Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
모바일 / 보안

"뒷문보다 앞문 단속" 더 정교해지는 피싱 공격 막는 법

Rick Grinnell | CIO 2022.10.28
데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 영국 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 9,745만 6,345건의 기록이 손상됐다. 

2022년에 공개된 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고 해커 역시 피싱 캠페인을 활용해 공격을 시작할 직원 자격증명 액세스 권한을 얻고 있다. 
 
ⓒGetty Images Bank

사회 공학
다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다. 

해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 자격증명에 액세스하고, 기업 시스템에 침입할 수 있는 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 것이 쉬운 법이다. 

따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다. 

우버, 트윌리오, 메일침프 해킹 사건
모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발생했다. 

또 2022년 초 보안업체 그룹-IB(Group-IB)는 트윌리오(Twilio), 메일침프(MailChimp), 클라비요(Klavioyo)의 직원이 자신도 모르게 대규모 피싱 캠페인의 피해자가 됐다는 사실을 밝혀낸 바 있다. 해당 공격은 130개 이상의 조직에서 약 9,400개 계정을 손상시켰다. 직원 중 다수는 미국에 거주했으며, 옥타(Okta)의 ID 및 액세스 관리 서비스를 사용하고 있었다. 올해 초에도 공격이 있었다. 예를 들어 랩서스(Lapsus$) 해킹 사건에는 시스코, 엔비디아, 삼성, T-모바일, 보다폰 등 주목할 만한 기업이 연관됐다. 

심지어 CSO와 직원을 보호하기 위해 설계된 플랫폼조차 해킹당하고 있다. 지난 8월 암호 관리 업체 라스트패스는 시스템 침해 사실을 발표했다. CSO와 시스템 관리자는 MFA 또는 2FA가 이상적인 솔루션이라고 생각했다. 하지만 이제는 이러한 프로세스조차 해킹당하고 있으며, 악의적인 행위자가 사용자 데이터 및 정보에 무단으로 액세스하고 있다. 

새로운 법칙
피싱과 사기 공격의 피해자가 늘면서 입법기관에서도 주목하고 있다. 이를 테면 영국에서는 은행 및 기타 금융기관이 온라인 사기 피해자에게 보상하도록 하는 주장이 제기됐다. 영국의 NGO인 PSR(Payment Systems Regulator)은 지난 9월 지불 업계가 APP(Authorised Push Payment) 사기를 관리하는 방식을 변경해야 한다고 주장했다. 이 주장에 따르면 은행은 사기 피해자에게 100파운드가 넘는 도난 금액을 배상해야 한다. 또, 영국에 기반을 둔 은행은 고객의 무지에서 비롯된 피싱 공격일지라도 고객에게 보상해야 할 의무가 있다. 은행은 여전히 잃어버린 돈을 환불하는 데 도움을 줄 의무가 있다. 미국에서는 매사추세츠 주 상원의원 엘리자베스 워렌이 유사한 입법을 추진하고 있다. 

금융기관은 고객을 더욱더 잘 보호하기 위해 사기 수법에 세심한 주의를 기울여야 한다. 은행은 고객을 보호하면서 수익까지 보호할 수 있다. 이제 사이버 보안 문제는 더 이상 보안이나 브랜드 문제가 아니다. 징벌적 재무 문제이기도 하다. 

CSO가 반격할 수 있는 방법
내부 시스템 안팎에서 피싱 시도를 방지는 CSO가 직면한 중요한 사안이다. 고객이 해킹당하고 정보가 노출될 뿐만 아니라, 자격증명 및 액세스 제어를 관리하는 업체(듀오, 옥타, 라스트패스)도 공격을 받고 있다.

현관문을 잠그는 것은 이러한 위협에 맞서는 가장 좋은 방법이다. 직원, 파트너, 고객의 ID를 보호하기 위해 다층적인 접근 방식을 취하는 것도 좋은 출발점이다. 아직 도입하지 않았다면 지금이라도 시장에 출시되는 차세대 ID 관리 및 액세스 제어 제품을 살펴보라. 이러한 혁신적인 시스템은 로그인하는 기기의 신원뿐만 아니라 기기를 사용하는 개인의 신원을 견고하게 만든다. 하루의 시작, 교대 또는 온라인 세션 때마다 뜨는 ID 인증 역시 지속적인 문제로 언급돼 왔다. 최신 AI 기반 시스템은 실시간으로 여러 행동 및 생체 인식 신호를 결합해 귀찮은 인증 팝업이 계속 나타나지 않는다.  

제로 트러스트는 업계에서 남용되는 표현이 됐다. 이제 CSO는 네트워크와 데이터에 액세스하는 개인을 진정으로 신뢰할 수 있는 솔루션 구축을 시작할 때다. 
* Rick Grinnell은 CIO닷컴의 기고자다.
ciokr@idg.co.kr
 Tags 피싱 피싱 공격 사회 공학 랜섬웨어 금융 사기 MFA 2FA

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.