보안조치가 완벽하지 않은 중소기업은 지난 3분기에 소개했었던 랜섬웨어 침해사고 뿐만 아니라 정보유출 침해사고에도 노출되어 있다. 정보유출 침해사고의 경우 공격자가 자료 탈취 후 마지막으로 랜섬웨어를 실행시키면서 피해기업이 인지하게 되는 경우도 있지만, 정보탈취만 수행하는 경우에는 피해기업에서 자체적으로 인지하게 어려운 사례가 대부분이다. 이러한 경우 공격자가 해킹포럼, 텔레그램 등의 공개된 채널을 통해서 해킹사실을 알리거나, 피해기업에게 직접 연락하여 해킹사실 알림과 동시에 협상을 시도하는 시점이후에 피해기업이 인지하게 된다.
정보유출 침해사고로 인해 피해기업은 핵심기술, 사업전략 노출로 인한 경쟁력 상실, 지속적인 경영 위협, 경제적인 손실 등의 부정적인 영향을 받게 되며, 특히 개인정보가 유출 되는 경우 고객의 신뢰 하락, 개인정보 보호법에 따른 과태료 부과 등의 추가적인 피해를 받게 된다. 따라서 정보유출 침해사고 예방과 대응을 위한 체계적인 보안 조치방안을 마련하는 것은 반드시 필요하다. 하지만 중소기업의 경우 예산과 인력부족으로 인해 체계적인 보안 조치방안을 마련하는 것에 한계에 부딪치는 경우가 많다.
이번 보고서는 국내외 정보유출 침해사고 동향과 2024년에 중소기업 침해사고 피해지원 서비스에 신고 접수된 정보유출 침해사고 사례들을 정리해서 침해사고가 발생되는 주요 원인과 공격 기법들을 파악하고 기업의 민감한 정보와 고객의 개인정보 보호를 위한 보안 시스템 강화, 직원 교육, 위험 관리 및 대응 체계 구축 등 구체적인 예방 및 대응 방안을 제시하며 중소기업들이 정보유출 사고에 대비하여 보다 안전한 정보보호 환경을 유지할 수 있는 실질적인 가이드라인을 제공하고자 한다.
2024년 중소기업 침해사고 피해지원 서비스에 접수된 주요 침해사고를 유형별로 분석한 결과, Top 5는 아래의 좌측 표와 같으며 이번 보고서의 주제로 다루고 있는 정보유출 침해사고의 경우 지난번 보고서 주제로 다루었으며 2위를 차지하고 있는 랜섬웨어 침해사고에 이어 3위를 차지하고 있다. 정보유출 침해사고의 주요 침투 경로를 분류해 본 결과 취약한 인증 및 세션 관리가 33.3%로 제일 높은 비율을 보였고, 이어 SQL Injection이 25%, 취약한 접근 통제가 19.4%로 확인되었다. 신고접수 된 정보유출 침해사고의 약 27.5%는 공격자가 탈취한 정보를 외부 공개된 채널을 통해(텔레그램, 포럼 등)에 유포한 사실이 확인 되었다.
| 침해사고 유형 | 발생 비율(2024년) |
|---|---|
| 악성코드C&C | 15.7% |
| 랜섬웨어 | 15.4% |
| 정보유출 | 8.7% |
| 웹페이지변조 | 8.2% |
| 악성사이트유도 | 6.4% |
| 정보유출 침해사고 원인 | 비율(2024년) |
|---|---|
| 취약한 인증 및 세션 관리 | 33.3% |
| SQL Injection | 25.0% |
| 취약한 접근 통제 | 19.4% |
| 기타 | 22.2% |
한국인터넷진흥원(KISA) 중소기업 침해사고 피해지원 서비스에 접수된 정보유출 침해사고 분석을 통해 확인된 공격 기법들을 공격 단계별로 정리 및 공유함으로써 효과적인 대응 방안을 제시하고자 한다.
아래는 중소기업 침해사고 피해지원 서비스에 접수된 사고에서 발생한 공격자의 행위 중, 실제 분석된 사고에서 확인된 공격 행위를 바탕으로 사례를 구성하였다.
국내외 사고 사례와 중소기업 침해사고 피해지원 서비스에 신고된 다수의 정보 유출 사고를 통해 분석한 결과, 침해사고 발생한 주요원인은 아래와 같았다.