보안

보안 전문가에게 좀더 창의적인 모의 해킹과 방법이 필요한 이유

Maria Korolov | CSO 2014.04.24
범죄자들은 기업 자산을 해킹하고 침투하기 위한 기술을 계속 발전시키고 있기 때문에 보안 관리자들 역시 이에 대비해야 할 필요가 있다. 기업의 보안의식 수준을 높이기 위해 실시하는 표준 모의 해킹 그 이상의 방법들을 필요하다.

보안 전문가들은 오랫동안 자체 방화벽과 기타 보안 시스템에 모의 해킹을 실시해 해결해야 할 취약점을 파악해왔다.

보안 위협 판정을 위한 기준인 CVSS(Common Vulnerability Scoring System)은 업계 표준이긴 하지만, 나온 지 오래됐다.

하지만 공격자들은 일반적으로 주변부 공격에만 머무르지 않고 있다. 이들은 스피어 피싱, 전화 통화, 현장 방문 등의 여러 기법을 활용해 기업 데이터를 빼돌린다.

보안 전략가이자 전직 시어스 온라인(Sears Online)의 CISO 데메트리오스 라자리코스는 "사이버 범죄자들이 진화하는 만큼 우리도 진화해야 한다"고 말했다.

스피어 피싱
이미 외국에서 날아온 잘못된 철자로 된 이메일을 열지 말아야 한다는 점은 모두 알고 있다. 요즘 스팸업체들은 이보다 더 스마트해졌다. 이들의 이메일은 제대로 된 단어를 쓰고 있으며, 정말 회사에서 발송한 이메일과 잘 구분이 되지 않는다.

미국 오스틴에 위치한 NSS 랩(Nss Labs)의 창업자이자 최고 연구 책임자인 밥 월더는 "XYZ라는 회사에서 막 민영 의료 보험사를 BCBSA(Blue Cross Blue Shield)로 바꾸었다는 공개적인 발표가 있었다고 가정해보자. 공격자들은 이 소식을 듣고 BCBSA 측에서 보낸 것처럼 '신규 등록에 도움이 필요하신가요?'라는 식으로 꾸민 이메일을 보낼 것이다. 이런 이메일은 XYZ 직원들의 관심을 끌게 될 것"이라고 말했다.

이런 유형의 공격에 대한 방어는 기술적인 측면보다는 사용자 교육 강화에 달려있다.

밥 월더는 최초의 교육 캠페인 이후에 이런 사기에 휘둘리지 않은 직원들을 선보이는 리그 테이블같은 비-위협 테스트 전략을 추천했다.

월더는 "당신은 스스로를 적으로 설정하고 싶지 않을 것이다. 가벼운 마음으로 상품을 줄 수도 있다. 그러면 사기에 속은 직원들의 이름은 나오지 않겠지만 다음 번에 제대로 해서 상품을 타야겠다고 생각하게 된다"고 말했다.

모의 해킹을 펼치는 또 하나의 이점은 최고 경영진이 다음 번에는 휘말려 들지 않고 공적으로 망신을 당하지 않을 수 있다는 점이다.

월더는 "역설적이지만 대부분의 경우 최고경영진과 CIO들이 이메일을 읽을 시간이 없어서 대충 훑어본 뒤 생각 없이 클릭하곤 한다"고 말했다.

자체 모의 해킹에서 대상형 이메일을 활용하는 기업 가운데 하나로 메사추세츠주 메드포드(Medford)에 있는 센추리 뱅크(Century Bank)가 있다.

센추리 뱅크 정보보안 직원 아담 글릭은 "자사는 일년에 수 차례씩 사용자들에게 피싱과 소셜-엔지니어링을 시도한다. 이 평가에는 가짜 내부 웹 서버 설정, 내부 DNS 조정, 사용자들에게 암호 변경을 유도하거나 무료 금전 지급 등을 주장하는 위조 이메일 발송이 포함된다"고 말했다.

피싱 그 이상
센추리 뱅크는 이메일에서 그치지 않았다. 모의 해킹에서는 직원들에게 IT라고 자신들을 소개하며 암호를 넘겨줄 것을 요청하거나 직원이나 외부 유지 작업자로 위장된 안전 영역에 암호 입력을 유도했다.

글릭은 "공격자들이 피싱과 소셜 엔지니어링을 점점 더 많이 활용하게 되면서 이런 테스트들이 중요해지고 있다. 기업 사용자들을 능동적으로 훈련시키고 이들에게 이런 사기 행동들을 식별할 수 있는 능력을 키우게 만드는 것이 가장 강력한 방어책이 될 것"이라고 말했다.

글릭은 그의 은행의 테스트를 매사추세츠주 프래밍햄(Framingham)에 위치한 타워월(Towerwall) 이라는 외부 서비스에 맡긴다고 말했다.

코네티컷 애본(Avon) 기반의 원비콘 인슈어런스 그룹(OneBeacon Insurance Group) 역시 독일 이스마닝(Ismaning)에 위치한 서드파티 테스트 서비스 업체인 NTT 컴 시큐리티(NTT Com Security)를 활용하고 있다.

원비콘의 CISO 조세프 토팰은 "일반적으로 테스트가 컴퓨터 시스템만을 직접적으로 공격한다고 생각하지만, 최소한 시작에 있어서는 소셜 엔지니어링 측면을 통한 공격이 훨씬 쉽다는 점을 알게 되었다. 몇년 전, 자사의 모의 해킹이 확대했고, 대두되는 소셜 엔지니어링 공격들까지 커버하도록 계속 확대되고 있다"고 말했다.

요즘 여기에는 피싱 이메일뿐 아니라 전화와 맞춤 제작된 사기 웹사이트까지 포함된다고 설명했다.

그리고 이보다 더욱 창의적인 것들도 있다.

NTT 컴 시큐리티의 평가 서비스 부문 이사 크리스 카메조는 시설의 민감한 영역에 있어서 특히, 물리적 보안에 초점을 맞춘 한 곳의 고객사를 떠올렸다.

카메조는 "그 보안 구역에 출입증 없이 들어가 있는 프로그램을 짜는 것으로 그들이 한 일은 누군가에게 100달러 지폐를 주는 일이었다"며, "'출입증 어디 있어요?'라고 묻는 첫 사람이 100달러 지폐를 받게 된다"고 말했다.

보안 구역에 들어가는 일은 종종 너무나도 쉽기 때문에 간과되기 쉬운 이런 부분은 보안 테스트에 있어서 중요하다.

카메조는 "자신이 한 손에는 커피를 들고 다른 손에는 블랙베리 전화기를 들고 문 앞에서 팔을 흔들어대면서 불쌍한 표정을 짓는다면, 분명 아주 중요한 일이라고 생각하고 문을 열어줄 것"이라고 설명했다.

핵심 시스템을 현장에 배치해두지 않은 기업이라도 그냥 걸어 들어오는 사람이 얼마나 많은 중요한 정보에 접속할 수 있는 지는 잘 이해하지 못할 것이다.

카메조는 "기업들은 사무실에 얼마나 많은 정보가 흩어져 있는지 잘 인식하지 못한다. 백업 테이프, 노트북, 인증 토큰, 열쇠 등. 사람들은 여러 가지 물건을 주변에 펼쳐놓는다. 한 직원의 책상 위에 사회보장번호가 쭉 적혀진 마이크로피시 문서 상자가 그냥 놓여진 것도 본 적도 있다"고 말했다.

콜로라도주 루이빌(Louisville) 소재의 콜파이어 랩(Coalfire labs) 부회장 마이크 웨버는 "자사는 인증받은 개인이 보낸, 제대로 된 사람에게 명백하게 서명받은 팩스 송금 요청을 처리한 금융 기관의 사고 감식에 참여했던 적이 있다"고 말했다.

다중 공격
한 가지 접근 방식이 통하지 않고, 공격 표적이 탐나는 대상일 경우 공격자들은 다중적인 공격을 감행할 것이다.

이들에 대비한 방어를 위해 모의 해킹 역시 준비해야 한다.

예를 들어, 모의 해킹 개발업체인 코어 시큐리티 컨설팅 서비스(Core Security Consulting Services)는 신용카드 결제 처리 업체에 침투를 의뢰받았다.

이 팀은 데이터베이스 파일까지 침투할 수 있었지만 신용카드 번호가 어디에 저장되어 있는 지를 알아내는데 단 하루의 시간만 주어졌다. 그리고 그 시간 안에 훑어봐야 할 파일들은 너무나도 많았다.

코어 시큐리티의 매니저 디지오 마누엘 소르는 "자사는 갈고리가 필요했다. 그래서 팀원 가운데 한 명은 식당에 가서 샌드위치와 탄산음료를 샀고, 다른 이들은 자사의 신용카드 번호를 파일 속에서 텍스트를 검색했다. 전체 파일을 확인할 필요 없이 마지막 킬로바이트만 맞춰보면 됐었다"고 말했다.

또한 모의 해킹에는 처음 시작부터 아주 여러 층이 있을 수 있다.

콜파이어의 웨버는 "수많은 기업이 보안에 대해 이야기할 때 피싱이나 위장 전화(pretext calling, 관계자인 것처럼 위장하고 정보를 따내는 것) 혹은 물리적 소셜 엔지니어링 등의 특정 유형의 소셜 엔지니어링 테스트를 요청한다. 우리가 보기에 그런 자체적인 위협들은 식별과 의심이 용이하다. 하지만 이들을 혼합하면 훨씬 더 나은 성공을 거두게 된다"고 말했다.

콜로라도 브룸필드(Broomfield)에 위치한 문서 관리 업체 콩가(Conga)의 보안 및 컴플라이언스 이사 트래비스 하우는 "예를 들어, 공적으로 보이는 이메일을 먼저 보내 한 기업의 물리적인 검사를 무력화할 수 있다"며, "이처럼 혼합적인 소셜 엔지니어링 공격은 많은 조직에 있어서 취약점인 경우가 많다. 불행히도 조직 내의 보안 전문가처럼 누군가 조직을 뚫고자 한다면 어떤 식으로 공격받을 지에 대한 예측은 할 수 없다"고 설명했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.