2019.08.07

글로벌 칼럼 | 상어와 피셔들이 우리 모두를 노리고 있다

Rick Grinnell | CSO
보안 전문가는 피싱 공격을 최소화하기 위해 효과적인 위협 전략, 더 나은 교육과 훈련, 그리고 인텔리전스 경보 시스템을 마련하기 위해 서로 협력해야 한다. 
 
ⓒ Getty Images Bank 

올해 여름, 가장 인기있는 여름 휴가지인 미국 매사추세츠 주 케이프 코드(Cape Cod)에서는 상어가 유난히 많이 나타났다. 해양 생물학자들은 상어가 더 많아졌다는 의미는 아니며 다만 해안 가까이에서 많이 목격되고 있다고 말한다. 

드론과 스마트폰 동영상의 수가 증가함에 따라 좀더 많은 상어와의 수영을 경험하는 것 같다. 이에 따라 많은 해변이 폐쇄되고 수영을 하더라도 해안 가까이서 해야한다는 경고가 수영을 하고픈 이들의 활동을 제한하고 있다. 지난 여름 치명적인 공격을 당한 이후, 다음 상어 공격을 유발하고픈 이는 아무도 없을 것이다. 

올해 여름, 상어의 위협은 단지 물 속에만 있지 않다. 필자가 말하는 상어의 종류는 피싱 공격으로 유명한 피해자를 성공적으로 유혹한 사이버범죄자와 해커를 의미한다. 이번 여름에 본 주요 공격의 일부는 다음과 같다. 

- 아마존 프라임 데이(Amazon Prime Day): 쇼핑을 즐기는 이는 누구나 합법적인 비즈니스를 모방한 피싱 이메일을 보내는 해커들의 유혹을 받을 수 있다. 심해어 낚시가 아니라 피라미를 잡는 것처럼 피싱 수준은 상당히 낮은 편이지만 최고의 거래를 원하는 이들에게는 매우 효과적이다. 

- 아메리카 익스프레스(American Express): 공격자들은 아메리카 익스프레스에 대한 사기에서 좀 더 창의적인 방법을 사용했다. 플라잉 낚시를 즐기는 이들이 독창적인 미끼와 움직임을 사용해 송어를 유인하는 것처럼 피싱 범죄자들은 피싱 이메일을 합법적인 URL이라고 스팸 필터를 속여 받은 편지함으로 들어갈 수 있도록 기본 HTML 요소를 사용했다. 그런 다음, 사용자가 이 합법적인 링크를 클릭하거나 계정을 일시 중지해 사용자가 조치를 취해야 하는 긴박감을 전달했다. 

- 영국 항공(British Airways): CNN에 따르면, 약한 보안으로 인해 영국 항공은 GDPR 발효 이후 가장 많은 벌금을 받았다. 사용자 트래픽을 영국 항공 웹사이트에서 사기성 페이지로 전환할 수 있게 됨에 따라 해커는 모든 유형의 민감한 승객 데이터를 수집할 수 있게 됐다. 현재 영국 항공은 GDPR 사상 최고 기록인 2억 3,000만 달러(약 2,800억 원)의 벌금에 처해있다. 

- 불가리아 정부: 불가리아에서는 해커가 정부 데이터베이스에 액세스해 700만 명의 주민 가운데 500만 명의 기록을 해킹했다. 하나의 상어 공격이 전체 해변과 주변 지역에 큰 영향을 줄 수 있다. 이 경우, 한명의 해커가 국가 전체에 영향을 줄 수 있다.  


피싱 공격 면역, "아무도 없음" 

피싱 공격의 위협과 그 여파에서 벗어날 수 있는 조직은 하나도 없다. 보안 전문가들은 사이버범죄자들이 보안 시스템보다 한발 앞서 나가기 위해 점점 더 정교해지고 있다고 많이 이야기하지만, 앞서 설명한 아메리칸 익스프레스 해킹만이 비교적 정교할 뿐 나머지는 평상시보다 조금 교활한 정도였다. 

대신 피싱 공격은 보안의 가장 약한 연결 고리인 사람을 대상으로 한다. 해커는 결국에는 누군가 실수를 저질러 피를 흘리며 먹이로 변할 것임을 알고 있다. 그렇기 때문에 CISO와 보안팀은 피싱 공격에 대한 대응 방식을 재고해야 한다. 특히 사람들은 알려진 사람이나 친숙한 회사에서 온 것으로 보이는 경우, 이메일 메시지를 신뢰하는 경향이 있다. 

우리는 받은 편지함의 모든 것을 불신하고 지나칠 정도로 주의해야 한다. 즉, 직원이 이메일이 합법적인지 발신자에게 직접 연락해보거나 또는 링크를 클릭하지 않고 회사의 URL을 직접 입력하도록 요청해야 한다. 물론 사용자는 이를 이행하는 데 1~2분의 시간이 더 걸릴 수 있다. 


피싱에서 빠져나오기  

피싱 공격을 줄이는 방법은 두 가지로 구성된다. 바로 교육과 경고다. 

대부분의 직원은 합법적인 이메일과 피싱 공격의 차이점을 알기 어렵다. 확실한 보안 지식을 갖고 있는 이들조차도 때때로 이 차이점을 말하는데 고심할 것이다. 현재 많은 기업에서 의무 교육을 제공하고 있는데, 모든 사람이 동일한 수준의 지식을 갖추고 있다고 가정하는 경우가 많다. 그래서 교육은 종종 웨비나를 듣거나 간단한 퀴즈를 풀고 끝나버린다. 많은 직원이 교육을 흡수하거나 받아들이지 못하고 위험한 이메일을 열어보거나 링크 클릭과 같은 행위를 하게 된다. 

훈련은 좀 더 깊게 잠수해야 한다. 각 직원의 사이버보안에 대한 지식을 평가하기 위해 교육을 받는 설문조사부터 시작할 수 있다. 또한 직원 행동이 기업 운영에 어떻게 영향을 미치는 지 알려준다. 교육 과정에서는 고유한 비밀번호와 잘못된 행위의 중요성을 강조해야 한다. 교육과 훈련은 훌륭하지만 그것으론 부족하다. 

적절한 경고 시스템이 필요하다. 적절한 도구를 이용해 직원이 비밀번호 사용 방법이나 기타 온라인 행동 방식을 모니터링할 수 있다. 이 도구는 또한 고객이 회사 웹 사이트에 있을 때, 더 나은 습관을 연습하고 고객과 비즈니스의 위험을 줄이는 데 도움이 된다. 

표준 도구 및 프로세스 이외에도 인텔리전스 소프트웨어가 필요하다. 예를 들어, 직원이 점심 시간동안 웹을 탐색하거나 개인 기기를 사용해 기업 네트워크에 액세스하는 경우, 커버드 시큐리티(Covered Security)와 같은 업체의 소프트웨어가 탐색 행위에 인텔리전스를 적용할 수 있다. 노우비포(KnowB4)와 코펜스(Cofense)와 같은 업체는 피싱 방지 교육을 위한 소프트웨어 인텔리전스를 제공한다. 

미국 케이프코드 해안에서 수많은 상어가 발견되어도 지역 공무원들은 효과적인 위협 경고와 이웃과의 협력을 통해 공격을 막을 수 있었다. 피싱 공격에도 동일한 접근 방식이 적용된다. 보안 전문가는 사일로에서 작업하기보다는 피싱 공격을 최소화하기 위해 효과적인 위협 전략과 더 나은 교육과 훈련, 지능적인 경보 시스템을 마련하기 위해 협력해야 한다. 해커들은 항상 주위를 돌고 있을 것이다. 물리지 않는 것은 우리의 몫이다. editor@itworld.co.kr 


2019.08.07

글로벌 칼럼 | 상어와 피셔들이 우리 모두를 노리고 있다

Rick Grinnell | CSO
보안 전문가는 피싱 공격을 최소화하기 위해 효과적인 위협 전략, 더 나은 교육과 훈련, 그리고 인텔리전스 경보 시스템을 마련하기 위해 서로 협력해야 한다. 
 
ⓒ Getty Images Bank 

올해 여름, 가장 인기있는 여름 휴가지인 미국 매사추세츠 주 케이프 코드(Cape Cod)에서는 상어가 유난히 많이 나타났다. 해양 생물학자들은 상어가 더 많아졌다는 의미는 아니며 다만 해안 가까이에서 많이 목격되고 있다고 말한다. 

드론과 스마트폰 동영상의 수가 증가함에 따라 좀더 많은 상어와의 수영을 경험하는 것 같다. 이에 따라 많은 해변이 폐쇄되고 수영을 하더라도 해안 가까이서 해야한다는 경고가 수영을 하고픈 이들의 활동을 제한하고 있다. 지난 여름 치명적인 공격을 당한 이후, 다음 상어 공격을 유발하고픈 이는 아무도 없을 것이다. 

올해 여름, 상어의 위협은 단지 물 속에만 있지 않다. 필자가 말하는 상어의 종류는 피싱 공격으로 유명한 피해자를 성공적으로 유혹한 사이버범죄자와 해커를 의미한다. 이번 여름에 본 주요 공격의 일부는 다음과 같다. 

- 아마존 프라임 데이(Amazon Prime Day): 쇼핑을 즐기는 이는 누구나 합법적인 비즈니스를 모방한 피싱 이메일을 보내는 해커들의 유혹을 받을 수 있다. 심해어 낚시가 아니라 피라미를 잡는 것처럼 피싱 수준은 상당히 낮은 편이지만 최고의 거래를 원하는 이들에게는 매우 효과적이다. 

- 아메리카 익스프레스(American Express): 공격자들은 아메리카 익스프레스에 대한 사기에서 좀 더 창의적인 방법을 사용했다. 플라잉 낚시를 즐기는 이들이 독창적인 미끼와 움직임을 사용해 송어를 유인하는 것처럼 피싱 범죄자들은 피싱 이메일을 합법적인 URL이라고 스팸 필터를 속여 받은 편지함으로 들어갈 수 있도록 기본 HTML 요소를 사용했다. 그런 다음, 사용자가 이 합법적인 링크를 클릭하거나 계정을 일시 중지해 사용자가 조치를 취해야 하는 긴박감을 전달했다. 

- 영국 항공(British Airways): CNN에 따르면, 약한 보안으로 인해 영국 항공은 GDPR 발효 이후 가장 많은 벌금을 받았다. 사용자 트래픽을 영국 항공 웹사이트에서 사기성 페이지로 전환할 수 있게 됨에 따라 해커는 모든 유형의 민감한 승객 데이터를 수집할 수 있게 됐다. 현재 영국 항공은 GDPR 사상 최고 기록인 2억 3,000만 달러(약 2,800억 원)의 벌금에 처해있다. 

- 불가리아 정부: 불가리아에서는 해커가 정부 데이터베이스에 액세스해 700만 명의 주민 가운데 500만 명의 기록을 해킹했다. 하나의 상어 공격이 전체 해변과 주변 지역에 큰 영향을 줄 수 있다. 이 경우, 한명의 해커가 국가 전체에 영향을 줄 수 있다.  


피싱 공격 면역, "아무도 없음" 

피싱 공격의 위협과 그 여파에서 벗어날 수 있는 조직은 하나도 없다. 보안 전문가들은 사이버범죄자들이 보안 시스템보다 한발 앞서 나가기 위해 점점 더 정교해지고 있다고 많이 이야기하지만, 앞서 설명한 아메리칸 익스프레스 해킹만이 비교적 정교할 뿐 나머지는 평상시보다 조금 교활한 정도였다. 

대신 피싱 공격은 보안의 가장 약한 연결 고리인 사람을 대상으로 한다. 해커는 결국에는 누군가 실수를 저질러 피를 흘리며 먹이로 변할 것임을 알고 있다. 그렇기 때문에 CISO와 보안팀은 피싱 공격에 대한 대응 방식을 재고해야 한다. 특히 사람들은 알려진 사람이나 친숙한 회사에서 온 것으로 보이는 경우, 이메일 메시지를 신뢰하는 경향이 있다. 

우리는 받은 편지함의 모든 것을 불신하고 지나칠 정도로 주의해야 한다. 즉, 직원이 이메일이 합법적인지 발신자에게 직접 연락해보거나 또는 링크를 클릭하지 않고 회사의 URL을 직접 입력하도록 요청해야 한다. 물론 사용자는 이를 이행하는 데 1~2분의 시간이 더 걸릴 수 있다. 


피싱에서 빠져나오기  

피싱 공격을 줄이는 방법은 두 가지로 구성된다. 바로 교육과 경고다. 

대부분의 직원은 합법적인 이메일과 피싱 공격의 차이점을 알기 어렵다. 확실한 보안 지식을 갖고 있는 이들조차도 때때로 이 차이점을 말하는데 고심할 것이다. 현재 많은 기업에서 의무 교육을 제공하고 있는데, 모든 사람이 동일한 수준의 지식을 갖추고 있다고 가정하는 경우가 많다. 그래서 교육은 종종 웨비나를 듣거나 간단한 퀴즈를 풀고 끝나버린다. 많은 직원이 교육을 흡수하거나 받아들이지 못하고 위험한 이메일을 열어보거나 링크 클릭과 같은 행위를 하게 된다. 

훈련은 좀 더 깊게 잠수해야 한다. 각 직원의 사이버보안에 대한 지식을 평가하기 위해 교육을 받는 설문조사부터 시작할 수 있다. 또한 직원 행동이 기업 운영에 어떻게 영향을 미치는 지 알려준다. 교육 과정에서는 고유한 비밀번호와 잘못된 행위의 중요성을 강조해야 한다. 교육과 훈련은 훌륭하지만 그것으론 부족하다. 

적절한 경고 시스템이 필요하다. 적절한 도구를 이용해 직원이 비밀번호 사용 방법이나 기타 온라인 행동 방식을 모니터링할 수 있다. 이 도구는 또한 고객이 회사 웹 사이트에 있을 때, 더 나은 습관을 연습하고 고객과 비즈니스의 위험을 줄이는 데 도움이 된다. 

표준 도구 및 프로세스 이외에도 인텔리전스 소프트웨어가 필요하다. 예를 들어, 직원이 점심 시간동안 웹을 탐색하거나 개인 기기를 사용해 기업 네트워크에 액세스하는 경우, 커버드 시큐리티(Covered Security)와 같은 업체의 소프트웨어가 탐색 행위에 인텔리전스를 적용할 수 있다. 노우비포(KnowB4)와 코펜스(Cofense)와 같은 업체는 피싱 방지 교육을 위한 소프트웨어 인텔리전스를 제공한다. 

미국 케이프코드 해안에서 수많은 상어가 발견되어도 지역 공무원들은 효과적인 위협 경고와 이웃과의 협력을 통해 공격을 막을 수 있었다. 피싱 공격에도 동일한 접근 방식이 적용된다. 보안 전문가는 사일로에서 작업하기보다는 피싱 공격을 최소화하기 위해 효과적인 위협 전략과 더 나은 교육과 훈련, 지능적인 경보 시스템을 마련하기 위해 협력해야 한다. 해커들은 항상 주위를 돌고 있을 것이다. 물리지 않는 것은 우리의 몫이다. editor@itworld.co.kr 


X