보안

"협박부터 신상 털기까지" 물리적인 위협에 직면한 '위기의' 보안 연구원들

Andrada Fiscutean | CSO 2022.06.23


버그 헌터와 소송 협박

위협은 정보보안 전문가에게 국한되지 않는다. 버그 헌터와 물리적 보안 전문가도 피해 대상이 될 수 있다. 때로는 그들이 도움을 주고자 했던 기업이 되려 위협하기도 한다. 시타델 락 툴 운영자 스미스도 이런 경험을 했다. 스미스는 “자물쇠 관련 유튜브를 처음 시작했을 때 해당 자물쇠 회사에서 이를 알게 되었다. 온라인 포럼에서 그 회사는 나를 찾아내고 고소하기 위해 소환장을 보내겠다고 위협했다”라고 말했다. 

물리적인 위협도 있었다. 스미스는 “아블로이 프로텍 II(Abloy Protec II)라는 자물쇠에 관한 콘텐츠를 올렸을 때는 딜러 중 한 명이 자신의 가장 안전한 잠금장치가 취약할 수 있다는 사실에 매우 화를 냈다. 딜러는 나에게 모욕적인 내용의 이메일을 보냈고, 비용이 얼마든 간에 나를 ‘정리할 것’이라고 위협했다”라고 회상했다. 

스미스가 받은 이메일 중 일부에는 악랄한 부분까지 있었다. 스미스는 “온라인 메신저의 사진을 캡처하고, 내가 살고 있다고 생각한 거리의 구글 어스 사진을 보냈다. 주소가 정확하지는 않았지만, 우려될 정도로 가까운 곳이었다”라고 덧붙였다. 협박 메일을 받은 스미스는 답장을 보내지 않고 즉시 이메일 주소를 변경했다. 

버그 헌터는 위협을 처리하는 방법을 배워야 한다. 위드시큐어(WithSecure)의 수석 기술 및 위협 연구원 톰 반 드 비엘은 “일반적으로는 불쾌한 반응 보이지만, 오래 일할수록 더 익숙해지면서 더 조심하게 됐다. 더 큰 문제를 발견할 준비를 하는 방법, 사용해야 하는 언어, 상대하는 업체의 기대치를 맞추는 방법을 배웠다”라고 말했다. 

종종 버그 헌터는 자신을 고소하겠다고 위협하는 기업에 겁을 먹기도 한다. 고소를 피하는 방법은 상세한 보고서 작성이다. 취약점이 미칠 영향에 대한 보고서를 작성할 때 기술적 위험으로 시작한 후 이를 비즈니스 위험과 연결하고 영향을 받을 수 있는 사람까지 설명해야 한다. 반 드 비엘은 “취약점을 발견하는 과정에서 어떠한 법도 어기지 않았음을 보여주어야 한다”라고 조언했다. 

반 드 비엘은 “무엇보다 발견한 내용을 수정하기 위해 다양한 위험 완화 경로와 권장 사항을 제공할 수 있는지 확인해야 한다. 백서나 보고서를 단순히 ‘수정’으로 마무리하는 것은 분노를 유발하기에 십상이다. 영향을 받는 기업과 함께 타격을 완화하는 방법을 함께 생각할 필요가 있다. 문제를 문제가 아닌 것으로 만드는 장기적인 방안을 고민하는 것이 좋다”라고 말했다. 


보안 연구팀을 지켜라

사이버보안 분야에서 일하는 것은 약간의 위험을 감수하는 것과 같다. 코펜스의 토카조프스키에 따르면, 이는 짐승의 본성 또는 노동의 본성이다. 보안 전문가는 가족을 보호하는 것과 자신의 이름으로 연구 결과를 게시하는 것 사이에서 균형을 잡아야 한다. 바로 이런 이유로 사이버 테러 조직의 활동을 추적하는 등 민감한 작업을 수행하는 보안업체가 보고서를 발표할 때 연구원의 이름을 포함하지 않는다.

보안 연구원은 서로에게서 배우려고 노력하고 방어를 지속해서 개선한다. 그러나 이들이 자신에 대한 물리적인 위협에 대처할 방법은 현실적으로 많지 않다. 자비렉은 “개인은 경찰이나 FBI에 범죄를 신고하는 것 외에 다른 방법이 없는 것 같기 때문에 힘든 것이다. 사이버 범죄의 개별 피해자를 돕기 위해 마련된 사이버 범죄 지원 네트워크(Cybercrime Support Network) 같은 조직이 더 많은 사람을 도울 수 있도록 제도적 지원을 받을 수 있다면 좋을 것”이라고 말했다.

연구원을 보호하려는 기업은 내부 보안 관행을 최신 상태로 유지해야 한다. 또 직원 중 한 명이 표적이 되는 상황에 대한 절차를 만들어 최악의 시나리오에 대한 계획도 마련해야 한다. 이런 계획은 각 내부 팀이 수행하는 작업을 고려해 여러 위협 모델을 기반으로 해야 한다. 팀은 이런 상황에서 해야 할 일과 하지 말아야 할 일, 연락할 사람이 나열된 목록을 받을 수 있다. 물론 이런 절차는 가능한 한 자주 테스트하고 수시로 수정해야 한다. 


가정과 직장에서의 안전 지키기

정보보안 전문가는 디지털 보안과 관련 기기에 대해서는 잘 알고 있다. 나아가 온라인에서의 개인정보 공유를 일절 피하는 이들도 있으며, 스미스처럼 소셜 미디어 프로필에 가짜 정보를 게시하는 사람도 있다. 리스카는 “집과 가족을 보호하기 위해 적절한 예방 조치를 취하고 있는지 확인해야 한다”라고 말했다. 

정보보안 전문가는 온라인 보안 외에 물리적 보안에도 주의를 기울여야 한다. 스미스는 울타리, 벽, 튼튼한 문, 내부 잠금 기능이 있는 문처럼 여러 보안 고리를 마련하라고 제안했다. 스미스는 “나는 힘으로 딸 수 없는 자물쇠, 우회할 수 없는 문, 복사가 어려운 열쇠를 사용한다. 누군가 내 열쇠에 접근할 수 있다고 해도 여백이 있어 복사하기 어렵다. 공격자가 열쇠 없이 문을 열 수 있다면 많은 문제에 직면하게 될 것”이라고 덧붙였다.

문 자체도 견고해야 한다. 바닥이나 모서리의 둥근 부분에 빈틈이 없는 프레임이 좋다. 스미스는 “문의 경첩은 약한 부분이므로 안쪽에 두어야 한다”라고 권했다. 특히 미국의 경우 문에 부착된 메일 슬롯 대신 외부 편지함을 사용하는 것이 바람직하다.

가정과 사무실에 CCTV도 설치해야 한다. 무선이 아니라 유선이 좋다. 연결을 방해하거나 deauth 패킷 공격을 하면 작동이 중단될 수 있어서다. 스미스는 “경보 시스템도 마찬가지다. 항상 유선이어야 한다. 사각지대를 남기지 않고 경보 센서를 올바르게 설치하는 것도 중요하다”라고 설명했다.

CCTV 배선과 알림은 외부에서 접근할 수 없어야 하고, CCTV 녹화본은 모두 클라우드에 백업해야 한다. 스미스는 “가능하면 1명 이상이 CCTV에 접근할 수 있어야 사고 발생 시 사본을 확인할 수 있다”라고 말했다. 주기적으로 통신을 확인하고 통신이 중단됐을 때 경보를 보내는 것이 가장 좋은 CCTV 시스템이다.

다음과 같은 방법도 고려할 만하다. 센서로 구동되는 보안 조명을 달고, 우편사서함을 사용해 주소 추적을 어렵게 만들고, 집을 떠날 때 다른 경로로 다니면서 움직임을 예측하기 어렵게 하고, 누군가 집에 침입했을 때 알려줄 수 있도록 이웃과 좋은 관계를 쌓아 두는 것이다.

얼마나 대비해야 충분히 가정과 자신을 지킬 수 있을까. 이는 연구원이 느끼는 안정감에 따라 다를 것이다. 리스카는 “자신의 위험을 측정하고 자신에게 맞는 예방 조치를 취해야 한다”라고 말했다. 

하지만 정보보안 전문가를 지원하고 이들이 연구를 계속할 수 있도록 더 많은 지원도 필요하다. 자비렉은 “정부가 그들을 보호하거나 이런 위협에서 회복하는 데 도움을 줄 수 있다는 확신을 줄 필요가 있다”라고 말했다.
editor@itworld.co.kr
 Tags 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.