보안 전문가로서 그저 머리를 감싸쥐고 울 수밖에 없는 경우가 생긴다. 회사를 위험에 처하게 하는 사람들의 행동은 때론 놀라울 정도다. 보안 지침을 따르지 않은 이들의 이 슬라이드쇼에 나와 있는 이야기는 전부 실화다. 대중의 비난으로부터 보호하기 위해 신원은 밝히지 않는다. editor@itworld.co.kr
컴퓨터를 켜주십시오
헬프데스크로 걸려온 한 전화를 옆에서 들은 적이 있다. 내부 직원으로 추정되는 전화를 건 사람은 은 헬프데스크에 굉장히 화가 나서 욕을 해댔다. 사태를 해결하고자 개입했다. 직원은 데스크톱이 시작되지 않는 문제를 겪고 있었고 상황을 하나하나 상담했다. 직원은 자신이 해킹을 당한 것으로 확신했다. 그리고는 모니터의 전원 표시등이 노란색으로 점등되어 있다고 말했다. 나는 동작을 멈추고 심호흡을 한번 한 다음 컴퓨터의 전원 표시등이 무슨 색으로 점등되어 있는지 물었다. 직원은 "빌어먹을, 표시등이 없어요"라고 대답했다. 나는 컴퓨터의 전원을 켜라고 말했고 이번엔 직원이 잠시 침묵을 지키더니 헛기침을 하고 고맙다는 말을 하고는 전화를 끊었다. 그는 이후 인사팀과 오랜 시간을 면담했다.
이미지 출처. Marcin Wichary
적어도 비밀번호로 'password'를 사용하지는 않았으니 다행
조사팀이 한 사용자에게 계정이 침입 당했음을 통보하고 비밀번호가 유출되었으므로 바꿔야 한다고 알렸다. 이 사용자는 조사팀의 지시에 따르긴 했지만 그 방법이 어이가 없었다. 예를 들어 원래 비밀번호가 trustno1이었다면 그걸 trustno2로 바꾼 것이다. 맨 뒤 숫자 하나만 높이면 애초에 비밀번호를 해킹한 해커가 다시는 침입하지 못할 것이라고 생각한 것일까?
간단한 팁 하나: 해커는 일반적으로 무척 머리가 좋고, 당연히 숫자를 이리저리 바꿔가며 입력할 정도의 머리는 갖고 있다.
이미지 출처. PEAKaBooVintage
누가 이 이메일을 격리했는가?
회사를 상대로 한 피싱 공격이 발생했다. 이 회사는 링크를 클릭할 때 조심할 것을 당부하는 알림을 직원들에게 일괄 전송했다. 또한 메일 필터링 도구를 조정해서 피싱 이메일이 격리되도록 조치했다. 그런데 한 사용자가 격리된 이메일을 확인하고 격리 보관소에서 이메일을 꺼낸 다음 자신의 편지함으로 돌아가서 기어이 이 링크를 클릭하고야 말았다. 물론 그의 컴퓨터는 악성코드에 감염됐다.
이미지 출처. Josh McGinn
상금을 위해 직장을 잃었다
한 시스템 관리자는 1,000달러 상금을 타기 위해 온라인 기술 비디오 대회에 참여하기로 결심하고 보안 데이터센터에 비디오 카메라를 들고 들어가 고객이 소유한, 상당히 민감한 장비들을 촬영했다. 이후 온라인에서 이 장비들을 본 고객이 전화를 걸어 항의했다. 누가 그 비디오를 만들었는지 확인하기는 어렵지 않았다. 이 시스템 관리자는 1,000달러 상금을 타기 위해 연봉 9만 달러짜리 일자리를 잃었다!
이미지 출처. Garry Knight
이 USB 장치를 안전한 곳에 보관하겠어요
우리 회사는 민감한 회사 데이터를 회사 소유가 아닌 시스템에 복사하는 것을 금지하는 정책을 시행하고 있다. 한 임원이 민감한 회사 데이터를 개인용 USB 장치에 복사하다가 적발됐다. 임원은 자동차에 둔 노트북을 도난 당하거나 여행 중 분실하는 경우에 대비해 데이터 백업이 필요했다고 말했다. 나는 그 임원에게 USB를 사무실이나 집의 안전한 금고에 넣어뒀는지 물었다. 임원은 "아니"라며, 노트북 가방 안에 노트북과 함께 넣어두었다고 대답했다! 도둑이 자동차에서 노트북을 훔친다면 당연히 그 USB도 함께 가져가지 않겠는가!
이미지 출처. Incase
드롭박스 주의
한 임원이 회사에 새로 영입됐다. 출근 두 번째 날, 그 임원은 드롭박스를 설치하고 전 회사의 독점적인 민감한 정보를 새로 옮긴 회사에서 받은 노트북에 동기화했다. 회사 정책에 위반되는 것일 뿐만 아니라 회사를 소송에 휘말리게 할 수도 있었다!
이미지 출처. download.net.pl
창문 밖으로 던져라
한 직원이 퇴사하면서 고객 데이터를 가지고 나가기로 결심하고 데이터를 USB에 복사했다. 회사의 DLP 솔루션이 대량 데이터 복사를 포착하고 그 직원의 화면에 USB 사용에 관한 정책을 알리는 메시지를 띄웠다. 겁을 먹은 직원은 USB를 창문 밖으로 던졌다. 이 USB는 결국 발견되지 않았고 불행히도 이 사건은 데이터 유출 사건으로 기록됐다.
이미지 출처. Tristan Ferne
안전한 와이파이
한 회사 임원은 와이파이 연결에 비밀번호를 사용했으므로 자신의 무선 트래픽도 암호화됐다고 말했다.
이미지 출처. Doug Belshaw
집에 그 프로그램이 있는데, 무슨 문제라도?
50만 개의 신용카드 번호가 포함된 파일을 열지 못한 한 컴플라이언스 책임자가 집에 있는 컴퓨터에 이 파일을 열 수 있는 프로그램이 있음을 생각해 내고 파일을 자신의 이메일로 전송했다.
이미지 출처. Shutterstock
인척을 믿지 말라
회사 CEO가 인척이 보낸 것으로 짐작되는 한 이메일을 받았다. 나중에 밝혀졌지만 이 이메일을 피싱 이메일이었으며 이 CEO의 구글 계정 정보를 가로채고, 이후 같은 회사의 다른 CEO 정보까지 훔쳤다. 피해자는 구글이 재인증을 요청하는 데도 이상한 낌새를 알아채지 못했다. 범인은 CEO의 비서도 속여 계좌로 돈을 이체하도록 유인하려고 했다.
이미지 출처. riboassi