보안 / 소셜미디어

소셜 미디어 침투 공격 테스트 결과, "보안의식 철저한 IT 전문가도 속았다"

Lucian Constantin | CIO 2013.11.05

보안 전문가들이 사이버보안 인지도가 매우높은 미 정부 기관의 보안을 뚫는 실험을 위해 가짜로 지적이고 매력적인 젊은 여성처럼 보이는 페이스북 및 링크드인 아이디를 만들어 사용했다.

소셜 미디어를 이용한 공격이 얼마나 효과적인지, 그리고 뛰어난 기술력을 지닌 기관마저도 속수무책일 수 있음을 보여주기 위한 실험이었다.

이는 2012년 시행된 공식 인가를 받은 침투 시험의 일환으로, 지난 10월 31일 네덜란드 암스테르담에서 열린 RSA 유럽 보안 컨퍼런스에서 아미르 라카니가 그 결과를 발표했다. 라카니는 IT 서비스 제공업체 월드 와이드 테크놀로지(World Wide Technology)에서 솔루션 아키텍트로 활동중인 방첩 및 사이버보안 전문가다.

이번 침투 공격은 '에밀리 윌리엄스(Emily Williams)'라는 이름의 매력적인 젊은 여성으로 보이는 가짜 온라인 ID를 만들어 해당 기관의 신입 사원인 것처럼 행동한 것으로, 이 결과, 소셜 미디어 ID 자체가 없는 IT 보안 매니저 한 명을 포함해 다수의 기관 직원들을 대상으로 매우 교묘한 공격을 쉽게 감행할 수 있었다.

라카니는 해당 정부 기관의 정확한 명칭은 밝히지 않았으나 사이버 보안과 기밀 유지를 전문으로 하는 기관으로, 일전에 사이버 보안을 뚫기 위한 침투 테스트를 할 때 제로데이 공격을 해야 했던 기관이라고만 밝혔다.

에밀리 윌리엄스는 누구인가
침투 테스트를 진행한 팀에서는 28세의 MIT 졸업생이며 업계에서 10년 가량의 경험을 쌓은 '에밀리 윌리엄스'라는 가상의 인물을 만들어냈다. 현실성을 주기 위해 최대한 실제 정보를 많이 활용했다.

소셜 미디어 프로필에서는 심지어 (본인 동의 하에) 실존하는 여성의 사진을 사용했는데, 이 여성은 놀랍게도 테스트 대상 기관 직원들이 자주 가는 식당에서 서빙하는 종업원이었지만 아무도 얼굴을 알아보지 못했다.

테스트 팀은 '에밀리'에 대한 정보를 다른 웹사이트에도 올려 사람들이 구글 등에서 그녀의 이름을 검색해도 소셜 미디어 프로필과 일치하도록 미리 조치해뒀다. 예를 들어, 에밀리를 MIT 졸업생으로 설정한 만큼 실제로 몇몇 MIT 포럼에 그녀의 이름을 올려두는 식이었다.

이번 테스트는 2010년 보안 전문가 토머스 라이언이 했던 방법에서 아이디어를 얻어왔다. 라이언은 '로빈 세이지(Robin Sage)'라는 이름의 가짜 여성 사이버위협 애널리스트의 ID를 만들어 300여 명의 보안 전문가와 군 관계자들, 정보 기관 직원들 및 방위산업 관계자들과 소셜 미디어 상에서 '친구'가 되는 데 성공했다.

라카니와 그의 팀은 여기서 한 발짝 더 나아가 소셜 미디어를 통한 속임수를 어디까지 밀고 나갈 수 있는지, 이를 통해 얼마나 많은 정보를 얻어낼 수 있는지 보고자 했다.

테스트를 시작한 지 15시간이 지나지 않아 '에밀리 윌리엄스'는 테스트 대상 기관에 근무하는 60명의 페이스북 친구, 55명의 링크드인 친구를 사귈 수 있었다. 시작 후 24시간이 지나자 다른 세 곳의 기업에서 일자리 제안을 받기도 했다.

시간이 좀더 지나자, 에밀리는 링크드인 추천은 물론 해당 기관에서 근무하는 남성들로부터 새 직장에 적응할 수 있도록 도와주겠다는 메시지를 받기 시작했다. 일반적인 경로를 우회해 회사 노트북 및 네트워크 접속을 할 수 있도록 도와주겠다는 것이었다.

이런 방식으로 에밀리는 정상적인 경로로 접근했을 때보다 훨씬 더 높은 수준의 네트워크 액세스를 가질 수 있었다고 라카니는 설명했다.

침투 테스트 팀에서는 물론 이렇게 제공받은 노트북이나 네트워크 액세스를 사용하지 않았으며, 좀 더 정교한 소셜 엔지니어링 공격을 통해 직원들의 컴퓨터에 침투해 들어가 보기로 했다.


가짜 소셜 미디어가 공격해 올 때

크리스마스 휴일을 전후로 해서 이 팀은 크리스마스 카드를 담은 웹사이트를 만들고 그 주소를 에밀리의 소셜 미디어 프로필에 올렸다. 링크를 클릭해 웹사이트에 들어온 사람들은 자바 애플릿을 실행하라는 메시지를 보게 되는데, 이 애플릿은 SSL 연결을 통해 테스트 팀에 리버스 셸(reverse shell)을 반송하는 역할을 한다.

팀은 취약점이나 유저 인터랙션을 공격하는 대신 내장된 자바 기능을 사용하기로 했는데, 이런 기술적 제한에도 불구하고 테스트 결과는 매우 성공적이었다고 라카니는 설명했다.

셸을 수신한 테스트 팀은 프리빌리지 에스컬레이션 익스플로잇(privilege escalation exploits)를 이용해 관리자 권한을 얻어 비밀번호를 알아내고, 다른 애플리케이션을 설치하거나 주요 정보가 담긴 문서들을 훔쳐낼 수 있었다. 문서 가운데 일부에는 정부 지원 공격이나 국가 지도자들과 관련된 정보도 담겨 있었다.

심지어는 표적의 대상이 아닌 해당 정부 기관 계약자들 밑에서 일하는 직원들까지도 이런 크리스마스 카드 공격에 걸려들었다. 그 가운데에는 안티바이러스 업체 직원들도 있었다고 라카니는 덧붙였다. 걸려든 사람 중에는 소스 코드에 액세스 권한을 가진 개발자도 있었다고.

실제 공격이었다면 이들 협력업체 가운데 한 곳을 이용해 정부 기관을 공격했을 것이고, 이 경우 공격을 감지하기가 훨씬 어려웠을 것이라고 라카니는 설명했다.

이와 함께 해당 기관 직원 두 명이 페이스북 상에서 기관의 정보 보안 담당자의 생일에 대해 이야기하는 것을 목격하기도 했다. 그는 소셜 미디어 계정을 전혀 만들지 않는 사람이었기 때문에 테스트 팀에서 페이스북의 두 직원이 보낸 것처럼 보이는 생일 카드를 가짜로 보내기도 했다.

이 공격은 성공했고 보안 담당자가 악성 링크가 걸린 카드를 열자마자 컴퓨터가 영향을 받았다. 라카니는 "이 보안 담당자는 거의 모든 보안 관련 사항에 대한 액세스 권한을 갖고 있었다"고 말했다.

소셜 엔지니어링, 젊고 매력적인 여성을 조심하라
에밀리 윌리엄스라는 가상의 인물을 앞세운 이 침투 테스트는 총 세 달간 지속됐지만, 사실 테스트 팀은 시작 1주일 만에 원하던 모든 목표를 이룰 수 있었다.

라카니는 "1주일이 지난 후부터는 그냥 언제까지 이를 지속할 수 있는지 보기 위해서 실험을 지속했다"고 말했다.

"성공적으로 공격 테스트를 마친 후, 다른 기업에서도 비슷한 테스트를 해보고 싶다고 연락해왔다. 그래서 우리는 은행이나 신용카드 업체, 의료 기관 등 대규모 금융 기관들을 대상으로 같은 침투 테스트를 시행했고 그 결과는 앞서 했던 테스트와 크게 다르지 않았다"고 설명했다.

"침투 테스트에 소셜 미디어를 포함시키기만 하면 성공률은 100%다. 소셜 미디어를 잘 이용하면 어느 시스템이든 침투할 수 있다"고.

라카니에 따르면, 근본적으로 사람들이 타인을 신뢰하고 도와주려 하기 때문에 이런 공격에 무력하게 당하는 것이다. 또 스스로가 기업 내에서 그다지 중요한 직위를 차지하고 있지 않다고 생각해 자신은 이런 공격의 대상이 되지 않을 것이라 생각하기도 한다. 그렇지만 자신들의 행동이 공격자에 대한 신뢰성을 높여줄 것이라는 생각하지 못했다.

에밀리 윌리엄스를 앞세운 공격은 처음에는 세일즈나 회계 같이 직급이 낮은 직원들을 대상으로 했지만, 에밀리의 소셜 네트워크 규모가 커지면서 기술이나 보안 관련 직원들, 심지어는 회사의 경영진까지도 표적으로 삼는 것이 가능해졌다.

실험을 통해 밝혀진 또 한가지 사실은 매력적인 여성은 남성이 많은 IT 업계에서 특별한 호의를 받는 경우가 많다는 것이다. 무리해서라도 에밀리를 도와주려 했던 사람은 대부분 남성들이었다. 테스트 팀은 에밀리처럼 가상의 남성을 설정해 소셜 미디어 계정을 만들고 비슷한 실험을 했으나 어떤 결실도 얻지 못했다.

라카니에 따르면, 소셜 엔지니어링 인지도 훈련이 도움이 될 수는 있지만 일년에 한 번 꼴로 행하는 교육으로는 큰 성과가 없을 것이라고 말했다.

지속적인 교육을 통해 직원들이 소셜 미디어를 통한 공격에 대한 직감을 길러야 한다. 사실 이 공격의 표적이 된 기관에서는 이미 보안 인지도 훈련을 실시하고 있는 상태였다.

라카니는 "군대에서는 이를 '상황 인식(situational awareness)'이라고 부른다. 이런 류의 공격에 대비해 상황 인식을 길러야 한다"고 설명했다.

이번 컨퍼런스에서 라카니는 다음과 같은 보안 관련 조언도 했다.

- 수상한 행동을 하는 사람은 반드시 인사과에 알려라.
- 업무와 관련된 사항은 소셜 네트워크에 올리지 말라.
- 직장에서 사용하는 기기는 개인적 용도로 쓰지 마라.
- 데이터에 따라 비밀번호를 다르게 설정해 보호하라.
- 망을 분리해 공격자가 하나의 망에 침범한다 해도 다른 망은 안전할 수 있도록 조치하라
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.