2019.01.28

보안 위협을 방어하는 3가지 중요한 방법

Roger A. Grimes | CSO
평균 5,000~7,000개의 새로운 컴퓨터 보안 위협이 매년 발표되고 있다. 하루 19개에 해당하는 수준이다. 새로운 위협이 등장하는 속도 때문에 어떤 것에 주의해야 하는지 판단하기가 어렵다. 
 
ⓒ Getty Images Bank 

경쟁업체들은 비싸고 때로는 이국적인 첨단 방어책에 돈을 낭비하고 있지만 자신은 이미 하고 있는 3가지 일에 집중하면서 훨씬 큰 가치를 얻을 수 있다는 사실에 놀랄 수도 있을 것이다. 더 적은 돈을 들이고도 별 다른 조치 없이 더 나은 방어 수준을 높일 수 있다. 

이런 3가지 필수사항은 비밀이 아니며 이미 알고 있는 내용이다. 자신의 경험을 통해 필자의 주장이 사실이라는 점을 알 수 있을 것이다. 이를 위한 데이터는 압도적이다. 하지만 대부분의 기업은 이를 충분히 잘 하지 못한다.


보안 초점을 바꿔라

대부분의 컴퓨터 보안 방어자는 초점을 잘못 잡고 있다. 그들은 특정 위협에 집중하고 있으며 해커의 침입 방식보다는 해커 침입 후의 조치에 집중하고 있다. 수십만 개의 고유한 소프트웨어 취약점과 수억 개의 고유한 악성코드군이 있겠지만 모두 초기에 환경을 익스플로잇 공격한 약 12가지의 방법을 공유한다면 다음과 같다.

- 패치되지 않은 소프트웨어
- 소셜 엔지니어링
- 잘못된 구성
- 비밀번호 공격
- 물리적 공격
- 도청
- 사용자 오류
- DoS(Denial of Service)


이런 기저 공격 원인에 초점을 맞추고 줄이면 해커와 악성코드에 대항하는데 크게 도움이 된다. 컴퓨터 보안 위험을 가장 빨리 최소화하고 싶다면 위협이 자사의 환경에 가장 큰 피해를 입힐 수 있는 기저 공격 원인을 찾아내자. 가장 큰 원인을 없애면 해당 원인을 이용하는 모든 위협이 사라진다. 그렇다면 대부분의 환경에서 가장 큰 기저 이용 원인은 무엇일까. 패치되지 않은 소프트웨어, 소셜 엔지니어링, 비밀번호 관리 등 이 세 가지다.

분명 이런 기저 원인은 대부분의 기업에서 가장 성공적이고 피해가 큰 공격을 유발하고 있으며 수십 년 동안 지속됐다. 이런 기저 이용 방법 가운데 하나는 주류 미디어에서 뉴스를 장식했던 대형 공격에 이용되었을 가능성이 높다. 경험상 기업 또는 군대가 대규모 공격을 받을 때 이런 기저 원인 가운데 하나를 추적해 찾아낼 수 있다. 자사의 경험은 다를 수 있으며 그렇다면 이 글을 무시하면 된다. 나머지는 계속 읽도록 하자.

 
향상된 소프트웨어 패치

해커와 악성코드 모두 침입하는 수단으로써 패치되지 않은 소프트웨어를 찾는다. 패치되지 않은 소프트웨어는 최소한의 최종 사용자 개입이 필요하기 때문에 선호하는 공격 벡터다. 해커는 패치되지 않은 소프트웨어를 찾아 네트워크 컴퓨터와 서비스를 공격하고 해킹한 후 필요 시 추가적인 내부 대상으로 옮겨갈 수 있다. 아니면 사용자를 속여 패치되지 않은 취약성을 악용하기 위한 이메일을 열어보거나 웹사이트를 방문하도록 할 수 있다.

물론 공격자는 때로는 공급업체 패치가 없는 소프트웨어 익스플로잇 공격을 이용하지만(제로데이 익스플로잇 공격) 공개된 익스플로잇 공격은 1년에 수천 개가 사용되지만 알려지지 않은 제로데이 공격은 수십 개가 사용될 뿐이다. 

어떤 경우라도 제로데이 공격을 방지하기가 매우 어려우며 훨씬 크고 일관된 위협에 집중하는 편이 낫다. 기업이 제로데이 공격자에게 익스플로잇 공격을 당했는지 여부는 알 수 없지만 패치되지 않은 소프트웨어를 악용하려는 위협에 의해 수 차례 공격을 받을 것이다.

보안 위험을 가장 빠르게 낮추는 핵심은 위험이 가장 높은 컴퓨터에서 위험이 가장 높은 소프트웨어 프로그램에 집중하는 것이다. 대부분의 기업은 모든 소프트웨어 프로그램을 패치하는데 같은 수준의 노력을 기울이다(그리고 수십 만 개의 고유한 프로그램이 존재한다). 이 접근방식은 실패할 수밖에 없다. 적용된 노력에 패치해야 하는 장치의 수와 소프트웨어 프로그램을 곱하는 숫자 알아맞히기 게임이다.

환경에서 가장 패치가 부족한 프로그램과 익스플로잇 공격을 당할 가능성이 가장 높은 소프트웨어 프로그램 사이에는 큰 차이가 있다. 그 차이를 이해할 수 있다면 이 권고사항을 완벽하게 이해할 것이다.

예를 들어, 수년 동안 마이크로소프트 윈도우 컴퓨터에서 가장 패치가 부족한 프로그램은 마이크로소프트 비주얼 C++ 런타임 라이브러리였다. 이 프로그램 라이브러리는 많은 서드파티 프로그램을 통해 재배포됐다. 가장 패치가 부족한 프로그램이긴 했지만 공격자나 악성코드가 거의 익스플로잇 공격을 수행하지 않았다. 

왜일까. 왜냐하면 익스플로잇 공격을 하기가 쉽지 않았기 때문이다. 수십 개의 폴더에 위치할 수 있었고 일반적으로 애드버타이징(advertising)을 하지 않아 익스플로잇 공격이 쉽지 않았다. 설치된 소프트웨어 프로그램의 95%도 마찬가지일 수 있다. 패치되지 않았을 수 있지만 익스플로잇 공격을 자주 당하지 않는다.

대신에 위치가 일정하고 익스플로잇 공격이 쉬운 썬/오라클 자바, 어도비 아크로뱃, 인터넷 브라우저 등의 패치되지 않은 기타 인기 프로그램이 주요 익스플로잇 공격의 대상이 되었다. 서버, 웹 서버, 데이터베이스 서버에서는 소프트웨어가 주요 대상이 되었다. 이 때문에 최종 사용자 컴퓨터에서는 인터넷 브라우저 관련 소프트웨어를 완벽하게 패치하고 서버 컴퓨터에서 서비스를 애드버타이징하는 것이 훨씬 낫다.

패치 관리 프로그램을 살펴보자. 더욱 강력한 컴퓨터 보안 방어를 제공하기 위해서는 다음과 같은 질문에 답해야 한다. 

- 무엇보다도 위험이 가장 높은 프로그램을 우선시하는가. 
- 위험이 가장 높은 프로그램에 99% 이하의 패치율을 허용하는가. 
- 그렇다면 그 이유는 무엇인가. 
- 위험이 가장 높은 프로그램이 무엇인지는 알고 있는가. 
- 자사를 익스플로잇 공격하는데 가장 많이 이용되는 소프트웨어 프로그램은 무엇인가. 
- 패치 관리 프로그램에 하드웨어, 펌웨어, 모바일 장치 패치가 포함되어 있는가. 


향상되고 증가된 소셜 엔지니어링 교육

이행할 수 있는 또 다른 최고의 방어책은 소프트웨어나 장치가 아니다. 교육이다. 컴퓨터를 사용하는 한 일반적으로 인터넷 브라우저나 이메일을 이용한 소셜 엔지니어링 위협이 패치되지 않은 소프트웨어만큼이나 대부분의 기저 익스플로잇 공격의 원인으로 꼽히고 있다. 필자가 개입했던 대형 해커 공격의 대부분에는 소셜 엔지니어링 요소, 특히 피해가 가장 오래 지속되는 것들이 포함되어 있었다.

소셜 엔지니어링 해커들은 최종 사용자를 설득해 비밀번호를 빼앗고 해커 또는 악성코드가 민감한 리소스에 대한 권한 액세스를 획득하는 것으로 유명하다. 사용자는 실수로 트로이목마 프로그램을 실행하거나 가짜 이메일과 웹사이트에 로그온 자격 증명을 제공하는 경우가 많다. 소셜 엔지니어링은 너무 성공적이어서 많은 컴퓨터 보안 방어자들이 향상되고 추가적인 소셜 엔지니어링 교육이 답이라는 말을 믿지 않지만 사실이 그렇다.

많은 연구를 통해 직원들에게 인식 교육을 제공하는 것이 방법에 상관없이 그들이 소셜 엔지니어링 방법에 속을 가능성을 낮춰주는 것으로 나타났다. 안타깝게도 대부분의 기업들은 보안 교육을 거의 하지 않으며 때로는 연간 30분이 채 되지 않을 때도 있다.

필자는 두 그룹의 직원들에게 소셜 엔지니어링 교육을 제공하는 사례 연구에 참여한 적이 있다. 첫 번째 "통제" 그룹은 일반적이고 의무적인 30분 영상을 시청했다. 두 번째 그룹은 해당 기업이 실제로 직면했던 가장 보편적인 소셜 엔지니어링 공격에 초점을 둔 2시간짜리 교육을 받았다. 그리고 나서 두 그룹 모두 1년 동안 2개월마다 가짜 소셜 엔지니어링 캠페인으로 시험을 받았다.

결과는. 차이가 커도 너무 컸다. 더 많은 교육을 받은 그룹이 너무 잘 배운 나머지 단 한 명도 6개월 이상 가짜 소셜 엔지니어링 캠페인에 속지 않았으며 통제 그룹보다 실제 소셜 엔지니어링 시도를 보고할 가능성이 훨씬 높았다.

직원에게 정확히 어느 정도의 소셜 엔지니어링 교육을 제공해야 하는지는 확실하지 않지만 연간 30분 이상인 것은 확실하며 아마도 연간 시간 단위로 측정해야 할 것이다. 한 번에 모든 시간을 쏟아 부을 필요는 없고 교육을 정기적으로 반복해 자사가 목격하고 있는 실제 소셜 엔지니어링 캠페인의 유형에 맞출 필요가 있다.


비밀번호 관리를 강화하라

필자는 오랫동안 상기 두 가지 인기 공격 분야에 집중하도록 권고했었다. 이제는 세 번째로 비밀번호 관리를 추가할 때다. 과거 필자는 소셜 엔지니어링과 패치되지 않은 소프트웨어가 놀랍도록 많은 부분을 차지하고 있기 때문에 비밀번호 보안에 대해 걱정하는 것은 시간 낭비라고 말했다. 그리고 실제로 그랬다.

비밀번호 해커들은 비밀번호 추측과 크래킹에서 공격자가 비밀번호 해시 데이터베이스에 액세스하는 PtH(Pass-the-Has) 공격으로 옮겨갔다. PtH 공격은 이론적인 공격에서 2008년 헤르난 오초아가 자신의 PtH 툴 키트를 공개하면서 심각한 실질적인 문제로 바뀌었다. 아무 것도 아닌 PtH 공격이 1~2년 만에 급증했다. 필자는 약 10년 동안 PtH 공격이 관련되지 않은 조직 해킹의 포렌식 조사에 참여한 적이 없다.

PtH는 공격자가 이미 환경의 로컬 또는 도메인 관리 통제권을 확보한 후 수행하는 사후 익스플로잇 공격 기법이기 때문에 유명한 쟁점으로써 PtH 공격을 방어하는 것이 재미가 없다. 문제는 PtH 공격이 아니었다. 해커들은 이미 완전한 관리 통제권을 확보하고 있었다. 필자는 사후 익스플로잇 공격 기법보다는 초기 익스플로잇 원인을 차단하는 것에 더 관심이 있다. 왜냐하면 처음에 어떻게 침입하는지에 집중하지 않으면 이 악당들을 절대로 차단할 수 없기 때문이다.

이 때문에 조직이 걱정해야 하는 목록에 비밀번호 관리를 추가해야 하는 것이다.
조직의 비밀번호는 분산되어 있을 가능성이 높다. 필자는 심지어 지난 주 트로이 헌트가 밝힌 7억 7,300만 건의 데이터 유출 기록에 관해서는 입도 뻥긋하지 않았다. PR(Privacy Rights) 데이터 유출 데이터베이스에 따르면 알려진 도난 기록만 110억 개가 넘는다고 한다. 

필자는 이런 사실을 알게 되면서 생각이 바뀌었다. 비밀번호가 분산되어 있어 아무 해커나 볼 수 있다면 초기 익스플로잇 공격 문제가 된다. 유일한 안전책은 모든 웹사이트에 대해 전체적인 패턴 없이 진정으로 고유한 비밀번호를 생성하는 것이다. 이를 위해서는 이것들을 적어 두거나(그리고 필요할 때마다 찾아보거나) 비밀번호 관리자 프로그램을 사용하는 것이다.

비밀번호 관리자에는 문제가 있으며 그 가운데 컴퓨터가 해킹되면(장담할 수 없는 문제이다.) 공격자가 모든 사이트에 대한 모든 비밀번호를 한 번에 얻을 수 있다는 문제가 가장 크다. 비밀번호 관리자의 인기가 높아지면서 해커들은 이것을 대상으로 삼는 경우가 많아질 것이다. 

비밀번호에 대한 유일한 해결책은 전 세계가 사용하고 있는 비밀번호를 없애는 것이다. 비밀번호를 대체할 만한 MFA(Multi-Factor Authentication)와 다중 변수 행동 분석은 저마다 문제가 있지만 해커는 데이터베이스에서 이를 우회할 방법은 찾을 수 없다. 비밀번호 관리와 관련해 다음과 같은 사항을 권장한다.

- 지난 수 개월 동안 변경하지 않은 모든 비밀번호를 비 패턴 비밀번호로 변경하자.
- 가능한 경우 중요한 계정에서는 MFA를 이행하자.
- 각 웹사이트마다 모든 비밀번호가 고유해야 한다.
- 트로이 헌트의 HBP(HaveIBeenPwned) 또는 BA(BreachAlarm) 같은 비밀번호 데이터 유출 서비스를 미리 확인하거나 노우비포(KnowBe4)의 PET(Password Exposure Test) 같은 무료 기업용 툴을 이용해 모든 조직 비밀번호를 한 번에 확인하자.
- 활성화된 비밀번호가 알려진 비밀번호 데이터베이스에 저장된 것과 일치하는지 자동으로 확인하는 비밀번호 관리 툴을 고려하자.


비밀번호가 해킹된 경우 변경하자. 해킹되면 왜 해킹되었는지 파악하자. 전혀 통제할 수 없는 부분이었는지, 아니면 피싱(Phishing) 사기에 속은 것인지 알아야 한다. 세상의 거의 모든 비밀번호가 다른 사람들이 볼 수 있도록 공개되어 있다는 사실을 알고 행동하는 것이 모든 주요 방어책에 추가해야 할 세 번째로 중요한 활동이다. 

소셜 엔지니어링과 패치되지 않은 소프트웨어는 데이터 유출에 있어서 여전히 성공적인 방식이다. 이런 것들에만 계속 집중하더라도 이 두 공격 유형이 사라졌을 때에도 해커들은 공개되어 있는 모든 비밀번호를 이용해 손쉽게 액세스를 확보할 수 있게 될 것이다. editor@itworld.co.kr 


2019.01.28

보안 위협을 방어하는 3가지 중요한 방법

Roger A. Grimes | CSO
평균 5,000~7,000개의 새로운 컴퓨터 보안 위협이 매년 발표되고 있다. 하루 19개에 해당하는 수준이다. 새로운 위협이 등장하는 속도 때문에 어떤 것에 주의해야 하는지 판단하기가 어렵다. 
 
ⓒ Getty Images Bank 

경쟁업체들은 비싸고 때로는 이국적인 첨단 방어책에 돈을 낭비하고 있지만 자신은 이미 하고 있는 3가지 일에 집중하면서 훨씬 큰 가치를 얻을 수 있다는 사실에 놀랄 수도 있을 것이다. 더 적은 돈을 들이고도 별 다른 조치 없이 더 나은 방어 수준을 높일 수 있다. 

이런 3가지 필수사항은 비밀이 아니며 이미 알고 있는 내용이다. 자신의 경험을 통해 필자의 주장이 사실이라는 점을 알 수 있을 것이다. 이를 위한 데이터는 압도적이다. 하지만 대부분의 기업은 이를 충분히 잘 하지 못한다.


보안 초점을 바꿔라

대부분의 컴퓨터 보안 방어자는 초점을 잘못 잡고 있다. 그들은 특정 위협에 집중하고 있으며 해커의 침입 방식보다는 해커 침입 후의 조치에 집중하고 있다. 수십만 개의 고유한 소프트웨어 취약점과 수억 개의 고유한 악성코드군이 있겠지만 모두 초기에 환경을 익스플로잇 공격한 약 12가지의 방법을 공유한다면 다음과 같다.

- 패치되지 않은 소프트웨어
- 소셜 엔지니어링
- 잘못된 구성
- 비밀번호 공격
- 물리적 공격
- 도청
- 사용자 오류
- DoS(Denial of Service)


이런 기저 공격 원인에 초점을 맞추고 줄이면 해커와 악성코드에 대항하는데 크게 도움이 된다. 컴퓨터 보안 위험을 가장 빨리 최소화하고 싶다면 위협이 자사의 환경에 가장 큰 피해를 입힐 수 있는 기저 공격 원인을 찾아내자. 가장 큰 원인을 없애면 해당 원인을 이용하는 모든 위협이 사라진다. 그렇다면 대부분의 환경에서 가장 큰 기저 이용 원인은 무엇일까. 패치되지 않은 소프트웨어, 소셜 엔지니어링, 비밀번호 관리 등 이 세 가지다.

분명 이런 기저 원인은 대부분의 기업에서 가장 성공적이고 피해가 큰 공격을 유발하고 있으며 수십 년 동안 지속됐다. 이런 기저 이용 방법 가운데 하나는 주류 미디어에서 뉴스를 장식했던 대형 공격에 이용되었을 가능성이 높다. 경험상 기업 또는 군대가 대규모 공격을 받을 때 이런 기저 원인 가운데 하나를 추적해 찾아낼 수 있다. 자사의 경험은 다를 수 있으며 그렇다면 이 글을 무시하면 된다. 나머지는 계속 읽도록 하자.

 
향상된 소프트웨어 패치

해커와 악성코드 모두 침입하는 수단으로써 패치되지 않은 소프트웨어를 찾는다. 패치되지 않은 소프트웨어는 최소한의 최종 사용자 개입이 필요하기 때문에 선호하는 공격 벡터다. 해커는 패치되지 않은 소프트웨어를 찾아 네트워크 컴퓨터와 서비스를 공격하고 해킹한 후 필요 시 추가적인 내부 대상으로 옮겨갈 수 있다. 아니면 사용자를 속여 패치되지 않은 취약성을 악용하기 위한 이메일을 열어보거나 웹사이트를 방문하도록 할 수 있다.

물론 공격자는 때로는 공급업체 패치가 없는 소프트웨어 익스플로잇 공격을 이용하지만(제로데이 익스플로잇 공격) 공개된 익스플로잇 공격은 1년에 수천 개가 사용되지만 알려지지 않은 제로데이 공격은 수십 개가 사용될 뿐이다. 

어떤 경우라도 제로데이 공격을 방지하기가 매우 어려우며 훨씬 크고 일관된 위협에 집중하는 편이 낫다. 기업이 제로데이 공격자에게 익스플로잇 공격을 당했는지 여부는 알 수 없지만 패치되지 않은 소프트웨어를 악용하려는 위협에 의해 수 차례 공격을 받을 것이다.

보안 위험을 가장 빠르게 낮추는 핵심은 위험이 가장 높은 컴퓨터에서 위험이 가장 높은 소프트웨어 프로그램에 집중하는 것이다. 대부분의 기업은 모든 소프트웨어 프로그램을 패치하는데 같은 수준의 노력을 기울이다(그리고 수십 만 개의 고유한 프로그램이 존재한다). 이 접근방식은 실패할 수밖에 없다. 적용된 노력에 패치해야 하는 장치의 수와 소프트웨어 프로그램을 곱하는 숫자 알아맞히기 게임이다.

환경에서 가장 패치가 부족한 프로그램과 익스플로잇 공격을 당할 가능성이 가장 높은 소프트웨어 프로그램 사이에는 큰 차이가 있다. 그 차이를 이해할 수 있다면 이 권고사항을 완벽하게 이해할 것이다.

예를 들어, 수년 동안 마이크로소프트 윈도우 컴퓨터에서 가장 패치가 부족한 프로그램은 마이크로소프트 비주얼 C++ 런타임 라이브러리였다. 이 프로그램 라이브러리는 많은 서드파티 프로그램을 통해 재배포됐다. 가장 패치가 부족한 프로그램이긴 했지만 공격자나 악성코드가 거의 익스플로잇 공격을 수행하지 않았다. 

왜일까. 왜냐하면 익스플로잇 공격을 하기가 쉽지 않았기 때문이다. 수십 개의 폴더에 위치할 수 있었고 일반적으로 애드버타이징(advertising)을 하지 않아 익스플로잇 공격이 쉽지 않았다. 설치된 소프트웨어 프로그램의 95%도 마찬가지일 수 있다. 패치되지 않았을 수 있지만 익스플로잇 공격을 자주 당하지 않는다.

대신에 위치가 일정하고 익스플로잇 공격이 쉬운 썬/오라클 자바, 어도비 아크로뱃, 인터넷 브라우저 등의 패치되지 않은 기타 인기 프로그램이 주요 익스플로잇 공격의 대상이 되었다. 서버, 웹 서버, 데이터베이스 서버에서는 소프트웨어가 주요 대상이 되었다. 이 때문에 최종 사용자 컴퓨터에서는 인터넷 브라우저 관련 소프트웨어를 완벽하게 패치하고 서버 컴퓨터에서 서비스를 애드버타이징하는 것이 훨씬 낫다.

패치 관리 프로그램을 살펴보자. 더욱 강력한 컴퓨터 보안 방어를 제공하기 위해서는 다음과 같은 질문에 답해야 한다. 

- 무엇보다도 위험이 가장 높은 프로그램을 우선시하는가. 
- 위험이 가장 높은 프로그램에 99% 이하의 패치율을 허용하는가. 
- 그렇다면 그 이유는 무엇인가. 
- 위험이 가장 높은 프로그램이 무엇인지는 알고 있는가. 
- 자사를 익스플로잇 공격하는데 가장 많이 이용되는 소프트웨어 프로그램은 무엇인가. 
- 패치 관리 프로그램에 하드웨어, 펌웨어, 모바일 장치 패치가 포함되어 있는가. 


향상되고 증가된 소셜 엔지니어링 교육

이행할 수 있는 또 다른 최고의 방어책은 소프트웨어나 장치가 아니다. 교육이다. 컴퓨터를 사용하는 한 일반적으로 인터넷 브라우저나 이메일을 이용한 소셜 엔지니어링 위협이 패치되지 않은 소프트웨어만큼이나 대부분의 기저 익스플로잇 공격의 원인으로 꼽히고 있다. 필자가 개입했던 대형 해커 공격의 대부분에는 소셜 엔지니어링 요소, 특히 피해가 가장 오래 지속되는 것들이 포함되어 있었다.

소셜 엔지니어링 해커들은 최종 사용자를 설득해 비밀번호를 빼앗고 해커 또는 악성코드가 민감한 리소스에 대한 권한 액세스를 획득하는 것으로 유명하다. 사용자는 실수로 트로이목마 프로그램을 실행하거나 가짜 이메일과 웹사이트에 로그온 자격 증명을 제공하는 경우가 많다. 소셜 엔지니어링은 너무 성공적이어서 많은 컴퓨터 보안 방어자들이 향상되고 추가적인 소셜 엔지니어링 교육이 답이라는 말을 믿지 않지만 사실이 그렇다.

많은 연구를 통해 직원들에게 인식 교육을 제공하는 것이 방법에 상관없이 그들이 소셜 엔지니어링 방법에 속을 가능성을 낮춰주는 것으로 나타났다. 안타깝게도 대부분의 기업들은 보안 교육을 거의 하지 않으며 때로는 연간 30분이 채 되지 않을 때도 있다.

필자는 두 그룹의 직원들에게 소셜 엔지니어링 교육을 제공하는 사례 연구에 참여한 적이 있다. 첫 번째 "통제" 그룹은 일반적이고 의무적인 30분 영상을 시청했다. 두 번째 그룹은 해당 기업이 실제로 직면했던 가장 보편적인 소셜 엔지니어링 공격에 초점을 둔 2시간짜리 교육을 받았다. 그리고 나서 두 그룹 모두 1년 동안 2개월마다 가짜 소셜 엔지니어링 캠페인으로 시험을 받았다.

결과는. 차이가 커도 너무 컸다. 더 많은 교육을 받은 그룹이 너무 잘 배운 나머지 단 한 명도 6개월 이상 가짜 소셜 엔지니어링 캠페인에 속지 않았으며 통제 그룹보다 실제 소셜 엔지니어링 시도를 보고할 가능성이 훨씬 높았다.

직원에게 정확히 어느 정도의 소셜 엔지니어링 교육을 제공해야 하는지는 확실하지 않지만 연간 30분 이상인 것은 확실하며 아마도 연간 시간 단위로 측정해야 할 것이다. 한 번에 모든 시간을 쏟아 부을 필요는 없고 교육을 정기적으로 반복해 자사가 목격하고 있는 실제 소셜 엔지니어링 캠페인의 유형에 맞출 필요가 있다.


비밀번호 관리를 강화하라

필자는 오랫동안 상기 두 가지 인기 공격 분야에 집중하도록 권고했었다. 이제는 세 번째로 비밀번호 관리를 추가할 때다. 과거 필자는 소셜 엔지니어링과 패치되지 않은 소프트웨어가 놀랍도록 많은 부분을 차지하고 있기 때문에 비밀번호 보안에 대해 걱정하는 것은 시간 낭비라고 말했다. 그리고 실제로 그랬다.

비밀번호 해커들은 비밀번호 추측과 크래킹에서 공격자가 비밀번호 해시 데이터베이스에 액세스하는 PtH(Pass-the-Has) 공격으로 옮겨갔다. PtH 공격은 이론적인 공격에서 2008년 헤르난 오초아가 자신의 PtH 툴 키트를 공개하면서 심각한 실질적인 문제로 바뀌었다. 아무 것도 아닌 PtH 공격이 1~2년 만에 급증했다. 필자는 약 10년 동안 PtH 공격이 관련되지 않은 조직 해킹의 포렌식 조사에 참여한 적이 없다.

PtH는 공격자가 이미 환경의 로컬 또는 도메인 관리 통제권을 확보한 후 수행하는 사후 익스플로잇 공격 기법이기 때문에 유명한 쟁점으로써 PtH 공격을 방어하는 것이 재미가 없다. 문제는 PtH 공격이 아니었다. 해커들은 이미 완전한 관리 통제권을 확보하고 있었다. 필자는 사후 익스플로잇 공격 기법보다는 초기 익스플로잇 원인을 차단하는 것에 더 관심이 있다. 왜냐하면 처음에 어떻게 침입하는지에 집중하지 않으면 이 악당들을 절대로 차단할 수 없기 때문이다.

이 때문에 조직이 걱정해야 하는 목록에 비밀번호 관리를 추가해야 하는 것이다.
조직의 비밀번호는 분산되어 있을 가능성이 높다. 필자는 심지어 지난 주 트로이 헌트가 밝힌 7억 7,300만 건의 데이터 유출 기록에 관해서는 입도 뻥긋하지 않았다. PR(Privacy Rights) 데이터 유출 데이터베이스에 따르면 알려진 도난 기록만 110억 개가 넘는다고 한다. 

필자는 이런 사실을 알게 되면서 생각이 바뀌었다. 비밀번호가 분산되어 있어 아무 해커나 볼 수 있다면 초기 익스플로잇 공격 문제가 된다. 유일한 안전책은 모든 웹사이트에 대해 전체적인 패턴 없이 진정으로 고유한 비밀번호를 생성하는 것이다. 이를 위해서는 이것들을 적어 두거나(그리고 필요할 때마다 찾아보거나) 비밀번호 관리자 프로그램을 사용하는 것이다.

비밀번호 관리자에는 문제가 있으며 그 가운데 컴퓨터가 해킹되면(장담할 수 없는 문제이다.) 공격자가 모든 사이트에 대한 모든 비밀번호를 한 번에 얻을 수 있다는 문제가 가장 크다. 비밀번호 관리자의 인기가 높아지면서 해커들은 이것을 대상으로 삼는 경우가 많아질 것이다. 

비밀번호에 대한 유일한 해결책은 전 세계가 사용하고 있는 비밀번호를 없애는 것이다. 비밀번호를 대체할 만한 MFA(Multi-Factor Authentication)와 다중 변수 행동 분석은 저마다 문제가 있지만 해커는 데이터베이스에서 이를 우회할 방법은 찾을 수 없다. 비밀번호 관리와 관련해 다음과 같은 사항을 권장한다.

- 지난 수 개월 동안 변경하지 않은 모든 비밀번호를 비 패턴 비밀번호로 변경하자.
- 가능한 경우 중요한 계정에서는 MFA를 이행하자.
- 각 웹사이트마다 모든 비밀번호가 고유해야 한다.
- 트로이 헌트의 HBP(HaveIBeenPwned) 또는 BA(BreachAlarm) 같은 비밀번호 데이터 유출 서비스를 미리 확인하거나 노우비포(KnowBe4)의 PET(Password Exposure Test) 같은 무료 기업용 툴을 이용해 모든 조직 비밀번호를 한 번에 확인하자.
- 활성화된 비밀번호가 알려진 비밀번호 데이터베이스에 저장된 것과 일치하는지 자동으로 확인하는 비밀번호 관리 툴을 고려하자.


비밀번호가 해킹된 경우 변경하자. 해킹되면 왜 해킹되었는지 파악하자. 전혀 통제할 수 없는 부분이었는지, 아니면 피싱(Phishing) 사기에 속은 것인지 알아야 한다. 세상의 거의 모든 비밀번호가 다른 사람들이 볼 수 있도록 공개되어 있다는 사실을 알고 행동하는 것이 모든 주요 방어책에 추가해야 할 세 번째로 중요한 활동이다. 

소셜 엔지니어링과 패치되지 않은 소프트웨어는 데이터 유출에 있어서 여전히 성공적인 방식이다. 이런 것들에만 계속 집중하더라도 이 두 공격 유형이 사라졌을 때에도 해커들은 공개되어 있는 모든 비밀번호를 이용해 손쉽게 액세스를 확보할 수 있게 될 것이다. editor@itworld.co.kr 


X