보안

글로벌 칼럼 | 직원들의 온오프라인 데이터가 위험하다

Susan Bradley | CSO 2022.09.29
많은 사람이 소셜 미디어에 일상을 공유하고 삶에 대한 주요 세부 사항을 공개하는 것을 주저하지 않는다. 하지만 온라인에서 공유하는 내용과 사이버 공격자가 이런 정보를 사용해 비즈니스를 표적으로 삼는 방법에 대해 재고할 필요가 있다. 하나의 문자 메시지가 기업의 보안 침해로 이어질 수 있기 때문이다.
 
ⓒ camilo jimenez / Unsplash


공격자가 신입 직원을 표적으로 삼는 과정

한 회사에 새 인턴이 입사했다고 가정해 보자. 온보딩 과정에서 인턴은 사무실 건물 열쇠, 네트워크 로그인 및 이메일 주소를 받는다. 일반적으로 직원들은 회사 이메일 외에도 개인 이메일과 휴대폰을 보유하고 있다. 다중 인증을 사용하는 곳이라면 회사 규모에 따라 직원의 개인 휴대폰에 2단계 인증용 토큰 또는 애플리케이션을 배포하거나 업무용 휴대폰을 제공하기도 한다. 입사 후 며칠 간은 다루어야 할 여러 새로운 기술로 인해 바쁠 수 있다. 열정적인 신입 직원이 직장에 적응하고 요구에 부응하는 것은 부담스러울 뿐 아니라 스트레스를 받는 일이다.

공격자는 바로 이 시기를 악용한다. 공격자는 새로운 상사를 기쁘게 해주려는 열정적인 직원을 물색한다. 최근 필자는 공격자가 새로 입사한 환경에 적응하는 직원을 어떻게 노리는지 직접 목격했다. 이메일의 시작은 악의가 없었다. 인턴에게 마감일까지 프로젝트를 도와 달라고 요청하는 내용이었고, 현재 비공개 회의에 참석해 있으니 최대한 신속하게 처리해달라고 적혀 있었다. 이메일은 ‘가능한 한 빨리 휴대폰 번호를 알려 달라’는 내용으로 마무리됐다.
 
ⓒ Susan Bradley / Foundry

이 공격자는 어떻게 신입 직원에 대해 알게 됐을까? 비즈니스 연결에 사용하는 도구로 피싱 공격을 개인화하는 것에서 시작한다. 공격자는 링크드인 같은 사이트를 모니터링하면서 필자가 새로 고용한 회계직 인턴과 파트너가 연결된 것을 발견했고, 파트너가 인턴에게 보내는 것처럼 이메일을 작성했다. 이때 공격자는 인턴에게 문자 메시지를 보낼 수 있도록 휴대폰 번호를 알려 달라고 요청했다. 

이런 이메일을 받은 것은 3번이지만, 모두 스팸이나 피싱 이메일로 식별되지 않았다. 이메일에는 스팸으로 식별될 만한 요소가 없었고 이메일의 모든 보호 조치와 필자가 배포한 EDR(Endpoint Detection and Response) 조치까지 깔끔하게 통과했다. 


우버와 트윌리오의 사례

최근 우버에서 발생한 보안 사고는 공격자가 다중 인증(MFA) 요청을 승인하도록 관리자를 속인 것이 시발점인 것으로 보인다. 공격자는 왓츠앱으로 관리자의 신뢰를 얻은 후 MFA를 위해 추가 정보를 제공해달라고 요청했다. 공격자가 소셜 미디어를 사용해 더 많은 정보를 얻었는지, 처음부터 관리자를 표적으로 삼았는지, 혹은 그저 운이 좋았던 것일 뿐인지는 확실하지 않다.

트윌리오(Twilio)도 최근 한 공격자가 직원을 목표로 삼아 고객 정보를 탈취했다고 밝혔다. 공격자는 공개적으로 사용하는 데이터베이스를 사용해 표적과 일대일의 관계를 만들었다.


SNS 기반 공격을 완화하는 방법

보안 업체 소셜프루프 시큐리티(SocialProof Security)의 레이첼 토박에 따르면, 공격자들은 비즈니스 도구를 사용해 대기업과 중소기업 모두를 표적으로 삼는다. 토박은 회사가 더 이상 링크드인에 신입 직원을 등록하거나 연결하지 말고 데이터 제거 서비스를 사용해 링크드인과 기타 업체가 유지·관리하는 데이터베이스에서 정보를 가져올 것을 권했다.

데이터 제거 요청을 받는 입장에 있는 필자는 제거 요청으로 인해 더 많은 정보가 노출될 수 있음을 발견했다. 사이트에는 이메일 주소만 남아있지만 데이터 제거 요청을 할 때는 사용자의 전체 이름까지 노출되기 때문이다. 따라서 데이터 제거 요청을 할 때는 해당 서비스의 평판과 제거 기록을 고려하는 것이 좋다. 오늘날 온라인에는 너무 많은 정보가 너무 많은 위치에 묻혀 있으므로 웹에서 자신의 정보가 완전히 삭제됐는지 확신하기 어렵다.

신입 직원 온보딩 시 이런 유형의 공격과 회사에 끼치는 위험을 교육해야 한다. 신입 직원에게 자신이 맡은 업무와 역할에 대한 정보를 온라인에 게시하지 말거나, 신뢰하는 인맥에만 공개할 수 있도록 요청하자. 또한 직원들은 회사의 공식적인 커뮤니케이션이 어떤 방법을 사용해서 어떤 모습으로 진행되는지 정확히 파악해야 한다. 정보보안팀은 직원이 보안 프롬프트에 적절하게 대응하는 방법을 알 수 있도록 모의 연습을 준비하면 좋다. 공격자가 회사의 모든 직원을 대상으로 액세스 권한 획득 시도를 할 수 있음도 인지해야 한다.


오프라인 데이터 노출의 위험

과도한 개인정보 노출은 온라인만의 문제가 아니다. 예컨대 차로 돌아다닐 때도 노출되는 정보가 많다. 미국에서는 각종 범퍼 스티커로 차량을 꾸미는 문화가 있는데, 자신의 자녀가 우등생 명단에 오른 것을 자랑하는 범퍼 스티커를 붙이고 다니는 것은 자녀가 다니는 학교를 방송하는 것과 마찬가지다. 맞춤형 번호판은 다른 사람이 기억하기 쉽다. 스키 같은 고급 스포츠에 대한 애정을 드러내는 범퍼 스티커가 붙어 있다면, 집이나 차에 값비싼 장비가 있고 주말에는 자주 집을 비우는 것을 광고하는 것과 같다. 근무지를 유추할 수 있는 주차권이나 스티커도 마찬가지다. 오프라인에서 정보를 수집하는 방법은 이 외에도 많다.

IT 분야에서는 일을 완수하기 위해 가능한 한 장벽을 우회하는 훈련을 자주 받는다. 이렇게 하면 표적 공격에 빠질 위험이 있다. 공격자가 표적 혹은 표적의 행동에 대해 충분히 알고 있다면 그에 따라 공격을 표적으로 삼을 수 있다. 따라서 기술 장벽을 설치할 뿐 아니라 고육과 훈련까지 제공하자. 한 사용자의 잘못된 결정으로 전체 인프라가 손상될 수 있다면, 문제는 사용자에게만 있는 것이 아니다. 실패한 프로세스를 올바르게 개선하지 않았기 때문이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.