영국의 보안 컨설팅 업체인 7Safe와 베드포드셔 대학교가 함께 발간한 2010년 영국 보안 침해 조사 보고서가 발표되었습니다. 관련 내용이 많지만, 간략하게 도표로 정리해 봤습니다.

먼저, 2009년도의 가장 큰 사고는 바로 Heartland Payment Systems 의 해킹 사고입니다. 이 사고로 약 1억3천만 건 이상의 결제 정보가 누출됐으며 이로 인해 신용카드를 재발급하는 등의 수백만 달러 이상의 비용이 들기도 했습니다.

관련 정보: http://moonslab.com/787

하여튼, 이 보고서에서는 영국의 산업 현황부터 보안 사고가 발생한 부문까지 자세한 내용이 포함되어 있습니다.

1. 조사 대상의 산업 구조 - 소매점이 69%를 차지하고 있으며, 금융이 7%, IT 서비스가 4% 등의 순서로 분포되어 있습니다.


2. 조사 대상의 회사별 종업원 수 - 조사 대상의 회사에 근무하는 직원의 수는 매우 다양합니다만,  보통 100명 미만의 중소기업이 주를 이루고 있습니다.


3. 데이터 침해의 유형 - 주로 금융 관련 정보가 누출되었으며, 회사의 기밀데이터 순입니다.

4. 침해시 피해 현황 - 2만-5만 건 정도가 가장 많이 침해당한 것으로 파악됩니다.

5. 공격의 출처: 이론적으로는 내부, 외부, 내부의 직원 등의 비율이 크게 차이가 나지 않았지만 실제로는 외부의 공격이 약 80% 정도를 차지한 것으로 파악됩니다.

6. 공격당한 서버의 환경 - 공격당한 서버의 위치는 보통 호스팅 환경에서 발생한 것으로 파악되며, 실제 서버가 어디 있는지에 대한 비율이 나와 있지 않으므로 보다 자세한 비교는 어렵습니다.


7. 공격 유형 - 어떤 공격이 주로 발생했는지 분석할 때 웹 애플리케이션에 대한 공격이 자그마치 86%에 이르렀습니다. 그 외 시스템과 같은 인프라에 대한 공격이 상대적으로 저조합니다.

8. 취약점 유형 - 공격당한 가장 큰 원인은 바로 SQL 인젝션으로 인한 것으로 약 60% 정도를 차지하고 있습니다. 그외에는 관리자나 사용자의 실수로 발생한 것이 30% 정도 입니다.

9. 공격의 난이도 - 공격의 난이도는 보통이 62% 차지할 정도로 공격이 평준화된 것으로 보입니다.

10. 국가별 공격 현황 - 공격을 시도한 나라는 의외로 베트남이 수위를 차지했습니다. 그리고, 미국 순입니다.



보다 자세한 사항은 아래 PDF 문서를 참고하십시오.

http://www.7safe.com/breach_report/Breach_report_2010.pdf

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    2009년 올해 기억될만한 보안 침해 사고 중에는 하틀랜드(Heartland) 사건이 있습니다. 해커는 SQL Injection 취약점을 통해 약 1억3천만건의 신용카드 등의 사용 정보가 누출된 바가 있습니다. 이와는 별도로 지난해 일어난 사고에 대해 비용을 지불한다는 뉴스가 있어 간단히 정리해 봅니다.


    이번에 하틀랜드(Heartland Payment Systems)는 지난해말부터 올해 초까지 발생한 해킹에 대한 책임으로 어메리칸 익스프레스(American Express)에 360만 달러를 지불해 주기로 했습니다.

    이 비용은 카드사가 누출된 카드에 대해 새로운 카드를 재발급하는데 드는 비용을 포함하고 있습니다.

    중요한 점은 이렇게 데이터 침해가 발생하게 되면 원청으로부터 손해배상을 받을 수 있다는 사실입니다.

    모두들 주의하시기 바랍니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory