2015.04.28

IDG 블로그 | 데이터 유출을 막으려면 사람을 산정하지 마라

Rob Enderle | CIO
칼럼리스트 롭 엔덜은 "악성코드는 점점 더 지능적이고 어려워진다. 사람들이 언제나 올바른 일을 할 것이라고 산정할 수 없다"고 말했다. 엔덜은 보안 침해에 약한 연계고리를 소재로 이야기를 꾸려나가며 자신의 비전을 제공한다(편집자 주).

"자사가 해킹을 당했는데, 경영진들은 이를 받아들이지 못한다."
최근 RSA 컨퍼런스에서 아침을 먹다가 우연히 다른 테이블에서 인텔 보안팀이 얘기하는 것을 들었다.

필자는 '스피어피싱(spearfishing)'이라는 단어를 들었을 때, 귀를 쫑긋 세워 인텔 경영진 가운데 한명이 그 이야기의 핵심이라는 것을 알았다. 스피어피싱은 그들의 자격을 훔치거나 또는 하드웨어를 침투하기 위해 회사 내 특정 표적을 공격하는 것을 일컫는다.

들은 바로는, 그 인텔 고위 간부는 중국 대학원생이라고 주장하는 이로부터 PDF 문서가 첨부된 이메일을 받았다. 이 이메일은 대학원에서의 개인정보를 포함하고 있었으며, 이 개인정보는 그 고위 간부에게 합법적인 것처럼 보이기에 충분했다. 이메일에서는 그 고위 간부에게 첨부된 PDF 형태의 논문을 살펴보기를 요청했다.

그 PDF는 자체적으로는 경고가 일어날만한 방아쇠 역할을 하지 않았으며 해가 없는 것처럼 보였지만 그 고위 간부는 그것을 열지 않고 바로 맥아피 랩에 보냈다. 맥아피 랩에 따르면, 그 첨부파일에는 지금까지 본적이 없는 악성코드의 다양한 인스턴스가 포함되어 있었다.

다시 말해, 공격자들은 해당 고위 간부에 대해 스피어피싱 공격을 했을 뿐만 아니라 적대적 행위를 탐지하는 악성코드 탐지시스템이 볼 수 없도록 어렵게 만들어진 패키지로 디자인되어 있었다.

수년 전부터 전문가들은 PDF 파일은 특히 위험스럽다고 경고해왔다. 이번 사례에서 보듯이 완벽하게 패치를 한 상태에서도 공격 위험성을 완화시키지 못했다.

필자는 특히 악성코드가 보안업체 고위 간부에게 맞춤형으로 제작된다는 점에 무척 두려움을 느낀다. 보안업체 경영진들은 공격자에게 매력적인 목표다. 만약 이들에게 침투해 정보를 획득했다면 모든 기업 고객들에게 접속할 수 있는 열쇠를 얻을 수도 있기 때문이다.

그래서 우리는 사람들이 바른 일만 하기를 바라고만 있을 수 없다. 이 경우 이 고위 간부는 올바른 일만 했다. 그러나 그의 회사 동료들은 같은 종류의 문서를 받지 않았을까?
좀더 큰 질문으로 나아가보자. 얼마나 많은 이들이 자신에게 딱 맞춰진 문서들을 열어보았을까, 그 결과 얼마나 많은 보안업체들이 현재 침투당해있을까?

보안 전문가들은 아이들의 컴퓨터가 감염되어 있을 지 모른다는 걸 안다. 그리고 자신의 PC와 기기들이 종종 회사 시스템에 침투할 수 있는 같은 네트워크를 사용할 때도 있다.

이를 사무실에 있는 회사 시스템으로 옮겨왔을 때 보안 전문가조차 전달자가 될 수 있다. 회사 네트워크에 접속하기 전에 전수 검사를 할 정도로 조금 더 현명하다면 다행이지만, 그렇다 하더라도 개별적인 특정인이나 임직원들을 표적으로 사용된 악성코드는 이런 검사를 통해서도 파악할 수 없다.

보안 전문가들은 회사 내 고위 간부들이 현명하지 않을수록 회사가 해킹당할 가능성이 그만큼 높아진다는 것을 알고 있다. editor@itworld.co.kr


2015.04.28

IDG 블로그 | 데이터 유출을 막으려면 사람을 산정하지 마라

Rob Enderle | CIO
칼럼리스트 롭 엔덜은 "악성코드는 점점 더 지능적이고 어려워진다. 사람들이 언제나 올바른 일을 할 것이라고 산정할 수 없다"고 말했다. 엔덜은 보안 침해에 약한 연계고리를 소재로 이야기를 꾸려나가며 자신의 비전을 제공한다(편집자 주).

"자사가 해킹을 당했는데, 경영진들은 이를 받아들이지 못한다."
최근 RSA 컨퍼런스에서 아침을 먹다가 우연히 다른 테이블에서 인텔 보안팀이 얘기하는 것을 들었다.

필자는 '스피어피싱(spearfishing)'이라는 단어를 들었을 때, 귀를 쫑긋 세워 인텔 경영진 가운데 한명이 그 이야기의 핵심이라는 것을 알았다. 스피어피싱은 그들의 자격을 훔치거나 또는 하드웨어를 침투하기 위해 회사 내 특정 표적을 공격하는 것을 일컫는다.

들은 바로는, 그 인텔 고위 간부는 중국 대학원생이라고 주장하는 이로부터 PDF 문서가 첨부된 이메일을 받았다. 이 이메일은 대학원에서의 개인정보를 포함하고 있었으며, 이 개인정보는 그 고위 간부에게 합법적인 것처럼 보이기에 충분했다. 이메일에서는 그 고위 간부에게 첨부된 PDF 형태의 논문을 살펴보기를 요청했다.

그 PDF는 자체적으로는 경고가 일어날만한 방아쇠 역할을 하지 않았으며 해가 없는 것처럼 보였지만 그 고위 간부는 그것을 열지 않고 바로 맥아피 랩에 보냈다. 맥아피 랩에 따르면, 그 첨부파일에는 지금까지 본적이 없는 악성코드의 다양한 인스턴스가 포함되어 있었다.

다시 말해, 공격자들은 해당 고위 간부에 대해 스피어피싱 공격을 했을 뿐만 아니라 적대적 행위를 탐지하는 악성코드 탐지시스템이 볼 수 없도록 어렵게 만들어진 패키지로 디자인되어 있었다.

수년 전부터 전문가들은 PDF 파일은 특히 위험스럽다고 경고해왔다. 이번 사례에서 보듯이 완벽하게 패치를 한 상태에서도 공격 위험성을 완화시키지 못했다.

필자는 특히 악성코드가 보안업체 고위 간부에게 맞춤형으로 제작된다는 점에 무척 두려움을 느낀다. 보안업체 경영진들은 공격자에게 매력적인 목표다. 만약 이들에게 침투해 정보를 획득했다면 모든 기업 고객들에게 접속할 수 있는 열쇠를 얻을 수도 있기 때문이다.

그래서 우리는 사람들이 바른 일만 하기를 바라고만 있을 수 없다. 이 경우 이 고위 간부는 올바른 일만 했다. 그러나 그의 회사 동료들은 같은 종류의 문서를 받지 않았을까?
좀더 큰 질문으로 나아가보자. 얼마나 많은 이들이 자신에게 딱 맞춰진 문서들을 열어보았을까, 그 결과 얼마나 많은 보안업체들이 현재 침투당해있을까?

보안 전문가들은 아이들의 컴퓨터가 감염되어 있을 지 모른다는 걸 안다. 그리고 자신의 PC와 기기들이 종종 회사 시스템에 침투할 수 있는 같은 네트워크를 사용할 때도 있다.

이를 사무실에 있는 회사 시스템으로 옮겨왔을 때 보안 전문가조차 전달자가 될 수 있다. 회사 네트워크에 접속하기 전에 전수 검사를 할 정도로 조금 더 현명하다면 다행이지만, 그렇다 하더라도 개별적인 특정인이나 임직원들을 표적으로 사용된 악성코드는 이런 검사를 통해서도 파악할 수 없다.

보안 전문가들은 회사 내 고위 간부들이 현명하지 않을수록 회사가 해킹당할 가능성이 그만큼 높아진다는 것을 알고 있다. editor@itworld.co.kr


X