데이터 유출(데이터 추출 또는 데이터 내보내기라고도 함)은 데이터 도난입니다. 즉, 컴퓨터나 기타 디바이스에서 의도적으로 무단으로 은밀하게 데이터를 전송하는 것입니다. 데이터 유출은 수동으로 수행하거나 멀웨어를 사용하여 자동으로 수행할 수 있습니다.
일반 사용자부터 주요 기업 및 정부 기관에 이르기까지 다양한 대상에게 데이터 유출 공격은 가장 파괴적이고 피해를 주는 사이버 보안 위협 중 하나입니다. 데이터 유출을 방지하고 회사 데이터를 보호하는 것은 다음과 같은 여러 가지 이유로 중요합니다.
비즈니스 연속성 유지: 데이터 유출은 운영을 방해하고 고객 신뢰를 손상시키며 재정적 손실을 초래할 수 있습니다.
규정 준수: 많은 산업에는 데이터 프라이버시 및 보호에 관한 특정 규정이 있습니다. 데이터 유출은 종종 이러한 규정을 준수하지 않아 발생하거나 이러한 규정을 준수하지 않음을 드러내며 심각한 처벌을 초래하고 지속적인 평판 손상으로 이어질 수 있습니다.
지적 재산 보호: 데이터 유출은 조직의 수익성과 경쟁 우위에 필수적인 영업 비밀, 연구 개발 및 기타 독점 정보를 훼손할 수 있습니다.
사이버 범죄자들에게 민감한 데이터는 매우 중요한 표적이 되었습니다. 도난당한 고객 데이터, 개인 식별 정보(PII), 사회 보장 번호 또는 기타 유형의 기밀 정보는 암시장에서 판매되거나 추가 사이버 공격을 실행하는 데 사용되거나 랜섬웨어 공격의 일환으로 막대한 수수료를 대가로 인질로 잡힐 수 있습니다.
데이터 누출, 데이터 침해 및 데이터 유출은 종종 같은 의미로 사용되지만 서로 다른 개념입니다.
데이터 누출은 민감한 데이터가 우발적으로 노출되는 것을 말합니다. 데이터 누출은 기술적 보안 취약성이나 절차적 보안 오류로 인해 발생할 수 있습니다.
데이터 침해는 기밀 또는 민감한 정보에 대한 무단 액세스를 초래하는 보안 사고입니다. 민감한 데이터에 액세스해서는 안 되는 사람이 민감한 데이터에 액세스할 수 있습니다.
데이터 유출은 데이터를 훔치는 개별적인 행위입니다. 모든 데이터 유출에는 데이터 누출 또는 데이터 침해가 필요하지만 모든 데이터 누출 또는 데이터 침해가 데이터 유출로 이어지는 것은 아닙니다. 대신 위협 행위자는 랜섬웨어 공격의 일부로 데이터를 암호화하거나 이를 사용하여 경영진의 이메일 계정을 탈취할 수 있습니다. 데이터가 공격자의 통제하에 있는 다른 저장 디바이스로 복사되거나 이동되기 전까지는 데이터 유출이 아닙니다.
구분이 중요합니다. Google에서 '데이터 유출 비용'을 검색하면 데이터 침해 비용에 대한 많은 정보를 찾을 수 있습니다. 그 이유는 주로 데이터 유출과 직접적으로 관련된 비용에 대해 사용할 수 있는 데이터가 거의 없기 때문입니다. 그러나 대부분의 데이터 침해 비용 계산에는 유출된 데이터의 판매 또는 공개를 방지하기 위해 지불하는 상당한 금액의 대가나 유출된 데이터에 의한 후속 공격 비용 등 특히 유출과 관련된 비용은 포함되지 않습니다.
데이터 유출은 대부분 다음과 같은 원인으로 발생합니다
외부 공격자(해커, 사이버 범죄자, 해외 적국 또는 기타 악의적인 행위자)
부주의한 내부자 위협 - 직원, 비즈니스 파트너 또는 기타 권한이 있는 사용자가 인적 오류, 잘못된 판단(예: 피싱 사기에 넘어감) 또는 보안 제어, 정책 및 모범 사례에 대한 무지(예: 중요한 데이터를 썸 드라이브, 휴대용 하드 드라이브 또는 기타 안전하지 않은 디바이스로 전송)로 인해 실수로 데이터를 노출하는 경우입니다.
드문 경우이긴 하지만, 악의적인 내부자 위협, 즉 불만을 품은 직원과 같이 네트워크에 대한 승인된 액세스 권한을 가진 악의적인 공격자가 원인입니다.
외부 공격자와 악의적인 내부자는 부주의하거나 교육을 제대로 받지 못한 내부자와 기술적 보안 취약성을 악용하여 민감한 데이터에 액세스하고 이를 탈취합니다.
소셜 엔지니어링 공격은 인간의 심리를 악용하여 개인이 자신 또는 조직의 보안을 위협하는 행동을 취하도록 조작하거나 속입니다.
가장 일반적인 유형의 소셜 엔지니어링 공격은 피싱으로, 신뢰할 수 있는 발신자를 사칭하여 사용자가 멀웨어(예: 랜섬웨어)를 다운로드하거나 악성 웹사이트 링크를 클릭하고 개인 정보(예: 로그인 자격 증명)를 제공하거나 경우에 따라 공격자가 유출하려는 데이터를 직접 넘기도록 유도하는 이메일, 문자 또는 음성 메시지를 사용하는 것입니다.
피싱 공격은 신뢰할 수 있는 브랜드나 조직에서 보낸 것처럼 보이는 비인격적인 대량 피싱 메시지부터 가까운 동료나 권위자가 보낸 것처럼 보이는 메시지로 특정 개인을 표적으로 삼는 고도로 개인화된 스피어 피싱, 웨일 피싱, 비즈니스 이메일 침해(BEC) 공격까지 다양합니다.
그러나 소셜 엔지니어링은 기술적으로 훨씬 더 간단합니다. 베이팅라고 불리는 소셜 엔지니어링 기법 중 하나는 멀웨어에 감염된 썸 드라이브를 사용자가 가져가기 쉬운 곳에 놓아두는 간단한 방법입니다. 테일게이팅이라고 하는 또 다른 기법은 데이터가 저장된 공간의 실제 위치로 권한이 있는 사용자를 따라 들어가는 것으로, 그다지 복잡하지 않습니다.
취약성 익스플로잇은 보안 결함이나 시스템 또는 디바이스의 하드웨어, 소프트웨어 또는 펌웨어의 개방성을 이용합니다. 제로데이 익스플로잇은 소프트웨어나 디바이스 공급업체가 보안 결함을 인지하거나 수정하기 전에 해커가 이를 발견하여 이용합니다. DNS 터널링은 DNS(도메인 이름 서비스) 요청을 사용하여 방화벽 방어를 회피하고 중요한 정보를 유출하기 위한 가상 터널을 생성합니다.
개인이 유출을 통해 도난당한 데이터는 신원 도용, 신용카드 또는 은행 사기, 협박 또는 갈취와 같은 값비싼 결과를 초래할 수 있습니다. 조직, 특히 의료 및 금융과 같이 규제가 엄격한 산업에 속한 조직의 경우 그로 인해 발생하는 비용은 훨씬 더 큽니다. 여기에는 다음이 포함됩니다.
비즈니스에 중용한 데이터 손실로 인한 운영 중단;
고객의 신뢰 또는 비즈니스 손실;
제품 개발/발명, 고유한 애플리케이션 코드 또는 제조 프로세스와 같은 귀중한 영업 비밀의 침해;
고객의 민감한 데이터를 다룰 때 엄격한 데이터 보호 및 개인정보 보호 프로토콜과 예방 조치를 준수하도록 법으로 규정된 조직에 대해 엄격한 규제 벌금, 수수료 및 기타 제재;
유출된 데이터로 인해 후속 공격이 가능해졌습니다.
데이터 유출에 직접적으로 영향을 미치는 비용에 대한 보고서나 연구는 찾아보기 어렵지만, 데이터 유출 사건은 빠르게 증가하고 있습니다. 오늘날 대부분의 랜섬웨어 공격은 이중 갈취 공격으로, 사이버 범죄자는 피해자의 데이터를 암호화하여 유출한 다음 (피해자가 비즈니스 운영을 재개할 수 있도록) 데이터를 잠금 해제하는 데 대가를 요구하고, 이후 제3자에게 데이터를 판매 또는 공개하지 않겠다는 명목으로 후속 대가를 요구합니다.
2020년에 사이버 범죄자들은 Microsoft와 Facebook에서만 수억 건의 고객 기록을 탈취했습니다. 2022년 Lapsus$ 해킹 그룹은 칩 제조사 Nvidia로부터 1TB의 민감한 데이터를 유출하고 회사의 딥 러닝 기술에 대한 소스 코드를 유출했습니다. 해커가 돈을 추적한다면 데이터 유출에 따른 돈도 커질 수밖에 없습니다.
조직에서는 모범 사례와 보안 솔루션을 결합하여 데이터 유출을 방지합니다.
보안 인식 교육. 피싱은 일반적인 데이터 유출 공격 벡터이므로 사용자에게 피싱 사기를 인식하도록 교육하면 해커의 데이터 유출 시도를 차단하는 데 도움이 될 수 있습니다. 원격 근무, 비밀번호 보안, 직장에서의 개인 디바이스 사용, 회사 데이터 처리/전송/저장에 대한 모범 사례를 사용자에게 교육하면 조직이 데이터 유출 위험을 줄이는 데 도움이 될 수 있습니다.
ID 및 액세스 관리(IAM). IAM 시스템을 통해 기업은 네트워크의 각 사용자에게 단일 디지털 ID와 단일 액세스 권한 세트를 할당하고 관리하여 권한이 있는 사용자의 액세스를 간소화하는 동시에 해커를 비롯한 무단 사용자의 액세스를 차단할 수 있습니다. IAM은 다음과 같은 기술을 결합할 수 있습니다.
다단계 인증—사용자 이름과 비밀번호 외에 하나 이상의 로그온 자격 증명 필요
역할 기반 액세스 제어(RBAC) - 조직 내 사용자 역할을 기반으로 한 액세스 권한
적응형 인증—상황이 변경되면 사용자에게 재인증 요구(예: 사용자가 디바이스를 전환하거나 특히 민감한 애플리케이션 또는 데이터에 액세스하려고 시도하는 경우)
Single Sign On—사용자가 단일 로그인 자격 증명 세트를 사용하여 세션에 한 번 로그인하면 해당 세션 중에 다시 로그인하지 않고도 여러 관련 온프레미스 또는 클라우드 서비스에 액세스할 수 있는 인증 체계입니다.
DLP(데이터 손실 방지). DLP 솔루션은 미사용(저장소), 이동 중(네트워크 이동), 사용 중(처리 중) 등 모든 상태의 민감한 데이터를 모니터링하고 검사하여 유출 징후가 있는지 확인하고, 이러한 징후가 탐지되면 유출을 차단합니다. 예를 들어, DLP 기술은 데이터가 무단 클라우드 스토리지 서비스로 복사되거나 무단 애플리케이션(예: 사용자가 웹에서 다운로드한 앱)에 의해 처리되는 것을 차단할 수 있습니다.
위협 탐지 및 대응 기술. 점점 더 많은 사이버 보안 기술이 기업 네트워크 트래픽과 사용자 활동을 지속적으로 모니터링하고 분석하여 과중한 업무에 시달리는 보안 팀이 실시간 또는 거의 실시간으로 사이버 위협을 감지하고 최소한의 수동 개입으로 대응할 수 있도록 지원합니다. 이러한 기술에는 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS), 보안 정보 및 이벤트 관리(SIEM) 및 보안 오케스트레이션, 자동화 및 대응(SOAR) 소프트웨어, 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR) 솔루션이 포함됩니다.
연결되고 현대화된 보안 제품군으로 공격에 대응하세요. QRadar 포트폴리오는 엔터프라이즈급 AI가 내장되어 있으며 공통 사용자 인터페이스, 공유 인사이트, 연결된 워크플로우를 통해 엔드포인트 보안, 로그 관리, SIEM 및 SOAR를 위한 통합 제품을 제공합니다.
온프레미스 또는 하이브리드 클라우드에서 구현되는 IBM 데이터 보안 솔루션은 사이버 위협을 조사 및 해결하고, 실시간 제어를 시행하며, 규정 준수를 관리하기 위한 가시성과 인사이트를 얻는 데 도움을 줍니다.
선제적 위협 사냥, 지속적인 모니터링 및 위협에 대한 심층 조사는 이미 바쁜 IT 부서가 직면한 우선순위 중 일부에 불과합니다. 신뢰할 수 있는 인시던트 대응 팀이 대기하고 있으면 대응 시간을 줄이고 사이버 공격의 영향을 최소화하며 더 빠르게 복구하는 데 도움이 됩니다.