2016.08.16

소셜 엔지니어링 공격의 성공률, "무려 150%!"...화이트햇 해커 조쉬 베리

John Dix | Network World
화이트햇 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 해야 할 일이 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 알려줬다.

Q. 소속 화이트햇 팀에 대한 간략한 소개를 부탁한다.
A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다.

대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다.

Q. 고객은 누구인가?
A. 통상 정보보안 담당팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객들이 목적과 목표를 인식하고 있어, 많은 설명이 필요없다.

Q. 침해 사고 후 의뢰를 받기도 하는가?
A. 그런 경우도 있다. 침해 사고를 당한 경우, 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후, 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다.

예를 들어, 한 은행권 고객은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했었다. 테스트를 통해 취약점 하나를 발견했었다. 테스트 없이 애플리케이션이 배포되었다면, 고객의 은행 계좌 또는 신용카드에서 해커에게 돈이 빠져나갔을 취약점이었다. 또한 모든 고객이 위험에 노출되었을 취약점이었다. 우리는 시스템을 배포하기 전 테스트로, 공격자가 이런 기회를 악용하기 전에 문제를 발견하는데 도움을 준다.

Q. 고객의 규모는?
A.
컴플라이언스 요건에 따라 달라진다. 예를 들어, 제품과 서비스에 대한 결제 수단으로 신용카드를 이용하고 있다면, 규모와 상관없는 요건이다. 그러나 대부분은 중견 기업 또는 대기업들이다.

Q. 은밀하게 침투 테스트를 하는가? 아니면 공개적으로 침투 테스트를 하는가?
A.
의뢰 기업과 기관의 보안 성숙도에 달려있다. 침투 테스트로 얻을 수 있는 것이 많다. 보안 성숙도가 낮은 기업이나 기관의 경우, 시스템이나 데이터 액세스에 악용할 수 있는 취약점을 찾는다. 그러나 성숙도가 높은 기업 및 기관의 경우, 침입 탐지와 대응 능력을 테스트하기 원한다. 이 경우, 조금 더 은밀한 침투 테스트를 실시한다. 천천히 조용하게 진행하며, 의도적으로 경보를 울리지 않는다.

Q. 꽤 오랜 기간 보안이 강조되어왔다. 대기업을 대상으로 한 침투 테스트의 경우, 어느 정도 경계가 잘 되어 있는가? 이로 인해, 점차 더 작은 취약점들을 찾는 추세인가?
A.
대부분 조직은 외부 경계선의 보안이 잘 되어 있다. 그러나 일단 내부로 침입하면, 보안이 취약한 부분을 찾을 수 있다. 소셜 엔지니어링으로 꽤 빨리 누군가의 데스크톱에 침입, 환경을 탐색하고, 무엇이든 액세스할 수 있는 관리자 계정까지 침입해 들어갈 수 있다.

하지만 경계선과 개발된 애플리케이션 보안이 튼튼한 경우, 개발자들의 해킹 공격 종류, 도구를 이용해 이를 방지하는 방법에 대한 지식이 높다. 피싱이나 소셜 엔지니어링 기법으로 공격할 수 있는 클라이언트 패치 관리가 미흡한 기업 및 기관들이 많은 실정이다. 이들은 환경 전체에서의 서드파티 애플리케이션 패치 관리에 어려움을 겪고 있다. 이런 이유로 침입할 수 있는 취약점을 발견하고, 내부로 침입해 서드파티 애플리케이션으로 액세스 권한을 높일 수 있다.

또 다른 흔한 침입 방법은 기본 설정된 비밀번호, 취약한 비밀번호를 이용하고 있는 시스템이나 애플리케이션, 장치를 찾는 것이다. 대기업은 시스템을 놓치고, 기본 설정된 관리자 계정 비밀번호를 변경하는 것을 잊는 경향이 있다.

Q. 지금까지 테스트한 환경을 감안했을 때, 이미 많은 조직이 침입을 당했고, 내부에 악성코드가 있다는 주장에 동의하는가?
A.
동의한다. 침해 사고가 발생하지 않은 경우에도, 그 이유는 공격자의 레이더에서 벗어나 있거나, 더 나은 표적이 있거나, 침입에 공을 들일만한 가치가 없기 때문이다. 모든 조직이 소셜 엔지니어링을 이용한 공격과 침해에 취약하다.

'일정 시점에 침해를 당할 것이 분명하거나, 이미 침해를 당한 것이 분명하기 때문에 침해 신호를 파악하고, 큰 문제가 되기 전에 이를 억지하는 것이 좋다'는 생각을 갖는 것이 공격 탐지와 대응에 더 낫다. 우리 또한 단순히 취약점을 노출시키는 대신, 이런 것들을 점차 더 많이 제공하고 있다.

Q. 최근 가장 흔한 공격이 소셜 엔지니어링인가?
A.
그렇다. 공격자가 합법적인 조직, 또는 소속 조직을 가장한 이메일을 발송, 사용자가 링크를 클릭하도록 유도하는 이메일 피싱 캠페인을 이용한 소셜 엔지니어링 공격이 가장 흔하다. 사용자 이름과 비밀번호 입력, 공격자 출발점으로 삼을 데스크톱에 침입할 수 있는 문서 등을 열도록 유도하는 링크를 이용한다. 랜섬웨어 공격에도 많이 사용되는 방법이다.

보안이 가장 어려운 요소 가운데 하나가 사람이다. 우리 또한 소셜 엔지니어링 테스트를 한다. 예를 들어, 은행권 고객사의 사용자 100명을 대상으로 피싱 공격을 했었다. 시나리오를 기획하고, 웹사이트와 이메일을 만들어 100명에게 발송했다. 그리고 클릭한 사람, 로그인 한 사람을 추적했다. 금방 100명 이상이 클릭 또는 로그인을 했다. 물론 클릭하지 않은 사람도 있다. 하지만 이메일에 흥미를 느낀 일부 직원은 이를 다른 사람에게 포워딩했다. 그 결과 150%의 성공률을 달성했다.

Q. 150% 성공율이라고?
A.
원본 이메일 클릭률은 아마 50% 정도일 것이다. 로그인해서 크리덴셜을 획득할 수 있었던 비율은 25~30%, 전체 프로세스를 거친 비율은 약 20% 정도다. 대기업으로서는 아주 높은 비율이다.

Q. 놀랍다. 추천하는 대응 방법은 무엇인가? 보안 교육이 중요하다는 주장이 있다. 애큐데이터가 권장하는 방법은 무엇인가?
A.
당연히 보안 교육 강화를 주장한다. 침입 신호와 징후를 교육해야 한다. 이 밖에도 교육시킬 내용이 아주 많다. 교육 대상자는 보안 전문가가 아니다. 회계 등 다른 일을 하고 있을 것이다. 따라서 보안 전문가가 될 수 없다. 우리는 이런 종류의 공격을 방지 또는 탐지하는데 실제 도움을 주는 방법을 활용한다.

예를 들어, 다른 부서 직원을 가장해 이메일을 보내는 경우가 많다. 우리 회사 컨설턴트 가운데 한 명은 전 직원의 급여 내역과 관련된 스프레드시트를 링크로 연결시킨 이메일을 보내 큰 성공을 일궈냈다. 클릭률이 높은 미끼 가운데 하나다. 이후 우리는 직원들에게 회계 부서가 발송하는 진짜 이메일이 어떤 모양을 하고 있는지 교육을 하도록 추천했다. 그리고 회계 부서에서 보낸 이메일에는 링크가 없다는 점을 교육했다. 회계 페이지에 직접 액세스 하는 방식이기 때문이다.

또한 고객사 도메인으로 이메일을 보낼 수 없는 메일 서버가 대부분이다. 이에 조금 다른 도메인을 이용한다. Company.com 대신 company1.com을 이용하는 식이다. 이에 회사 도메인을 자세히 살펴보라고 교육했다.

Q. 기업들이 가장 크게 걱정하는 것은 무엇인가?
A.
대부분의 조직이 랜섬웨어를 가장 크게 걱정한다. 피해가 아주 클 수 있기 때문이다. 소수 중요 사용자의 데이터가 감염되고, 이것이 암호화 되었는데 백업이 미흡하다면, 비즈니스에 큰 영향이 초래될 수 있다.

Q. 적절한 백업 계획으로 랜섬웨어가 문제가 되지 않는 기업들이 많다고 생각하는가?
A.
많은 기업이 충실한 백업 전략을 갖고 있다. 그러나 이 경우에도 파일이 많고, 이를 모두 암호화할 경우 백업은 큰 골칫거리이며, 비즈니스 운영을 늦춘다. 또한 모든 데이터를 복원, 테스트해야 한다. 이는 비즈니스 운영을 크게 지연시킨다. 사이버 몸값을 실제 지불한 고객이 있는지 모르겠다. 그러나 몸값을 지불하고 데이터를 찾은 기업, 몸값을 지불하고도 데이터를 찾지 못한 기업이 있을 것이다. editor@itworld.co.kr


2016.08.16

소셜 엔지니어링 공격의 성공률, "무려 150%!"...화이트햇 해커 조쉬 베리

John Dix | Network World
화이트햇 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 해야 할 일이 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 알려줬다.

Q. 소속 화이트햇 팀에 대한 간략한 소개를 부탁한다.
A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다.

대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다.

Q. 고객은 누구인가?
A. 통상 정보보안 담당팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객들이 목적과 목표를 인식하고 있어, 많은 설명이 필요없다.

Q. 침해 사고 후 의뢰를 받기도 하는가?
A. 그런 경우도 있다. 침해 사고를 당한 경우, 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후, 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다.

예를 들어, 한 은행권 고객은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했었다. 테스트를 통해 취약점 하나를 발견했었다. 테스트 없이 애플리케이션이 배포되었다면, 고객의 은행 계좌 또는 신용카드에서 해커에게 돈이 빠져나갔을 취약점이었다. 또한 모든 고객이 위험에 노출되었을 취약점이었다. 우리는 시스템을 배포하기 전 테스트로, 공격자가 이런 기회를 악용하기 전에 문제를 발견하는데 도움을 준다.

Q. 고객의 규모는?
A.
컴플라이언스 요건에 따라 달라진다. 예를 들어, 제품과 서비스에 대한 결제 수단으로 신용카드를 이용하고 있다면, 규모와 상관없는 요건이다. 그러나 대부분은 중견 기업 또는 대기업들이다.

Q. 은밀하게 침투 테스트를 하는가? 아니면 공개적으로 침투 테스트를 하는가?
A.
의뢰 기업과 기관의 보안 성숙도에 달려있다. 침투 테스트로 얻을 수 있는 것이 많다. 보안 성숙도가 낮은 기업이나 기관의 경우, 시스템이나 데이터 액세스에 악용할 수 있는 취약점을 찾는다. 그러나 성숙도가 높은 기업 및 기관의 경우, 침입 탐지와 대응 능력을 테스트하기 원한다. 이 경우, 조금 더 은밀한 침투 테스트를 실시한다. 천천히 조용하게 진행하며, 의도적으로 경보를 울리지 않는다.

Q. 꽤 오랜 기간 보안이 강조되어왔다. 대기업을 대상으로 한 침투 테스트의 경우, 어느 정도 경계가 잘 되어 있는가? 이로 인해, 점차 더 작은 취약점들을 찾는 추세인가?
A.
대부분 조직은 외부 경계선의 보안이 잘 되어 있다. 그러나 일단 내부로 침입하면, 보안이 취약한 부분을 찾을 수 있다. 소셜 엔지니어링으로 꽤 빨리 누군가의 데스크톱에 침입, 환경을 탐색하고, 무엇이든 액세스할 수 있는 관리자 계정까지 침입해 들어갈 수 있다.

하지만 경계선과 개발된 애플리케이션 보안이 튼튼한 경우, 개발자들의 해킹 공격 종류, 도구를 이용해 이를 방지하는 방법에 대한 지식이 높다. 피싱이나 소셜 엔지니어링 기법으로 공격할 수 있는 클라이언트 패치 관리가 미흡한 기업 및 기관들이 많은 실정이다. 이들은 환경 전체에서의 서드파티 애플리케이션 패치 관리에 어려움을 겪고 있다. 이런 이유로 침입할 수 있는 취약점을 발견하고, 내부로 침입해 서드파티 애플리케이션으로 액세스 권한을 높일 수 있다.

또 다른 흔한 침입 방법은 기본 설정된 비밀번호, 취약한 비밀번호를 이용하고 있는 시스템이나 애플리케이션, 장치를 찾는 것이다. 대기업은 시스템을 놓치고, 기본 설정된 관리자 계정 비밀번호를 변경하는 것을 잊는 경향이 있다.

Q. 지금까지 테스트한 환경을 감안했을 때, 이미 많은 조직이 침입을 당했고, 내부에 악성코드가 있다는 주장에 동의하는가?
A.
동의한다. 침해 사고가 발생하지 않은 경우에도, 그 이유는 공격자의 레이더에서 벗어나 있거나, 더 나은 표적이 있거나, 침입에 공을 들일만한 가치가 없기 때문이다. 모든 조직이 소셜 엔지니어링을 이용한 공격과 침해에 취약하다.

'일정 시점에 침해를 당할 것이 분명하거나, 이미 침해를 당한 것이 분명하기 때문에 침해 신호를 파악하고, 큰 문제가 되기 전에 이를 억지하는 것이 좋다'는 생각을 갖는 것이 공격 탐지와 대응에 더 낫다. 우리 또한 단순히 취약점을 노출시키는 대신, 이런 것들을 점차 더 많이 제공하고 있다.

Q. 최근 가장 흔한 공격이 소셜 엔지니어링인가?
A.
그렇다. 공격자가 합법적인 조직, 또는 소속 조직을 가장한 이메일을 발송, 사용자가 링크를 클릭하도록 유도하는 이메일 피싱 캠페인을 이용한 소셜 엔지니어링 공격이 가장 흔하다. 사용자 이름과 비밀번호 입력, 공격자 출발점으로 삼을 데스크톱에 침입할 수 있는 문서 등을 열도록 유도하는 링크를 이용한다. 랜섬웨어 공격에도 많이 사용되는 방법이다.

보안이 가장 어려운 요소 가운데 하나가 사람이다. 우리 또한 소셜 엔지니어링 테스트를 한다. 예를 들어, 은행권 고객사의 사용자 100명을 대상으로 피싱 공격을 했었다. 시나리오를 기획하고, 웹사이트와 이메일을 만들어 100명에게 발송했다. 그리고 클릭한 사람, 로그인 한 사람을 추적했다. 금방 100명 이상이 클릭 또는 로그인을 했다. 물론 클릭하지 않은 사람도 있다. 하지만 이메일에 흥미를 느낀 일부 직원은 이를 다른 사람에게 포워딩했다. 그 결과 150%의 성공률을 달성했다.

Q. 150% 성공율이라고?
A.
원본 이메일 클릭률은 아마 50% 정도일 것이다. 로그인해서 크리덴셜을 획득할 수 있었던 비율은 25~30%, 전체 프로세스를 거친 비율은 약 20% 정도다. 대기업으로서는 아주 높은 비율이다.

Q. 놀랍다. 추천하는 대응 방법은 무엇인가? 보안 교육이 중요하다는 주장이 있다. 애큐데이터가 권장하는 방법은 무엇인가?
A.
당연히 보안 교육 강화를 주장한다. 침입 신호와 징후를 교육해야 한다. 이 밖에도 교육시킬 내용이 아주 많다. 교육 대상자는 보안 전문가가 아니다. 회계 등 다른 일을 하고 있을 것이다. 따라서 보안 전문가가 될 수 없다. 우리는 이런 종류의 공격을 방지 또는 탐지하는데 실제 도움을 주는 방법을 활용한다.

예를 들어, 다른 부서 직원을 가장해 이메일을 보내는 경우가 많다. 우리 회사 컨설턴트 가운데 한 명은 전 직원의 급여 내역과 관련된 스프레드시트를 링크로 연결시킨 이메일을 보내 큰 성공을 일궈냈다. 클릭률이 높은 미끼 가운데 하나다. 이후 우리는 직원들에게 회계 부서가 발송하는 진짜 이메일이 어떤 모양을 하고 있는지 교육을 하도록 추천했다. 그리고 회계 부서에서 보낸 이메일에는 링크가 없다는 점을 교육했다. 회계 페이지에 직접 액세스 하는 방식이기 때문이다.

또한 고객사 도메인으로 이메일을 보낼 수 없는 메일 서버가 대부분이다. 이에 조금 다른 도메인을 이용한다. Company.com 대신 company1.com을 이용하는 식이다. 이에 회사 도메인을 자세히 살펴보라고 교육했다.

Q. 기업들이 가장 크게 걱정하는 것은 무엇인가?
A.
대부분의 조직이 랜섬웨어를 가장 크게 걱정한다. 피해가 아주 클 수 있기 때문이다. 소수 중요 사용자의 데이터가 감염되고, 이것이 암호화 되었는데 백업이 미흡하다면, 비즈니스에 큰 영향이 초래될 수 있다.

Q. 적절한 백업 계획으로 랜섬웨어가 문제가 되지 않는 기업들이 많다고 생각하는가?
A.
많은 기업이 충실한 백업 전략을 갖고 있다. 그러나 이 경우에도 파일이 많고, 이를 모두 암호화할 경우 백업은 큰 골칫거리이며, 비즈니스 운영을 늦춘다. 또한 모든 데이터를 복원, 테스트해야 한다. 이는 비즈니스 운영을 크게 지연시킨다. 사이버 몸값을 실제 지불한 고객이 있는지 모르겠다. 그러나 몸값을 지불하고 데이터를 찾은 기업, 몸값을 지불하고도 데이터를 찾지 못한 기업이 있을 것이다. editor@itworld.co.kr


X