본문 바로가기

1Day 1News

[해커뉴스]우리가 해커들의 숨은 조력자로 살아가는 방법 8

Source for https://www.boannews.com/media/view.asp?idx=83599

 

[주말판] 우리가 해커들의 숨은 조력자로 살아가는 방법 8

아마 대부분의 임직원들이라면 비밀번호를 이메일로 보내거나 메신저로 법인 카드 정보를 떠들어대지는 않을 것이다. 그 정도 보안 수칙은 지킬 줄 안다. 사업과 하나도 관련이 없는 이메일을 덥석 열고, 먼 나라의 어떤 부호가 유산을 당신께 넘겼으니 링크를 클릭하여 수억 원을 상속받으라는 것에 덜렁 속아버리는 사람도 거의 없다.

www.boannews.com

소셜 미디어에 셀카 공유하는 문화...불필요한 내부 정보 전부 공개해
젊은 세대들은 사진으로 문제...조직은 인터넷 앱 설정 하지 못해 문제


[보안뉴스 문가용 기자] 아마 대부분의 임직원들이라면 비밀번호를 이메일로 보내거나 메신저로 법인 카드 정보를 떠들어대지는 않을 것이다. 그 정도 보안 수칙은 지킬 줄 안다. 사업과 하나도 관련이 없는 이메일을 덥석 열고, 먼 나라의 어떤 부호가 유산을 당신께 넘겼으니 링크를 클릭하여 수억 원을 상속받으라는 것에 덜렁 속아버리는 사람도 거의 없다.

[이미지 = iclickart]


하지만 인스타에 셀카 사진을 찍어서 올릴 때 사원증이나 배지를 빼놓는다든지, 이력서를 쓸 때 자신이 사용했던 회사 내부 프로그램까지 같이 적어 올리는 부분까지도 조심할 정도로 보안을 잘 아는 사람은 얼마나 될까? IBM의 보안 엔지니어인 스테파니 카루서스(Stephanie Carruthers)는 이 두 가지 예시에 대해 “흔히 있는 일”이라고 말한다.

일반 조직과 임직원이 의도하지 않은 채 사이버 범죄자들에게 도움을 주는 사례는 무수하게 많다. 보안 업체 소셜엔지니어(Social-Engineer)의 CEO인 크리스 해드나지(Chris Hadnagy)는 “미묘한 것도 있고, 어처구니없을 정도로 대담한 실수도 있다”고 말한다. “2019년이나 됐는데 이런 실수는 없겠지, 라고 생각하는 일들이 많이 발생합니다. 사무실에서 파티를 벌이는 사진을 소셜 미디어에 올려서 사무실 내부 정보가 유출되는 경우처럼 말이죠.”

본지는 보안 전문가들의 의견과 경험을 물어, 보안 교육을 제법 받았다 하는 사람들도 무심코 저지르는 ‘보안 실수들’을 이번 주 주말판을 통해 모아보았다.

그림, 천 마디 말보다 자세한
카루서스의 경험 상 가장 흔하고, 가장 치명적일 수 있는 실수는 직원들 개개인의 온라인 활동에서부터 나온다. 특히 소셜 미디어에 몰입하는 임직원일수록 위험할 가능성이 높다. 인사부가 지원자들을 많이 모집하겠답시고 불필요하게 사진과 동영상을 소셜 미디어에 올리면서 민감한 정보를 노출시키기도 하고, 젊은 인턴들이 첫 사원증을 받고 신이나 자신의 개인 SNS 계정에 사진을 찍어 올린다.

“그런데 자기 얼굴과 사원증 배경에 뭐가 있는지 신경을 쓰지 않죠. 동료가 모니터에 붙여 놓은 비밀번호, 사업 계획이 담겨 있는 화이트보드, 영업 실적표, 다른 직원이 한창 일하고 있는 컴퓨터 화면 등이 실제로 이런 과정을 통해 새나갑니다. 해커들이 괜히 표적을 정해두고 소셜 미디어를 면밀하게 관찰하는 게 아닙니다.” 카루서스의 설명이다.

카루서스는 고객사의 의뢰로 보안성을 평가할 때, “직원들의 소셜 미디어를 통해 사원증의 이미지를 확보하고, 그걸로 가짜 사원증을 만들어 사내를 활보하고 다닌다”고 한다. 회사 이름만 잠깐 검색해도 사진과 사원증 찾는 게 쉽게 된다고 카루서스는 말한다. “너무 쉬워서 사기나 해킹이라고 말할 수준이 아닙니다. 비슷한 사원증만 걸고 다니면 아무도 의심하지 않는 게 보통입니다.”

사원증 말고도 소셜 미디어에 공유하면 안 되는 것들이 더 있다. 사무실의 내부 구조가 담긴 사진도 그런 것 중 하나다. 파티션이 어떻게 구성되어 있는지, 자리 배치가 어떻게 되어 있는지, 직원들이 어떤 컴퓨터를 사용하는지, 어떤 프로그램과 이메일 클라이언트를 사용하는지, 어떤 브라우저를 사용하는지 등이 무심코 찍고 저장한 사무실 내부 사진을 통해 파악될 수 있다.

“아이스 버킷 챌린지(Ice Bucket Challenge)도 유행처럼 도는데, 이 때도 조심해야 합니다. 아이스 버킷 챌린지를 촬영하며 올린 것으로 인해 사무실 건물이나 접근 통제 시스템 등이 노출된 사례들도 제법 있습니다. 사이버 범죄자들은 아주 작은 힌트만으로도 큰 정보를 꿰어갑니다.” 해드나지의 설명이다.

자동 응답 장치들도 조심해야
정말 의외일 수 있는데, 사무실이 비어있거나 출타 중일 때 ‘자리에 없습니다’라는 자동 응답을 생성하는 장치들도 문제가 될 수 있다고 해드나지는 경고한다. 사무실 책상 전화기가 송출하는 ‘지금은 자리에 없으니, 메시지를 남겨주세요’라는 메시지도 그렇고, ‘출타 중이니 돌아오는 대로 답장을 보내드리겠습니다’라는 이메일 자동 응답 기능 등이 여기에 포함된다. “왜냐하면 이 메시지에 불필요한 세부 내용을 첨부하는 사람들이 있기 때문입니다.”

그러면서 해드나지는 예를 든다. “안녕하세요. 크리스입니다. 지금 신혼여행 차 하와이에 있습니다. XX 프로젝트 건으로 연락하신 거면, A에게 연락하시면 됩니다. A의 이메일 주소는 aaa@project.com입니다. YY 프로젝트 건이라면 B에게 연락하시면 됩니다. B의 이메일 주소는 bbb@project.com입니다.” 회사 내 어떤 담당자가 어떤 프로젝트를 맡고 있으며, 이메일 주소까지도 친절하게 덧붙어 있어서 대단히 위험할 수 있다고 해드나지는 강조한다.

“해커들은 피싱 메일을 그럴 듯하게 만들기 위해 회사 내부의 최신 정보를 끊임없이 찾습니다. 어떤 프로젝트가 진행되고 있고, 담당자가 어떤 식으로 배정되어 있으며, 직원들이 실제 사용하는 이메일 주소가 무엇인지를 대단히 궁금해 하죠. 이걸 자동 응답을 통해 다 알려줬으니, 공격자들에게는 호박이 넝쿨째 들어온 거나 다름이 없습니다. 자동 응답 메시지도 회사가 정책적으로 지정해 최소화시키는 게 필요합니다.”

지나치게 자세한 구인 공고
위와 비슷한 맥락에서 구인 공고가 위험한 요소로 작용하는 경우도 있다. 카루서스는 “분야와 전문성이 점점 세분화되다보니 사람을 정확하게 뽑아야 하는 게 기업의 입장”이라며, “그래서 너무 자세하게 정보를 올려두기도 한다”고 설명한다. “예를 들면 회사 내부에서 사용하는 프로그램을 다 공개하면서, 이런 저런 프로그램을 다룰 줄 아는 사람을 뽑는다고 광고하는 거죠. 이해가 가지만, 요즘 애플리케이션 단위의 공격이 많이 발생한다는 걸 생각하면 위험한 행위입니다.”

그러면서 카루서스는 “프로그램 목록만 봐도 공격자들은 대략의 내부 IT 구조를 그려낼 수 있게 된다”고 설명한다. “그러한 환경에 맞는 맞춤형 멀웨어를 제작해낼 수도 있고요. 내부에서 사용되는 프로그램들을 모르고 멀웨어를 개발할 경우 공격자들도 여러 번 시도를 하고 실패를 해야 합니다. 보안에서 말하는 ‘가시성’ 없이 공격을 시도하는 것이니까요. 내부 프로그램을 알면 어느 정도 가시성이 확보되는 것이라 실패와 조정 과정이 줄어듭니다.”

이메일 서명란에 어떤 정보가 있나?
의외로 많은 사람들이 피싱 메일에 답장을 보낸다. “속을 줄 알았냐?”와 같은 조롱 섞인 내용이 가득한데, 사실 이걸 노리는 사이버 범죄자들도 상당히 많다고 해드나지는 설명한다. “이런 답장을 기다리는 범죄자들이 많습니다. 일단 그 이메일 주소를 누군가 실제로 사용하고 있다는 걸 확신할 수 있고, 해당 조직이나 단체가 어떤 식으로 직원들의 이메일 주소를 만드는지 힌트를 얻을 수 있습니다. 그러면서 가짜 직원 이메일도 만들 수 있게 되는 것이죠.”

또한 이메일 끝에 자동으로 붙는 ‘이메일 서명’도 꽤나 많은 정보를 포함하고 있어 공격자들에게 도움이 된다. 보통 이름과 성(full name), 사무실 직통 전화번호, 핸드폰 번호, 이메일 주소, 심지어 소셜 네트워크 계정이나 블로그 주소까지 나열되어 있으니 말이다. “그렇다고 출타 중 메시지나 이메일 서명을 사용하지 말라는 게 아닙니다. 하지만 그런 정보들이 공격자들에게 매우 유용한 힌트가 된다는 걸 기억하라는 것이죠.”

전화를 건 사람이나 메시지 보낸 사람을 확인하지 않는다
카루서스는 고객사를 대상으로 침투 테스트를 진행할 때 이른 바 발신자 ID 스푸핑이라는 기법을 많이 활용한다. “사람들은 발신자 ID를 거의 무조건적으로 신뢰합니다. IT 부서나 HR 부서의 번호가 뜨면 의문을 갖지 않는다는 것이죠. 이렇게 신뢰를 하게 되면, 비밀번호를 다른 사람과 공유하지 말라는 식의 보안 교육 내용도 다 잊어버립니다. IT 부서나 인사 부서의 ID가 뜨더라도 반드시 확인을 해야 합니다.”

해드나지 역시 발신자 ID를 스푸핑하거나 문자 메시지를 스푸핑하는 공격 행위가 꽤나 흔히 발생하는 일이라는 데 동의한다. “심지어 공격자 입장에서 그리 어려운 기술도 아닙니다. 저는 침투 테스트를 할 때 조직 상황에 따라 IT 부서원이나 인사 부서원인 척 하는 경우가 많습니다. 아니면 침투 테스트의 목적이 무엇이냐에 따라 결정되기도 합니다. 기술 정보를 훔치는 게 목적이라면 IT 부서인 척, 개인정보가 목적이라면 인사 부서인 척 하는 식이죠.”

해드나지는 “그렇게 했을 때 성공률이 꽤 높은 편”이라고 말한다. “IT 부서나 인사 부서의 발신자 ID만 띄우면 됩니다. 그러면 대부분의 임직원들이 제 정체를 두 번 확인하는 일 없이 제가 요구하는 정보를 넘깁니다. 굉장히 위험한 일입니다. 조금 귀찮더라도 서로를 확인하는 내부 문화를 키워내는 게 중요합니다.”

새로운 종류의 크리덴셜 탈취 공격
카루서스는 “비슷한 맥락에서 발신자의 신원을 확인하지 않는다는 것도 문제가 되고 있다”고 설명한다. “공격자들도 이걸 알아요. 사람들이 ‘누구시죠?’를 잘 묻지 않는다는 걸요. 그래서 전화를 해서 ‘IT 부서인데, 시스템 업데이트를 진행 중에 있으니, 서버에 로그인 해달라’고 말합니다. 비밀번호를 말해달라는 게 아니라, 어떤 시스템이나 인터페이스에 로그인을 직접 해달라는 겁니다. 그러면 보통은 안심하고 로그인을 합니다. 공격자들은 크리덴셜을 훔쳐가고요. 성공률이 굉장히 높은 공격 방법입니다.”

Z세대가 몰려온다
이런 교육을 해도 근본적으로 사진을 찍어 소셜 미디어에 올리는 사람이 증가할수록 위험 가능성은 항상 높은 상태로 유지된다. “게다가 소셜 미디어 활동이 거의 필수적이다시피 한 Z 세대가 사회로 몰려나오고 있죠. 이들은 아침 먹는 사진, 점심 먹는 사진, 친구들과 앉아 있는 사진, 공부하거나 프로젝트를 수행하는 사진들을 끊임없이 소셜 미디어에 올리며 일상을 공유하는 데에 익숙한 부류들입니다. 사진과 영상을 공유하는 게 라이프스타일인 겁니다. 이건 확실히 위험한 구석이 있습니다.” 카루서스의 경고다.

그러면서 카루서스는 “IBM에서 내부적으로 침투 테스트와 보안 훈련을 실시했을 때 가장 많은 정보 탈취의 출처가 되는 건 젊은 직원들”이라고 말한다. “특히 같은 직원인 척 신원을 가장하고 소셜 엔지니어링 공격을 하기 위해 모이는 정보는, 대다수 젊은 직원들의 소셜 미디어에서 나옵니다. 침투 테스터나 범죄자 입장에서는 공격하고 싶은 조직의 젊은 직원들이 운영하는 소셜 미디어만 파악하면 된다고 봐도 될 정도입니다.”

게다가 사진을 통해 귀중한 정보가 마구 공개되는 현상은 전혀 줄어들 기미를 보이지 않고 있다는 것이 더 무섭다고 카루서스는 말한다. “이런 침투 테스트를 주기적으로 진행하는데, 점점 더 정보를 찾기가 쉬워집니다. 그렇기 때문에 요즘 기업들이 젊은 새 직원을 뽑을 때 소셜 미디어 활동 내역도 살피는 겁니다. 건강한 소셜 미디어 사용 습관이 더 전파되어야 합니다.”

애플리케이션 보안도 형편없어
젊은 세대가 소셜 미디어에 각종 사진을 올리면서 조직을 위태롭게 만드는 동안, 회사는 온전히 무고할까? 아니다. 조직들은 인터넷과 연결된 각종 애플리케이션들을 관리 못해 스스로를 위태롭게 한다. “웹 기반 앱이나 API 등에 대한 관리가 대단히 부실한 것이 현재 상황입니다. 거의 모든 조직에서 나타나는 문제입니다.” 보안 업체 포스포인트(Forcepoint)의 제품 마케팅 디렉터인 존 펄튼(John Fulton)의 설명이다.

“입력되는 데이터를 애플리케이션에서 제대로 확인하지 않아서 원격 코드 실행을 가능케 하는 건, 아직까지도 웹 기반 앱에서 가장 많이 발견되는 취약점입니다. 또한 인터넷 연결 설정을 제대로 하지 않아 필요 이상의 데이터를 외부에서 접속할 수도 있게 되고요. 소셜 미디어 사진이 계속해서 증가하는 것처럼, 이런 애플리케이션 관리 부실로 인한 사고도 줄어들지 않고 있습니다. 아무리 사고가 터져도 말이죠.”

앱을 통해 공격자가 침투하게 되면 높은 확률로 웹 서버에도 도달하게 된다고 펄튼은 경고한다. “해커가 침입하는 걸 반길 사람이 어디 있나요. 사소하게 생각하고 쉽게 넘어가는 태도 때문에 그런 결과를 낳는 것이죠. 결국 우리는 입으로만 해커를 막아야한다고 하지, 실제 행동은 그렇게 하지 않고 있는 겁니다. 그러면서 21세기 대 IT 시대에 해커의 숨은 조력자로서 살아가고 있지요.”