2022년 현재까지 발생한 주요 데이터 유출 사건

매년 사이버 범죄와 데이터 유출의 위험성에 대한 인식이 높아지고 있습니다. 하지만 안타깝게도 이러한 인식이 사건 발생 건수 감소로 이어지는 것은 아닙니다. 오히려 정반대입니다. 기업이 직면하는 가장 큰 과제는 공격의 수나 유형이 아니라, 피해가 너무 커지기 전에 신속하게 대응하여 최소화하는 방법입니다.

사이버 범죄로 인해 전 세계 기업들이 입을 수 있는 손실은 수백만 달러에 달할 것으로 예상됩니다. $10.5조 2025년까지 이러한 현상이 더욱 심화될 것으로 예상됩니다. 공격자들은 정교한 도구를 사용하여 모든 규모의 조직 시스템에 침투하고 데이터를 탈취합니다. 또한 악의적인 공격자들은 사회공학적 기법을 이용하여 직원들이 자신도 모르게 시스템 접근 권한을 획득하도록 유도합니다.

데이터 유출 시나리오는 매우 다양하므로, 올해 지금까지 발생한 주요 사례 몇 가지를 살펴보겠습니다.

1월 – Crypto.com 사이버 공격

크립토닷컴(Crypto.com)은 5천만 명이 넘는 사용자를 보유한 세계 최대 규모의 암호화폐 거래소 중 하나입니다. 그러나 2022년 1월 17일, 이 암호화폐 앱은 고객 계정에서 승인되지 않은 거래가 발생했음을 인지했습니다. 조사 결과, 크립토닷컴은 해커들이 2단계 인증(2FA)을 우회하여 디지털 지갑에서 자금을 인출한 사실을 알게 되었습니다.

크립토닷컴은 내부 감사 및 외부 기관의 자문을 거쳐 향후 위험을 완화하기 위해 더욱 강력한 다단계 인증(MFA) 시스템으로 전환할 것이라고 발표했습니다. 악의적인 공격자들은 최종적으로 1,430만 테라바이트(TP) 상당의 암호화폐를 탈취해 갔습니다. 피해를 입은 483명의 사용자는 크립토닷컴으로부터 보상받았습니다.

1월 – 적십자사 데이터 유출

국제적십자위원회(ICRC)는 2022년 1월 18일, 51만 5천 명이 넘는 "취약 계층"의 개인 정보가 유출된 사실을 알게 되었습니다. 이 공격은 데이터가 저장된 스위스 소재 하청업체를 표적으로 삼았습니다. 해커들은 ICRC 서버의 패치가 적용되지 않은 취약점을 통해 침입했으며, 이후 70일 동안 발각되지 않고 활동했습니다.

공격자들이 이 데이터를 이용해 몸값을 요구하거나, 유출 또는 판매할 가능성이 높았지만, 아직까지 그런 일은 발생하지 않았습니다. 하지만 안타깝게도 이번 데이터 유출 피해자들은 향후 개인정보 도용 피해를 입을 가능성이 있습니다.

2월 – 크레디트 스위스 데이터 유출

세계 최대 프라이빗 뱅크 중 하나인 크레디트 스위스는 지난 2월 익명의 내부고발자가 3만 명이 넘는 고객의 개인 정보를 유출하면서 큰 화제를 모았습니다. 이 유출로 약 14조 1천억 위안에 달하는 자금의 수혜자들이 드러났고, 그중 상당수는 훨씬 더 어두운 비밀을 숨기고 있었습니다. 전 세계 고위험 고객들의 개인 정보가 언론에 공개되면서 큰 파장을 일으켰습니다.

데이터 유출의 배경은 일단 제쳐두고, 이러한 내부 사건의 심각성에 초점을 맞춰 봅시다. 내부 고발자는 고객 기록에 접근 권한이 있었고, 엄청난 양의 정보를 빼내 외부로 유출할 수 있었습니다.

3월 – Lapsus$ 랜섬웨어 공격

Lapsus$ 랜섬웨어 공격은 2021년 12월에 처음 발생했지만, 2022년 3월 한 달 동안 여러 건의 대규모 공격이 드러났습니다. 10대 청소년들이 주도한 이 그룹은 엄청난 피해를 입혔습니다.

초기에는 공격이 계속되었습니다. 엔비디아, 1테라바이트의 데이터가 도난당해 몸값 요구의 대상으로 사용된 사건입니다. 삼성 갤럭시 기기의 소스 코드가 도난당했다는 발표가 곧이어 나왔지만, Lapsus$가 도둑으로 확인된 것은 아니었습니다. Lapsus$는 자신이 다음으로부터 코드를 훔쳤다고 주장했습니다. Microsoft Azure 특히 빙(Bing)과 코타나(Cortana) 같은 프로젝트의 소스 코드를 노렸습니다. 해당 그룹은 침입을 시도했습니다. 옥타 다음으로, IAM 회사의 고객 중 두 명에게만 연락할 수 있었습니다. 글로반트 Lapsus$의 소스 코드도 도용된 것으로 확인되었습니다. 마지막으로, 티모바일 3월 한 달 동안 여러 차례 해킹을 당해 소스 코드가 또다시 유출되었습니다.

Lapsus$ 해킹 사건의 많은 기업들이 다행히도 민감한 데이터 유출을 피할 수 있었습니다. 하지만 이러한 브랜드의 평판에 미친 부정적인 영향은 고객들에게 오래도록 나쁜 인상을 남길 수 있습니다.

3월 – 뉴욕시 교육부 데이터 유출

3월 26일, 뉴욕시 교육부는 82만 명의 학생 개인 정보가 해킹당했다고 확인했습니다. 이번 유출은 교육부가 사용하는 교육 소프트웨어인 일루미네이트 에듀케이션(Illuminate Education)에 대한 공격에서 비롯되었습니다. 해커들은 학생들의 이름과 생년월일을 포함한 다양한 개인 정보에 접근하는 데 성공했습니다.

데이터 유출은 1월에 발생했지만, 교육부는 3월 말이 되어서야 학생 데이터 유출 사실을 알게 되었습니다. 일루미네이트는 명성에 큰 타격을 입었을 뿐만 아니라, 약 100만 명에 달하는 학생들의 가족들도 장기적인 후유증에 직면할 수 있습니다.

4월 – 캐시앱 데이터 노출

2022년 4월 4일, 캐시앱 인베스티징(Cash App Investiging) 사용자 820만 명의 개인 정보가 유출된 사실이 밝혀졌습니다. 이 사실은 캐시앱과 스퀘어 결제 시스템을 운영하는 블록(Block)사가 증권거래위원회에 제출한 서류를 통해 알려졌습니다.

이번 대규모 데이터 유출 사건은 퇴사한 직원이 회사 보고서를 다운로드하면서 발생했습니다. 사건이 발견되기까지 거의 4개월이 걸렸습니다. 악의적인 의도였는지 여부는 알 수 없지만, 내부자 위협-관련 데이터 유출 사건은 수백만 명의 캐시 앱 고객에게 씁쓸한 기억을 남겼습니다.

5월 – 코스타리카 정부 랜섬웨어 공격

2022년 4월 17일, 콘티 그룹(Conti Group)이 코스타리카 정부 산하 약 30개 기관을 대상으로 랜섬웨어 공격을 시작했습니다. 이 국제 공격 조직은 1,400만 달러의 몸값을 요구했으며, 이를 이행하지 않을 경우 시민들의 세금 신고 정보가 유출될 것이라고 협박했습니다. 5월 31일에는 하이브 랜섬웨어 그룹(Hive Ranomsware Group)이 코스타리카 사회보장기금을 공격하는 랜섬웨어 공격을 감행했습니다. 이들의 몸값 요구액은 1,450만 달러였습니다.

재무부, 기술통신부, 국영 인터넷 서비스 제공업체 등 여러 부처가 사이버 공격의 피해를 입었습니다. 피해를 최소화하기 위해 세금, 사회보장, 수출입 관련 시스템과 정부 웹사이트가 폐쇄되었습니다.

전체적인 피해액은 약 1430만 유로에 달했습니다. 가장 큰 피해를 입힌 공격 방식은 랜섬웨어였지만, 웹페이지 변조와 이메일 파일 유출도 발생했습니다.

7월 – 트위터 데이터 유출

2022년 7월 21일, 한 해커가 트위터 사용자 540만 명의 개인 정보를 단돈 약 1,430,000 트위터 달러에 판매한다는 글을 올렸습니다. 공격자는 1월에 처음 발견된 알려진 취약점을 악용한 것입니다. 트위터는 해당 취약점을 패치했지만, 악의적인 공격자가 트위터보다 빨랐습니다.

2022년은 트위터에게 그다지 좋은 한 해가 아니었습니다. 8월에는 전 보안 책임자가 소셜 미디어 회사인 트위터를 상대로 공개적인 의혹을 제기했습니다. 미국 증권거래위원회(SEC)에 제출된 200페이지 분량의 소장에서 트위터는 "심각한 결함, 과실, 고의적인 무지, 그리고 국가 안보와 민주주의에 대한 위협"을 저질렀다고 묘사되었습니다.“

8월 – 0ktapus 피싱 공격

2022년 8월 25일, 위협 연구원들은 그룹 IB가 밝혔습니다 수개월에 걸친 조사 결과 0ktapus 피싱 캠페인. 공격자들은 Okta의 싱글 사인온 서비스를 모방하여 약 1만 명의 사용자 계정 정보를 탈취했습니다. Twilio와 DoorDash를 포함하여 130개 이상의 조직이 잠재적으로 피해를 입었습니다.

피싱 이러한 유형의 공격은 새로운 것이 아니며, Group-IB는 공격자들이 경험이 부족했을 가능성이 높다고 지적합니다. 그럼에도 불구하고, 이번 공격에서 그들은 클라우드플레어, 트위터, 마이크로소프트, T-모바일 등을 포함한 169개의 도메인을 표적으로 삼았습니다. 많은 기업들이 공격을 막아낼 수 있었지만, 공격 대상의 규모는 우려스러운 수준입니다.

9월 – 우버 데이터 유출 사건

마지막으로 2022년 9월 15일에 발표된 우버의 전사적 보안 침해 사건을 소개합니다. 우버의 계약직 직원을 대상으로 한 소셜 엔지니어링 공격으로 인해 여러 시스템이 해킹당했습니다. Lapsus$ 해킹 그룹의 계열사가 주도한 이 공격은 결국 관리자 권한을 획득하여 우버의 AWS, Google Drive, Slack, SentinelOne 등 여러 내부 도구를 장악하는 데 성공했습니다.

소셜 엔지니어링 공격은 조직에 심각한 피해를 계속해서 입히고 있습니다. 2022년 공격은 우버 사용자 정보를 유출하지는 않았지만, 악명 높은 2016년 데이터 유출 사건은 전혀 다른 이야기입니다. 당시 우버에서 발생한 또 다른 소셜 엔지니어링 공격으로 약 5,700만 명의 사용자 정보가 유출되었으며, 그중에는 약 60만 명의 운전면허증 번호도 포함되어 있었습니다. 더욱이, 당시 우버 최고정보보안책임자(CISO)는 데이터 유출 사건 수사 과정에서 연방 정부를 기만한 혐의로 유죄 판결을 받았습니다.

보안 자동화: 데이터 유출 위험 감소

데이터 유출 사고는 점점 더 빈번해지고 있으며 그로 인한 비용도 증가하고 있지만, 반드시 그래야만 하는 것은 아닙니다.

지난 몇 년 동안 데이터 유출 사고는 세계 최대 규모의 기업들을 강타했습니다. 우버, 페이스북, 트위터, 그리고 정부 기관에 이르기까지 이러한 사이버 공격으로 개인 정보가 유출되고 수백만 달러의 손실이 발생했습니다.

위협 탐지 및 사고 대응 지연의 원인은 무엇일까요? 많은 경우 자동화 부족이 원인입니다.

연구에 따르면 피싱 공격이 증가한 것으로 나타났습니다. 29% 지난 한 해 동안 내부자 위협이 증가했습니다. 44% 지난 2년간 전 세계적으로 데이터 유출 사고의 평균 비용은 엄청난 규모입니다. $435만. 물론 모든 데이터 유출을 완전히 막을 수는 없지만, 기업은 로우코드 보안 자동화를 구현함으로써 유출 위험을 크게 줄일 수 있습니다. 

보안 자동화, 스윔레인(Swimlane)과 같은 보안 자동화 솔루션은 사고 대응 속도를 높이고 체류 시간, 평균 탐지 시간(MTTD) 및 평균 복구 시간(MTTR)을 단축하기 때문에 보안 운영(SecOps) 팀에게 신뢰받는 솔루션입니다. 또한 보안 자동화는 보안 분석가가 위협을 사전에 탐지하고 전반적인 위험을 줄이는 데 도움이 됩니다.

보안 자동화 구매 가이드를 받아보세요

SOAR 및 보안 자동화 솔루션의 복잡성과 어려움을 해소하세요. 이 가이드에서는 현재 이용 가능한 다양한 보안 자동화 플랫폼을 분석하여 팀에 가장 적합한 솔루션을 찾을 수 있도록 도와드립니다.

지금 바로 다운로드하세요