세계 보안기업의 97%가 해킹을 당했던 것으로 나타났다. 고객사의 정보보호를 담당하는 보안기업이 사내 정보조차 제대로 보호하지 못하고 있는 셈이다.

이같은 사실은 스위스의 보안기업 이뮤니웹이 최근 발표한 보고서를 통해 드러났다.

이뮤니웹은 인공지능(AI) 기술을 활용해 공격 표면 관리, 애플리케이션 보안 테스트, 다크웹 모니터링 등을 제공하는 보안 기업으로 35개국에 고객사를 두고 있다.

이번 이뮤니웹 보고서 '다크웹에서의 사이버보안 산업 유출 현황(State of Cybersecurity Industry Exposure at Dark Web)'은 미국 유럽 등 세계 26개국의 주요 사이버보안 기업 398개를 대상으로 정보보호 현황을 분석한 것이다. 이뮤니웹은 이 분석을 위해 해커들이 다크웹에 올리는 유출 데이터 판매글을 참고했다. 

보고서에 따르면 조사 기업 97%의 사내 데이터가 다크웹에 유출된 것으로 나타났다. 

이뮤니웹은 조사대상 보안 기업에서 데이터 총 63만1천512건이 유출된 것을 확인했다. 기업 당 약 1천586개의 데이터가 유출된 셈이다. 

유출된 데이터 중 절반은 개인식별정보 및 기업 데이터인 것으로 나타났다. 또 자격증명 정보(30%), 백업 또는 덤프 데이터(15%)도 상당한 것으로 드러났다.

특히 유출된 데이터 중 약 25%인 16만529건은 위험도가 높은 것으로 분석됐다. 

이뮤니웹은 유출된 데이터의 위험도를 낮은 위험(Low risk), 중간 위험(Medium risk), 높은 위험(High risk), 심각한 위험(Critical risk)으로 분류했다. 이 중 높은 위험에 해당되는 경우는 평문의 패스워드가 포함된 자격증명 정보 또는 금융 기록, PII 등으로 유출에 매우 민감한 데이터들이다. 

높은 위험으로 평가된 데이터들 중 최신 정보이거나, 흔히 찾기 어려운 정보인 것에 대해 심각한 위험을 지닌 것으로 평가했다.

이뮤니웹은 또 나라별로 미국 보안 기업들이 치명적인 보안 사고를 가장 많이 겪었으며 영국, 캐나다, 아일랜드, 일본, 독일, 이스라엘, 체코, 러시아, 슬로바키아 순으로 조사됐다고 밝혔다. 벨기에, 포르투칼, 프랑스 등은 보안 사고 건수가 적게 나타났다.

보고서는 보안기업의 데이터가 이렇게 유출된 배경으로 보안 기업의 보안 체제가 매우 허술하거나 미흡하기 때문인 것으로 확인됐다고 지적했다.

실제로 조사 기업의 63%는 신용카드 보안표준(PCI DSS)의 요구사항을 준수하고 있지 않았다. 이는 구형 소프트웨어를 사용하거나 웹애플리케이션방화벽(WAF)를 갖추고 있지 않는 등 보안 상태가 취약하다는 것을 뜻한다.

개인정보 보호를 소홀히 한 경우도 48%로 나타났다. 이들은 취약한 소프트웨어를 사용하거나 개인정보보호정책이 정확하게 드러나지 않았다. 또 사용자를 추적할 수 있는 쿠키나 식별자가 포함된 경우 사용자 동의를 요청하지 않았다 

91개 기업의 경우 웹사이트 상에서 보안 취약점이 발견되기도 했다. 이 중 26%는 현재까지 보안 패치가 이뤄지지 않고 있는 상황이다.

또 보안 기업에서 유출된 패스워드의 29%는 8자 미만 또는 대문자나 숫자, 기타 특수 문자를 사용하지 않는 등 해킹에 취약한 형태였다. 이와 함께 162개 기업의 직원 40명이 패스워드를 재사용하는 것으로 조사됐다.

이뮤니웹은 해커들이 최종 목표로 하는 대상 대신 이들과 신뢰 관계에 있는 서드파티 기업, 기관을 목표로 한다고 지적했다. 

관련기사

금융기관 등 보안 사고가 발생할 경우 치명적 타격을 입을 수 있는 곳들은 보안에 충분히 투자하고 있어 해킹 난이도가 높고, 직접 해킹 시 수사를 통해 신원이 노출될 위험성이 있다. 반면 로펌, IT 기업 등 서드파티 기업은 보안에 투자하는 예산과 전문 인력 수준이 상대적으로 미흡하고, 그만큼 해킹에 대한 수사 역량도 떨어지기 때문이다.

이런 점 때문에, 이뮤니웹은 보안 수준이 떨어지는 서드파티를 살펴 보안을 강화해야 할 필요가 있다고 강조했다. 기업으로선 모니터링해야 할 범위와 데이터 규모가 대폭 늘어나게 되는 것이다. 이뮤니웹은 AI, 머신러닝 등의 기술이 이같은 작업을 단순화하고, 가속해줄 수 있다고 조언했다.