ITRC의 데이터가 보여주는 것보다 훨씬 높을 가능성이 높다는 점입니다. ITRC 관계자는 공격에 대한 투명성이 계속해서 악화되고 있다고 지적합니다. 그리고 데이터 침해 통지를 제출할 때 회사가 어떻게 손상되었는지, 피해자에 대한 세부 정보가 부족한 경우가 많습니다.
ITRC의 COO인 James Lee는 “3분기 침해 통지의 절반 이상(53%)이 침해에 대한 조치 가능한 정보를 포함하지 않았다는 사실에서 알 수 있듯이 과소보고와 투명성 부족이 계속해서 우려되고 있습니다.”라고 말했습니다. “우리는 또한 기업이 개인이 위험에 처해 있다고 믿지 않을 때 단순히 위반을 보고하지 않기로 결정하고 있다는 새롭고 명확한 증거를 가지고 있습니다. 이는 거의 모든 주 위반 통지 법률에서 위반한 기업이 내릴 수 있도록 허용하는 결정입니다. 위험이 없다고 판단되면 일반적으로 통지가 필요하지 않습니다.”
데이터를 관점에서 살펴보면, 20년 전 데이터 침해법이 발효된 이후 미국에서는 약 18,000건의 데이터 침해 통지가 보고되었습니다. GDPR(일반 데이터 보호 규정)에 따라 데이터 침해 통지가 요구되는 유럽 연합에서는 매년 약 350,000건의 통지가 발행됩니다.
