데이터 침해 위험의 정량화 상위 6개...
TRANSCRIPT
애버딘 그룹의 컴퓨터 인텔리전스 기술 데이터 세트(CiTDS)는 단일한 데이터 침해의 위험에 대한 기존
분석을 확장하고, 보다 폭넓은 설치 기반에서 데이터 침해의 위험에 관한 추가적인 통찰을 제공해줍니다.
데이터 침해의 위험을 정량화하면 금융 서비스, 전문 서비스, 제조, 도매, 헬스케어 및 소매업계에서는
특히 비즈니스 사례를 보다 쉽게 구축하여 데이터 암호화와 같은 기술적 통제에 대한 투자를 정당화할 수
있게 됩니다.
데이터 침해 위험의 정량화:
상위 6개 업종 2016년 9월
Derek E. Brink, CISSP,
부사장 & 리서치 펠로우
Information Security and IT GRC
보고서 핵심사항
애버딘의 몬테 카를로
모델은 널리 인정받는
경험적 데이터
‘버라이즌(Verizon) DBIR’에
기반하여 단일한 데이터
침해의 위험에 대한
합리적인 예측을
제공합니다.
민간 분야 전체의 경우,
10만~ 1백만 건의 정보
침해를 기준으로 단일한
데이터 침해 위험의
중간값은 16만 6천
달러이며, 80%의
신뢰구간은 5만 4천
달러에서
29만 4천 달러 사이입니다.
애버딘의 CiTDS는 광범위한
시장에서 단일한 데이터
침해의 위험을 추정하는데
도움을 줍니다. 1,821개
기업과 3,276개의 데이터
웨어하우스 정보를
살펴보면, 위험의 중간값은
5억 5천만 달러이며,
80%의 신뢰구간은
1억 7천 5백만에서 10억
달러 사이입니다.
애버딘이 분석한 설치
기반의 경우, 단일한 데이터
침해 위험의 80%이상은
6개 업종 즉, 금융 서비스,
전문 서비스, 제조, 도매,
헬스케어, 소매에 집중되어
있습니다.
3 4 7 8
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
2
요약: 버라이즌 DBIR의 노력을 치하합니다!
2016년 9월 발표한 애버딘 그룹의 연구 보고서 버라이즌 DBIR에
기반한 데이터 침해의 위험(Risk of a Data Breach, Based on the
Verizon DBIR)에서도 언급했지만, 지난 10여 년간 버라이즌의
데이터 침해 조사 보고서(Data Breach Investigations Report,
DBIR)는 다음과 같습니다.
o 거의 80,000건에 달하는 보안 사고를 조사했으며, 이중
2,100건 이상은 데이터 침해로 확인되었습니다.
o 공격자들에 대한 인식을 증대시키고 이들에 대한 고유한
통찰을 제공하였습니다.
o 업계 전반에서 방어자들의 정보 공유를 위한 기준을
제시하고 롤 모델의 역할을 수행했습니다.
o 보안 사고에 대해 설명하고 정보를 공유하는데 필요한 공통적인
언어를 제공했습니다.
애버딘의 분석은 이러한 모든 경험적 데이터에 기반하여, 정보
보안팀이 대답해야 하는 ”데이터 침해의 위험은 무엇인가?”라는
가장 기본적인 질문에 대한 답을 제공합니다.
단일한 데이터 침해의 위험을 정량화하기 위해 애버딘은 다음의
세가지 변수에 기반하여 몬테 카를로(Monte Carlo) 모델을
개발했습니다.
애버딘의 분석은 DBIR 의
경험적 데이터에
기반하여 정보 보안팀이
대답해야 하는 데이터
침해의 위험은
무엇인가?라는 가장
기본적인 질문에 대한
답을 제공합니다.
정의
• 보안 사고는 정보의 기밀성, 무결성
또는 가용성을 침해하려고 시도하는
모든 사건을 지칭합니다.
• 데이터 침해는 권한이 없는 자에게
정보 자산이 유출된 보안 사고를
말합니다.
• 데이터 침해의 위험은 위험이 발생할
가능성의 측면에서 뿐만 아니라,
실제로 발생한 경우 비즈니스에 미칠
수 있는 영향의 측면에서 설명이
되어야 합니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
3
o 조직이 보안 사고를 경험할 가능성 — 100%라고 봐야
합니다. 모든 조직이 정보 자산의 기밀성, 무결성 또는
가용성을 침해하려는 시도를 경험할 것이기 때문입니다.
o 데이터 침해의 가능성 — 고정값이 아니라 확률 분포로
모델링이 되며, 하한은 0%, 상한은 100%, 그리고 가장
가능성이 높은 값은 경험적 DBIR 데이터에 기반합니다.
o 데이터 침해가 비즈니스에 미치는 영향 — 고정값이
아니라 확률 분포로 모델링이 되며, 하한, 상한, 그리고
가장 가능성이 높은 값은 DBIR의 침해 당 비용 분석에
기반합니다
확률 분포에서 무작위로 각 변수의 값을 선택한 후 세 변수의
값을 곱하는 계산을 1만회 이상 반복하면, 그 결과 또한 하나의
고정값이 아닌 범위와 확률 분포로 나타내질 수 있습니다.
이것이 일부의 경우 반직관적일 수 있지만, 널리 인정받는
경험적 데이터에 기반하여 기본적인 질문 즉, 데이터 침해의
위험은 무엇인가라는 질문에 대한 합리적인 추정을 하는데
필요한 정보는 사실 이게 전부입니다.
o 민간 분야(모든 업종)에서, DBIR는 4,962건의 보안 사고에
대해 조사를 하였고 그 중 1,489건(30.0%)이 데이터
침해로 확인되었습니다.
o 데이터 침해 위험의 중간값은 100,000건에서
1,000,000건의 정보가 침해된 경우를 기준으로 약
166,000 달러입니다.
관련 연구: 버라이즌 DBIR 에
기반한 데이터 침해의 위험
정량화
공식적으로 보고된 데이터
침해 당 침해된 정보 수의
중간값:
o 2012년: 41,160
o 2013년: 97,819
o 2014년: 228,703
o 2015년: 718,183
출처: 개인정보보호권 (Privacy Rights)
클리어링하우스(Clearinghouse)
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
4 o 앞으로 12개월 동안, 데이터 침해의 비용이 54,000 달러 이상이
될 확률은 90%이며, 데이터 침해 비용이 $294,000 이상이 될
가능성은 10%입니다. (80% 신뢰구간)
애버딘이 구축한 간단한 몬테 카를로 모델을 토대로 16개 업종 및 민간
분야 전체에서 산출한 위험의 중간 값과 80% 신뢰구간은 표 1에
정리되어 있습니다. 위험이 가장 낮은 업종은 가장 위에, 위험이 가장
높은 업종은 가장 아래 위치합니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
5
업종
(북미 산업 분류 체계 기반)
초과 가능성 90% 초과 가능성 10% 평균(가능성 50%)
정보 산업 $0 $138,000 $32,000
서비스 (공공 행정 제외) $0 $264,000 $78,000
관리 및 지원 서비스 $0 $270,000 $90,000
공공 자원 (전기, 도시 가스, 상하수도) $5,000 $275,000 $98,000
민간 분야 (모든 업종) $54,000 $294,000 $166,000
소매 $60,000 $295,000 $170,000
교육 서비스 $85,000 $325,000 $200,000
전문직, 과학 및 기술 $95,000 $325,000 $211,000
금융 서비스 및 보험 $95,000 $330,000 $213,000
도매 $95,000 $330,000 $214,000
제조 $100,000 $335,000 $219,000
교통 및 창고 $120,000 $350,000 $238,000
숙박 및 식품 서비스 $150,000 $380,000 $272,000
헬스케어 및 사회 복지 $150,000 $380,000 $274,000
부동산, 렌탈 및 임대 $180,000 $414,000 $312,000
에너지 (광산, 채석, 오일 & 가스) $198,000 $432,000 $334,000
엔터테인먼트, 예술, 레크리에이션 $216,000 $450,000 $359,000
표 1: 업종별 단일 데이터 침해의 위험과 침해된 정보 수 10 만~100 만 기준
출처: 버라이즌 2015 DBIR
데이터에 기반한 몬테 카를로 모델;
Aberdeen Group, 2016년 9
개선의 기회: 업종별
데이터 침해 비용
이 분석으로 표출된
한가지 분명한 개선
방법은 업종별로 데이터
침해의 총 비용을
추정해보는 것입니다.
애버딘은 이 분석에
DBIR가 공개한 ‘모든
수치해 대한 단일
비용’을 사용합니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
6 그림 1은 침해된 기록 수 10만 ~ 100만 건을 기준으로, 단일한 데이터
침해의 위험에 대한 업종별 중간값과 80% 신뢰구간에 대한 동일한
추정을 그림으로 나타낸 것입니다.
그림 1: 업종별 단일 데이터 침해의 위험, 침해된 기록 수 10만~100만
기준
출처: 버라이즌 2015 DBIR 데이터에 기반한 몬테 카를로 모델;
Aberdeen Group, September 2016
광범위한 시장에서의 데이터 침해 위험 정량화를 위해 애버딘의
CiTDS를 사용해 단일한 데이터 침해의 위험 추정
애버딘의 초기 연구 보고서는 업종별로 단일 데이터 침해의 위험에
중점을 두었습니다. 그러나 경험적 DBIR 데이터로부터 보다 광범위한
시장 아니, 특정 기업의 데이터 침해 위험에 관해 보다 자세히 알려면
어떻게 해야 할까요?
보다 광범위한 시장에서 데이터 침해의 위험을 추정하기 위해, 애버딘
그룹의 컴퓨터 인텔리전스 기술 데이터 세트(CiTDS)의 데이터
관련 연구
16개 업종에 대한 개별 분석
결과는 이 보고서에 포함된 민간
분야 전체에 대한 분석 결과와
유사하며, www.aberdeen.com에서
Knowledge Briefs와 Smart
Bites 에서 확인할 수 있습니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
7
웨어하우스에 대한 개괄적인 정보를 고려합니다. 버라이즌 DBIR(표 2)에
경험적 데이터가 존재하는 16개 업종을 사용합니다.
표 2: 에버딘의 CiTDS에 나타난 현재의 업종별 데이터 웨어하우스 정보
업종
북미 산업 분류 체계에 기반
Total
Enterprises
Total
Installations
숙박 및 식품 서비스 36 57
관리 및 지원 서비스 93 126
교육 서비스 64 75
에너지 (광산, 채석, 오일 & 가스) 10 13
엔터테인먼트, 예술, 레크리에이션 23 24
금융 서비스 및 보험 354 962
헬스케어 및 사회 복지 89 121
정보 산업 166 566
제조 242 358
전문직, 과학 및 기술 350 432
부동산, 렌탈 및 임대 25 30
소매 142 185
서비스 (공공 행정 제외) 38 40
교통 및 창고 49 95
공공 에너지 (전기, 도시가스, 수도) 25 27
도매 115 165
민간 분야(모든 업종) 1,821 3,276
출처: 애버딘 그룹 CiTDS, 2016년 9월
애버딘 그룹 CiTDS 소개
애버딘의 컴퓨터 인텔리전스 기술
데이터세트(Computer Intelligence Technology
Data Set, CiTDS)는 수백만 건의 시장
상호작용에 기반하며, 기업 및 연락 정보에
관한 다음과 같은 수백 가지 속성이
포함됩니다.
• 전세계에 위치한 3 백만개의 기업
프로파일
• 물리적, 디지털 및/또는 사회적
정보 등 1 천만 명 이상의 구매자,
영향력 행사자의 연락 정보
프로파일
• 다양한 IT 분야에 속한 솔루션
공급업체 2,000 여 곳의 공급업체
프로파일
• 기술 1 천만여개의 설치 프로파일
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
8 단일한 설비(표 1)에서 단일한 데이터 침해의 위험에 기반해 간단한
계산을 하고, 이에 에버딘 그룹의 CiTDS(표 2)에서 포함된 현재 설비
수를 곱하면, 보다 광범위한 시장에서의 종합적인 데이터 침해 위험에
대해 조금씩 이해를 할 수 있게 됩니다.
o 민간 분야 전체의 경우, 에버딘 그룹 CiTDS는 16개 업종에 속한
1,821개 기업에 위치한 3,276개의 데이터 웨어하우스에 대해
가시성을 확보했습니다.
o 이 설치 기반 전반에서 100,000~1,000,000건의 정보가 침해된
경우를 기준으로, 단일한 데이터 침해 위험의 중간값은
5억 4,400만 달러입니다.
o 앞으로 12개월 간, 이 설치 기반 전체에서 단일한 데이터 침해가
1억 7,700만 달러 이상의 비용을 야기할 확률은 90%이며, 그
비용이 9억 6,300만 달러 이상일 확률은 10%입니다. (80%
신뢰구간)
그림 2: 애버딘의 CiTDS에서 볼 수 있는 데이터 웨어하우스들의 경우,
데이터 침해 위험의 80%는 단 6개 업종에 집중되어 있습니다.
애버딘의 CiTDS 에 보여지는
데이터 웨어하우스의 경우,
단일한 데이터 침해 위험의
중간값은 5 억 5,000 만 달러이며,
80% 신뢰구간은
1 억 7,500 만~10 억 달러입니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
9
출처: 버라이즌 2015 DBIR과 애버딘 그룹의 CiTDS에 기반한 몬테
카를로 모델; 애버딘 그룹 2016년 9월 애버딘의 CiTDS에 보여지는
데이터 웨어하우스의 경우, 단일한 데이터 침해 위험의 중간값은
5억 5,000만 달러이며, 80% 신뢰구간은 1억 7,500만~10억
달러입니다. 애버딘이 분석한 설치 기반에서, 단일한 데이터 침해의
위험은 6개 업종 즉, 금융 서비스 및 보험, 전문, 과학 및 기술, 기술 제조,
도매, 헬스 케어 및 사회 복지, 그리고 소매에 80%가 집중되어 있습니다.
그림 2는 애버딘 CiTDS에서 볼 수 있는 모든 웨어하우스 전반에서
단일한 데이터 침해의 위험을 각 업종 별로 간추린 것입니다.(중간값,
80% 신뢰구간). 전체 결과의 80%가 전체 원인의 20%에서 일어난다는
파레토 원칙(80대 20 법칙)이 여기서도 적용될 수 있습니다. 애버딘이
분석한 설치 기반에서, 단일한 데이터 침해의 위험 80%가 경험적
데이터가 존재하는 16개 업종 중 단 6개 업종에 집중되어 있음을 볼 수
있기 때문입니다.
o 금융 서비스 및 보험 — 위험의 중간값은 2억 500만
달러이며, 80% 신뢰구간은 9,100만~ 3억 1,700만
달러
o 전문, 과학 및 기술 — 위험의 중간값은 9,100만
달러이며, 80% 신뢰구간은 4,100만~1억 4,000만
달러
o 제조 — 위험의 중간값은 7,800만 달러이며, 80%
신뢰구간은 3,600만~1억 1,900만 달러
o 도매 — 위험의 중간값은 3,500만 달러이며, 80%
신뢰구간은 1,600만~5,500만 달러
애버딘이 분석한 설치
기반에서, 단일한 데이터
침해의 위험은 6 개 업종
즉, 금융 서비스 및 보험,
전문, 과학 및 기술, 기술
제조, 도매, 헬스 케어 및
사회 복지, 그리고 소매에
80%가 집중되어
있습니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
10 o 헬스케어 및 사회 복지 — 위험의 중간값은 3,300만
달러이며, 80% 신뢰구간은 1,800만~4,600만 달러
o 소매 — 위험의 중간값은 3,200만 달러이며, 80%
신뢰구간은 1,100만~5,500만 달러
o 애버딘은 또한 이 연구 보고서에 포함된 민간 분야
전체에 대한 분석과 유사하게 16개 업종을 각
업종별로 분석 종합했으며, 그 개괄적 결과를
Knowledge Briefs와 Smart Bites로 제공합니다.
이외에도, 애버딘은 특정 기업에 대한 데이터 침해의
위험을 정량화하는데 CiTDS 데이터를 사용합니다.
데이터 침해의 위험에 관한 기본적인 질문은 대답이 되었습니다.
그렇다면, 이와 관련해 어떤 제안을 할 수 있을까요?
VERIS 커뮤니티 데이터베이스에서 공유할 수 있는 약 2,500건의 실제
데이터 침해 사건에 대한 조사 분석이 담긴 백앤드 시스템의 “저장 중
데이터”를 위한 암호화 선택: 어떤 위험을 해결하고자 하는가? (2015년
6월)는 파일 서버, 데이터베이스, 네트워크 스토리지 및 클라우드 기반
스토리지 등 백앤드 시스템에 저장된 민감 데이터와 관련된 위험에 파일
수준 암호화가 어떻게 가장 강력한 해결책이 되는지에 대한 실질적인
증거를 제공합니다.
이러한 유형의 백앤드 시스템에 저장된 데이터의 경우, 확인된 데이터
침해의 85%는 외부적 위협(해킹), 내부적 위협(오용), 또는 기본적인
사용자 실수와 관련됩니다 완전한 디스크 암호화와 달리, 파일 수준
암호화는 이러한 백앤드 시스템이 온라인, 가용 또는 액세스 가능한
상태에서 즉, 모든 상황에서 능동적으로 투명하게 조직의 민감 데이터를
엔터프라이즈 암호화 솔루션 선택 시 고려해야
할 사항
o 사용 편이성 — 사용하기 어렵고
비즈니스 절차에 문제를 야기하는
암호화 솔루션은 수용되기 힘듭니다.
o 광범위한 애플리케이션 지원 —
암호화 솔루션은 특정 공급업체의
애플리케이션을 지원해야 할 뿐만
아니라 조직의 파일 서버, 네트워크
스토리지, 클라우드 기반 스토리지,
데이터베이스 및 백업 매체 등
광범위한 애플리케이션을 지원해야
합니다.
o 키 관리 — 기업 전반적으로 암호화
이니셔티브가 확장되어 가면서,
암호화 키의 수명주기 관리에 대한
공통적인 하나의 접근방식이 보다 큰
규모와 복잡성을 지원하고 지속적으로
총 운영 및 관리 비용을 절감하는데
크게 도움이 됩니다.
o 표준 기반
o 플랫폼 기반— 여러 포인트
제품들과는 달리, 암호화에 대한
플랫폼 기반의 접근방식은 보다
수월하게 확장, 관리 및 지원이
가능하기 때문에 조직의 데이터
보호를 위한 총소유비용이
최소화됩니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
11
보호합니다. 가장 보편적인 세가지 공격 경로로 시스템들이 무단 액세스
된 경우에도 해당됩니다.
이 분석의 대상이 된 설치 기반의 특정 사례에서, 애플리케이션
수준의 암호화(또는 현장 수준 암호화)는 데이터베이스, 빅데이터
플랫폼, 서비스로서의 플랫폼 등을 위한 가장 적절한 해결안이 될
것입니다.
데이터 침해의 위험을 정량화하게 되면, 모든 정보 보안 담당자라면 해결
방법을 알아야 하는 실제적인 문제가 해결됩니다. 또한 정보 보안
담당자들이 보다 쉽게 비즈니스 사례를 구축하여, 적절한 유형의 암호화
등 허용 가능한 수준에서 이러한 위험들을 관리하는데 필요한 기술적
보안 통제에 대한 투자를 증가할 수 있도록 해줍니다.
개요 및 요점
단일한 데이터 침해의 위험을 정량화하기 위해, 애버딘은
다음의 세가지 변수에 기반해 몬테 카를로 모델을
구축했습니다.
o 조직이 보안 사고를 경험할 가능성— 이는
100%라고 봐야 합니다. 모든 조직들은 정보
자산에 대한 기밀성, 무결성 또는 가용성을
침해하려는 시도를 경험할 것이기 때문입니다.
o 데이터 침해의 가능성 — 고정값이 아니라
확률 분포로 모델링이 되며, 하한은 0%,
상한은 100%, 그리고 가장 가능성이 높은 값은
관련 연구:
o 버라이즌 DBIR 에
기반한 데이터
침해의 위험 정량화
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
12 경험적 DBIR 데이터에 기반합니다. 경험적
데이터인 버라이즌의 데이터 침해조사
보고서(DBIR)에 기반합니다.
o 데이터 침해가 비즈니스에 미치는 영향 — 이는
고정값이 아니라 확률 분포를 모델링이 되며, 하한,
상한, 가장 가능성이 높은 값은 DBIR의 침해 당 비용
분석에 기반합니다.
o 민간 분야 전체의 경우(모든 업종), DBIR은 4,962건의
보안 사고를 조사했으며, 그 중 1,489건(30.0%)이 데이터
침해로 확인되었습니다.
o 데이터 침해 위험의 중간값은 약 166,000 달러이며,
이는 100,000~1,000,000건의 정보가 침해된 경우를
기준으로 합니다.
o 앞으로 12개월 동안, 데이터 침해의
비용이 54,000 달러 이상이 될 확률은
90%이며, 294,000 달러 이상일 확률은
10%입니다. (80% 신뢰구간)
o 애버딘의 몬테 카를로 모델은 또한 경험적 DBIR
데이터에 기반하여 16개 업종에 대한 위험의 중간값과
80%의 신뢰구간을 추정하였습니다.
o 보다 광범위한 시장에서 데이터 침해의 위험을
추정하기 위해, 애버딘은 이 애버딘 그룹의
컴퓨터 인텔리전스 기술 데이터 세트(CiTDS)에
나타난 16개 업종의 데이터 웨어하우스들에
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
13
대한 개괄적 분석을 수행했습니다.
o 단일 웨어하우스에 대한 단일한 데이터 침해
위험에 기반해 간단한 계산을 하고, 에버딘
그룹의 CiTDS에 나타난 현재의 웨어하우스
수를 곱하여 보다 광범위한 시장에 걸쳐
데이터 침해의 위험을 집계할 수 있습니다.
o 민간 분야 전체의 경우, 에버딘 그룹 CiTDS는
16개 업종 모두에서 1821개 기업의 3,276개
데이터 웨어하우스에 대한 가시성을
확보했습니다.
o 이 설치 기반 전반에서
100,000~1,000,000건의 정보가 침해된
경우를 기준으로, 단일한 데이터 침해 위험의
중간값은 54,400만 달러입니다.
o 앞으로 12개월 간, 이 설치 기반 전반에서
단일 데이터 침해가 17,700만 달러 이상의
비용을 야기할 확률은 90%이며, 그 비용이
96,300만 달러 이상이 될 확률은 10%입니다.
(80% 신뢰구간)
o 애버딘이 분석한 설치 기반에서 단일한 데이터
침해의 위험은 6개 업종 즉, 금융 서비스 및 보험;
(에버딘의 CiTDS 에 나타난) 데이터
웨어하우스들의 경우, 단일한
데이터 침해 위험의 중간값은
5 억 5,000 만 달러이며, 80%
신뢰구간은
1 억 7,500 만~10 억 달러 입니다.
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
14 전문, 과학 및 기술; 제조; 도매; 헬스케어 및 사회
복지; 및 소매에 80%가 집중되어 있습니다.
o 애버딘은 또한 이 연구 보고서에 포함된 민간 분야
전체에 대한 분석과 유사하게 16개 업종을 각
업종별로 분석 종합했으며, 그 개괄적 결과를
Knowledge Briefs와 Smart Bites로 제공합니다.
o 데이터 침해의 위험을 정량화하게 되면, 모든 정보
보안 담당자라면 해결 방법을 알아야 하는 실제적인
문제가 해결됩니다. 또한 정보 보안 담당자들이 보다
쉽게 비즈니스 사례를 구축하여, 적절한 유형의
암호화 등 허용 가능한 수준에서 이러한 위험들을
관리하는데 필요한 기술적 보안 통제에 대한 투자를
증가할 수 있도록 해줍니다.
o 파일 서버, 데이터베이스, 네트워크 스토리지 및
클라우드 기반 스토리지 등 백앤드 시스템에 저장된
데이터의 경우, 확인된 데이터 침해의 85%는 외부적
위협(해킹), 내부적 위협(오용), 또는 기본적인 사용자
실수와 관련됩니다.
o 완전한 디스크 암호화와 달리, 파일 수준 암호화는
이러한 백앤드 시스템이 온라인, 가용 또는 액세스
가능한 상태에서 즉, 모든 상황에서 능동적으로
투명하게 조직의 민감 데이터를 보호합니다. 가장
보편적인 세가지 공격 경로로 시스템들이 무단
액세스 된 경우에도 해당됩니다.
관련 연구:
백앤드 시스템의 “저장 중
데이터”를 위한 암호화 선택: 어떤
위험을 해결하고자 하는가?
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
15
o 이 분석의 대상이 된 설치 기반의 특정 사례에서,
애플리케이션 수준의 암호화(또는 현장 수준
암호화)는 데이터베이스, 빅데이터 플랫폼,
서비스로서의 플랫폼 등을 위한 가장 적절한
해결안이 될 것입니다.
본 연구조사나 다른 연구조사에 대한 보다 자세한 정보를 원하시면 www.aberdeen.com을
방문하십시오.
관련 연구
버라이즌 DBIR에 기반한 데이터 침해 위험의
정량화; 2016년 2월
비즈니스 규모가 작을 수록 커지는 위험: 데이터
침해 위험의 정량화; 2016년 2월
민감 정보 보호를 위한 “준비, 조준, 발사"
접근방식;
2016년 1월
조직의 정형 데이터에 대한 위험 이해; 2016 년 1 월
방화벽 스프롤: 복잡성이 어떻게 비용을
추가하고 위험을 증가시키는가; 2015년 10월
액세스 권한 관리가 어떻게 데이터 침해의 위험을
감소시키는가; 2015년 9월
백앤드 시스템의 “저장 중 데이터”를 위한 암호화
선택: 어떤 위험을 해결하고자 하는가?; 2015 년
6 월
저자: Derek E. Brink, CISSP, 부사장 & 리서치 펠로우,
www.aberdeen.com
데이터 침해의 위험 정량화:
상위 6개 업종
16
애버딘 그룹 소개
애버딘 그룹은 1988년부터 전세계 기업들이 성과를 향상시킬 수 있도록 지원하는 연구조사들을 발표해왔습니다
구애 받지 않는 전용 분석 프레임워크로부터 얻어진 사실 기반의 통찰에서 도출됩니다. 이 프레임 워크는 업계
연구조사를 통해 최고의 조직들을 파악합니다. 수백만 명의 비즈니스 전문가들이 이 연구조사 결과를 사용해 보
비즈니스 전략을 향상시키고 있습니다. 애버딘 그룹의 본사는 미국 매사추세츠주 월트햄에 위치합니다.
본 문서는 애버딘 그룹이 수행한 주요 연구 조사 결과이며 발표 당시를 기준으로 한 최상의 분석입니다.
별도로 명기되어 있지 않는 한, 이 문서의 전체 내용은 저작권법에 의해 보호를 받습니다. 본 문서의 전체
또는 일부를 애버딘 그룹의 사전 허가 없이 어떠한 형태로든 복제, 아카이브 또는 이전해서는 안됩니다.
11980