보안

기업 임원들이 소셜 엔지니어링의 주요 타깃이 되는 4 가지 이유

Joan Goodchild | CIO 2010.07.21

보안 관리자들의 주된 관심은, 직장에서 페이스북을 사용하는 직원들이 “지금 난 런던에 있는데, 돈이 필요하다” 와 같은 419 금융사기에 말려들까 하는 염려에 있다. 아마도 조직의 몇 명은 나이지리아 왕자임을 확신하고 행운을 나눠 가지려는 사람들도 있을 것이다. 또한 스피어 피싱(spear 피싱 - 불특정 다수가 아닌, 정확한 공격대상을 정하고 그 대상에 대한 피싱공격을 수행하는 것)을 목적으로 한 이메일 공격은 직원이나 은행, 기타 믿을만한 기관을 사칭하므로, 모든 직원들이 이러한 기술적인 범죄에 대하여 인지하고 대응할 수 있는 프로그램의 모색이 필요하다.  

 

하지만, 스트레이트젬 1 솔루션(Stratagem 1 Solutions)의 CIO이자 보안 컨설턴트인 제이슨 스트리트에 의하면, 가장 큰 문제는 그것이 아니다. 소셜 엔지니어링에 있어 가장 위협이 되는 것은, 회사의 최고 경영진이며, 그들이야말로 가장 교육이 절실한 대상이라는 것이다.

 

 “인간 문제 해결방안”에 대하여 조언을 하고 있는 스트리트는 민감한 데이터와 극비 사항에 접근할 수 있는 C-레벨의 관리자들은 범죄의 가장 좋은 대상이며, 회사를 심각한 위기 상황으로 몰아넣을 수 있다. 이러한 위험 요소들은 조직의 아래에서 맨 위의 관리자 레벨까지 모든 사람들이 보안에 대한 인식을 올바로 이해하기 전까지는 해소될 수 없다고 말한다.

 

AP4F66.JPG“경영진은 이러한 모든 위험요소들을 파악하여, 어떤 위험이 닥칠지, 어떻게 피해가야 할지를 이해해야 한다”라고 설명한다.

 

또한 스트리트는 왜 고위 임원진들이 소셜 엔지니어링 공격의 대상이 되는 가에 대한 네 가지 이유를 아래와 같이 설명하고 있다.

 

보안 규정을 준수할 필요가 없다.

최고 임원들은 회사에서 가장 중요한 사람들이므로, 그들의 업무는 굉장히 중요하고 까다롭기 때문에, 업무 수행에 불편을 야기하는 보안 규칙이나 보안 정책에 대해 면제권을 부여하는 경우가 많다. “그들은 가능한 한 방화벽으로부터 자유로워 지길 원한다. 그러면 다른 사람들이 갈 수 없는 웹사이트의 접근이 가능해지기 때문이다. 또한 그들은 필터링이나 로그 기록, 모니터링 대상이 되길 원하지 않기 때문에 프록시 설정 설정을 통한 웹 이용을 꺼려한다”라는 설명이다.

 

문제는, 이 관리자들이 평균적으로 일반 직원들보다 보안에 대한 지식이 없기 때문에 종종 소셜 엔지니어링을 이용한 금융 사기 범죄의 대상이 되고 있다는 것이다. 또한 이들이 관리자들이기 때문에 소셜 엔지니어의 공격 목표가 되어, 정상적인 발송지에서 보내온 메일들이 실제 최악의 공격 수단이 되는 것이다.

 

보안시스템이 모든 것을 보호해 줄 것이라고 생각하고 있다.

스트리트는 일단 관리자들이 첨부 파일을 열면 그 PC는 감염되는데, 그러면 왜 보안 프로그램이 이를 막지 못했냐는 의문을 제기한다며, “관리자의 PC가 감염되고 그로써 회사에 손실을 야기했다면, 그는 단지 ‘맙소사’,’왜 당신은 내가 이렇게 될 때까지 날 막지 못한 것입니까?’라고 얘기할 것이다”라고 말한다.

 

스트리트는 최근 두 호텔에 대해 일련의 진입 시험을 마친 바 있는데, CEO로 가장한 위조 메일을, 보안 정보를 담당하는 종업원에게 보냄으로써 서버 룸에 액세스할 수 있었다. 이후에 스트리트가 직원에게 왜 자신에게 액세스 권한을 주었는지 물었을 때, 직원은 “CEO가 하는 방식이다. 그는 항상 이런 식으로 이메일을 보낸다”라고 대답했다고 한다.

 

요점은, 관리자들, 혹은 스트리트의 예 속의 호텔 사장은 그들의 방식이 어떤 위험을 초래하는 가를 깨닫지 못하고 있다는 것이다 (이 경우 이 메일을 검증하는 시스템이 없었다). 왜냐하면 그들은 보안 규칙을 잘 이해하고 항상 그들을 보호해줄 것이라고 생각하고 있기 때문이다.

 

최신 기술을 사용한다

CIO들은 항상 최신 기술을 적용하므로 소셜 엔지니어들의 최적의 목표가 될 수 있다. 회사의 승인 없이도 최신 아이폰을 가장 먼저 사용할 수 있는 사람은 누구일까? 내부 네트워크를 통해 아이패드로 이메일을 받는 사람이 누구이겠는가? C-레벨에 속하는 임원들이 유력할 것이다. 그들은 회사 표준이 아닌 노트북을 사용하며, 굉장히 가볍거나 특별한 다른 기능들이 내재된 새로운 것을 원하기 때문이다.

 

문제는, 이러한 최신 기술들은 보안 위험에 대한 점검도, 네트워크 보안에 대한 설정도 아직 안되어 있는 상태라는 점이라는 것이 스트리트의 의견이다. 문제는 이 전의 문제들과 결합하여 더욱 심각해지는데, 임원진들은 새로운 디바이스를 사용할 때, IT가 항상 적합한 보안 대책을 마련해 놓고 있다고 생각하고 있지만, 실제로 그런 경우는 거의 없기 때문이다.

 

스트리트는 “그들은 아마도 더 새로운 것일수록 보안에 더 안전하다고 생각하는데, 사실이 아니다. 그들은 자신들의 노트북을 가정의 네트워크에 연결해서 사용하면서 완벽한 보안 모델로 변경되었다고 믿는 것일 뿐이다”라고 말했다.

 

무방비 상태인 가족이 있다.

공격자는 네트워크 관리자의 엄중한 감시 체제 속에서 가장 쉬운 대상을 모색하게 되는데, CIO의 배우자나 아이들의 페이스북을 추적하는 것이 훨씬 쉬운 방법이라고 스트리트가 말한다. 이들 가족 멤버들은 집에서CIO와 컴퓨터를 같이 사용하기 때문이다.

 

"아내의 컴퓨터가 안전하지 않기 때문에 CIO는 자신의 노트북을 집으로 가져간 후 내부 네트워크에 연결한다. 가정용 네트워크는 보다 개별적이고 보안이 강화되어 있는 것이 일반적이다. 이는 방화벽이 강화되어 있다는 말로서, CIO는 그렇게 접속하게 된다"라고 설명한다.

 

스트리트는 “소셜 엔지니어링의 시선은 이들 가족에게 까지 뻗어 있어서, 불행하게도 자신도 모르는 사이에 범죄 행위의 희생양으로 만들어 버린다”고 경고한다. “만일 위험을 무릅쓰고 수백만 달러를 구한다면, 첩보행위에 동조하거나, 비밀이나 돈을 훔치기를 원한다면, 당신의 타깃뿐만 아니라, 타깃이 되는 네트워크상의 모든 이를 추적해야 한다”고 말한다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.