보안

악성코드의 통로가 된 소셜 미디어, 기업의 대응책은?

Kacy Zurkus | CSO 2016.08.31
접속하기 쉽고, 널리 사용되고, 기업 통제 밖인 소셜 미디어 사이트들은 악성 공격자들에게는 금광 같은 존재이다. 사람들은 전혀 악의 없는 수많은 정보들을 공유하는데 이는 해커들이 정말 수집해서 피싱이나 스피어피싱에 활용하고자 하는 정보들이다.

최근 놉섹(NopSEc) 2016 취약점 리스크 관리 현황 보고서에서는 조직들이 불충분한 리스크 평가 점수 시스템을 사용한다는 점을 발견했다. 이 보고서는 리스크 평가 시스템에 포함되어있지 않은 소셜 미디어가 현재 사이버범죄의 최고 플랫폼이라고 주장했다.
그러면 소셜 미디어와 맬웨어 증가 사이에는 어떤 관계가 있을까?

인포메이션 시큐리티 포럼(Information Security Forum)의 전무이사인 스티브 더빈은 그 연관성이 약간 강한 표현이라고 말한다. “소셜 미디어 활용은 증가했다. 사람들은 링크드인, 트위터, 페이스북같은 사이트에 접속하면 그 안에서 다른 사람들과의 소통에 리스크가 없다고 가정한다. 심리적으로 방어선이 내려간 것이다.”

그 결과 소셜 미디어 사이트들은 소셜 엔지니어링을 통해 악성코드를 퍼트리고자 하는 이들에게 유용한 채널이 되었다. 더빈은 “해커의 관점에서 소셜 미디어는 노다지다. 우리는 자연적으로 사람들이 방어선을 내리는 환경을 가지고 있다. 그들은 서드파티와 쉽게 관여할 것이다. 이는 악성코드를 밀어내기 위한 소셜엔지니어링과 스피어피싱까지 활용할 수 있는 정보를 수집할 훌륭한 기회다”고 말했다.

놉섹 보고서에 의하면 트위터는 보안 연구자들에게 최고의 플랫폼 중 하나가 되고 있고 공격자들은 PoC 탈취를 퍼트리려 하고 있다. 활성 악성코드와 관련된 취약점들은 공공 탈취 취약점보다 9배 더 많이 트윗 되고 다른 취약점들보다 18배 넘게 트윗 된다.

소셜 미디어를 통한 악성코드 유입을 막기 힘든 이유
소셜 미디어는 악성코드의 미끼이자 통로이다. 그 사이트들은 엔드포인트 보안 외부에 있는 공격 경로로 CVSS 점수에만 의존하는 것이 리스크 우선순위를 매기기 어렵게 만든다는 것을 시사한다. “하지만 하위점수가 맥락, 소셜 미디어 트렌드 분석, 데이터 피드 같은 다른 요소와 결합되면 더 나은 리스트 평가와 우선화가 제공된다”고 놉섹 보고서는 말했다.

6차 연례 스마시 2016 일렉트로닉 커뮤니케이션 준수 조사(Smarsh 2016 Electronic Communications Compliance Survey)에서 응답자의 48%는 소셜 미디어를 실제 준수 리스크의 제1 채널로 꼽았다.

보고서에서는 “회사가 소셜 미디어 채널을 금지했을 때도 직원이 그 금지를 고수하지 않으면 리스크는 남는다. 금지 정책이 통할 수 있다는데 최소한 혹은 전혀 신뢰가 없다고 답한 응답자의 비율은 링크드인에서는 30%, 페이스북에서는 41%, 트위터에는 45%였다”고 전한다.

사이버보안 팀들의 문제는 소셜 미디어 사이트들이 네트워크 외곽에 위치해 있기 때문에 거의 가시성이 없다는 점이다. 제로폭스(ZeroFox)의 공동창립자이자 최고 비즈니스 책임자인 에반 블레어와 최고 연구 책임자 마이크 라고는 “소셜 미디어가 가장 크고 가장 역동적인 조직 보안의 리스크를 대표한다”고 말했다.

만약 보안 현업자들이 소셜 미디어를 리스크 산정에 포함하지 않으면 큰 빈틈을 남기는 것이다. 취약점의 범위를 이해하기 위해 “그들은 소셜 미디어를 활용해 위협 지형의 변화를 식별해야 한다”고 라고는 말했다.

라고는 “소셜 미디어가 비즈니스 커뮤니케이션의 주 플랫폼이 됨에 따라 사이버 범죄들은 내재적 신뢰와 널리 퍼진 연결성을 활용해 직원과 고객들을 표적화하고 있다”고 말하면서, “많은 기업들이 그 문제를 인식하기 시작하고 있으며 더 많은 수가 어떻게 소셜 미디어가 탈취로 이어지느냐를 알려고 할뿐 아니라 보안팀이 그 문제 해결에 무엇을 할 수 있는지 까지 알고 싶어 한다”고 말한다.

파이어아이(fireEye)의 취약점과 탈취의 관리자 재러드 셈라우는 “본질적으로 소셜 미디어는 사람들이 더 빠르고 더 널리 연결될 수 있게 해준다. 비록 말 그대로 의도는 해가 없지만 소셜 미디어는 취약점에 관련된 정보, PoC 코드, 공격 방식 같은 악성 활동을 도울 수 있는 정보 확산에 기여한다”고 말했다.

악의적 공격자들은 소셜 미디어 플랫폼을 활용해 그들의 기존 운영을 강화시켰다. 셈라우는 “그들이 이 플랫폼들을 활용해 그들의 소셜 엔지니어링 책략을 더 넓은 대상에 노출시키거나 소셜 미디어 프로필, 활동, 네트워크를 만들어 (뉴스캐스터 사례처럼) 기존 활동에 신뢰도를 높이고 있고, 이들 플랫폼들은 악성 활동과 위협 지형 전체에 직접적 역할을 하고 있다”고 말했다.

만약 기업이 이런 리스크를 피하기 위해 무엇을 할 수 있느냐에 대해 쉬운 답이 있다면 모두가 소셜 미디어 사이트가 제기하는 위협으로부터 자유로울 것이다. 안타깝게도 이 리스크를 완전히 피하기 위해 할 수 있는 건 많지 않다.

위협 최소화를 위한 조치
그럼에도 리스크를 최소화하기 위한 첫 번째 단계는 조직에 대한 위협을 이해하는 것이다. 툴이나 대응조치를 이행하는데 수백만 달러를 쓸 수도 있지만 만약 위협 환경에 대해 포괄적 이해가 없다면 그 돈은 낭비일 뿐이다.

셈라우는 이해와 우선화는 의식 수준을 높이고 이용자 행동을 바꿔 보안을 강화시키게 될 것이다. 위협을 이해하고 조직에게 가장 영향을 주는 것에 우선순위를 높이고 특정 위협에 대처하기 위해 최소화 조치나 대응조치를 이행하면 아마도 성공의 가능성이 가장 높을 것”이라고 말했다.

모든 툴에 있어서 안정성을 향상시키는 것은 어렵기 때문에 조직들이 그들의 툴이나 서비스가 무엇을 위해 설계되었는지 더 잘 이해해야 한다. 셈라우는 “어떤 정보가 사용되는지 그리고 궁극적으로 그 툴이 특정 니즈에 부합하는지 이해하라”고 말했다.

보안 협업자들이 보안 툴을 평가하고 정확히 그들이 툴을 원하는지 제공할 서비스를 원하는지 이해하는 게 중요하다. 셈라우는 “그 툴이나 서비스들이 그 요구사항을 충족할 수 있는지 확인하고 그 솔루션에 사용되는 정보가 고품질이자 안정적인 정보에 기반하는지 확인하라”고 말했다.

보안 툴을 취약점에 대한 해답으로 보는 경우엔 너무 단순해질 수도 있다. 더빈은 “전체 리스크 지형은 점점 복잡해지고 있다. 준수사항만 지키는 게 아니라 취약점을 측정하는 방식을 다시 생각할 필요가 있다”고 지적했다.

우선, 위협 예측에 더해 기업들은 또한 더 탄력적이어야 한다. 더빈은 “과거 우리가 무엇을 해왔는지처럼 간단한 문제가 아니다”고 말했다. 자산 가치를 평가하는 것은 취약점이 어디에 있을지 이해에 도움이 될 것이다.

이어 더빈은 “우리는 비즈니스 영향 평가를 통해 위협 환경을 이해하고 그게 어떻게 변화하고 있는지 이해해야 한다. 그러면 우리는 위협과 관련된 리스크와 특정 취약점에 연관된 리스크 기호를 이해할 수 있다”고 말했다.

보안은 좀 더 세련될 필요가 있는데 이는 비즈니스 자산의 가치와 손실이나 다운타임의 영향에 대한 실질적 의식을 가짐을 의미한다. 리스크는 서비스를 전달하는 능력에만 있는 게 아니다. 리스크는 브랜드와 평판에도 영향을 미치고 기업이 경쟁자들에 비해 가지는 이미지에도 영향을 준다.

유출로 고통 받은 기업은 그들의 이름이 헤드라인뿐 아니라 트윗이나 페이스북 피드상에 오르는 것을 볼 수 있을 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.