보안

'해킹 취약 시즌' 연말연시 기업 보안 대비 방법

Susan Bradley | CSO 2019.12.23
휴가철이다. 해커가 활약(?)하기 좋은 때이기도 하다. 예를 들어, 메시지에 첨부하는 부재중 알림 답장을 보자.
 
ⓒ Getty Images Bank

해마다 이맘때면 크리스마스 때부터 새해까지 휴가를 가는 사람이 있다. 부재중 알림 메시지에는 휴가 기간과 장소, 사무실 위치, 비서나 동료 직원에 대한 핵심 정보가 포함된 경우가 많다. 공격자는 이 정보를 활용해 해당 조직에 대한 사회공학 공격을 감행할 수 있으며 기술적으로도 어렵지 않다. 따라서 기업 차원에서 부재중 알림 메시지는 내부에만 발송되도록 규제하는 것이 좋다. 또한, 회사 내에서 사람들이 부재중 알림 메시지를 설정하면 이를 파악할 수 있도록 파워셸을 활용하는 것도 좋다.

물론, 해커가 직원에 대한 정보를 얻는 방법은 부재중 알림 메시지뿐만이 아니다. 최고 실력을 자랑하는 해커라면 링크드인을 통해 직원과 기업에 대한 정보를 이미 확보하고 있을 것이다. 인스타그램과 페이스북을 통해 직원의 휴가 계획과 여행에 대해 이미 알고 있고, 어차피 공격은 소리 없이 감행할 계획이므로 직원이 사무실에 있는지는 중요하지 않다. 실제로 기업에 대한 공격은 바쁜 시간에 감행할 수도 있다. 로그의 이벤트가 다른 정상적인 트래픽과 함께 금세 묻힐 것이기 때문이다.

휴가 중 특이한 행동을 탐지하는 UEBA 설정
사용자 및 개체 행동 분석(UEBA) 기술은 지역, 특이한 파일 접근, 암호 살포 기법 등을 근거로 불가능한 로그인과 여러 번 발생한 로그인이 없는지 살핀다. 애저와 오피스365 사용자라면, 기업 내에서 비정상적인 UEBA 활동을 식별할 수 있도록 클라우드 앱 시큐리티 옵션을 설정하는 것이 좋다. 회사 내부에 있는 사람이라면 로그온트레이서를 살펴볼 필요도 있다.

불가능한 로그인을 식별하고 그에 따라 규칙을 설정하기 위한 구체적인 알림을 설정해 애저와 오피스365 구독에 클라우드 애플리케이션 보안을 추가할 수 있다. 애저 P1 라이선스를 갖고 있다면 애저 AD에 대한 로그인을 검토해 특이한 위치에서 실패한 로그인이 얼마나 자주 발생하는지 확인할 수 있다. 예를 들어, 필자의 애저 AD에서는 전 세계 다양한 장소를 볼 수 있다.
 
전 세계에서 로그인에 실패한 기록이 있다

클라우드 앱 시큐리티는 E5 라이선스의 일부이지만 사용자당 3.50달러에 구매할 수 있다. 또한, 특이한 활동에 대해 알려줄 필요가 있는 고위험 사용자를 대상으로 추가할 수 있다. 전 세계 관리자뿐만 아니라 잠재적인 표적 사용자를 위해 누구도 특이한 장소에서 로그인하지 못하도록 클라우드 앱 시큐리티를 추가할 것을 권장한다.

매크로를 통한 표적 공격에 대응하기
해커는 표적 공격을 감추기 위해 휴가철을 이용하기도 한다. 마이크로소프트 보안 인텔리전스에 따르면, 해마다 이맘 대의 이모텟(Emotet) 표적 공격은 ‘연말 파티’ 같은 솔깃한 제목이나 눈에 띄는 휴가 관련 테마를 사용한다. 이모텟은 사용자 시스템에 접근권을 얻기 위해 다양한 방법을 사용한다. 감염되는 경로는 악성 스크립트, 매크로 설정된 문서 파일 또는 악성 링크 등이다.

많은 경우 이러한 악성 문서에는 매크로가 포함돼 공격 개시에 사용된다. 마이크로소프트는 오피스 문서가 악성 매크로의 전달 수단이 될 수 있다고 보고 차단에 도움이 되는 툴인 오피스 애플리케이션 가드(Office Application Guard)에 대한 초기 테스트를 진행 중이다. 샌드박스 기능을 오피스 애플리케이션에 추가할 예정이며, 시스템과 네트워크의 나머지 부분에 대한 문서의 접근을 분리하는 것이 목적이다. 이렇게 되면 악성 매크로나 보안 버그를 이용해도, 악성 코드가 컴퓨터의 다른 부분에 접근할 수 없다.

악성 매크로로부터 시스템을 보호하려면 방법은 다양하다. 먼저 오피스 패치가 최신인지 확인한다. 오피스는 매달 여러 가지 업데이트를 제공하는데 그중에 원격 코드 취약점을 해결하기 위한 것이 많다. 엑셀을 사용하는 기업 대부분이 매크로를 설정한다. 엑셀이 더 똑똑하게 워크시트 매크로를 사용하고 신뢰할 수 있도록 설정할 수 있다. 미 국립사이버보안센터는 매크로가 오피스 문서 공격의 대다수를 차지한다고 지적하고, 오피스 프로그램에 다음과 같은 설정을 권장한다.

- 매크로가 필요한 특정 앱 이외에는 오피스 매크로를 해제한다.
- 매크로가 꼭 필요한 직원에 한해 매크로를 설정한다.
- 윈도우 10에서 악성코드 방지 스캔 인터페이스(AMSI)와 통합하는 악성코드 방지 제품을 사용한다(또는 윈도우 디펜더의 기본값을 사용한다).
- 최신 버전의 플랫폼에서 최신 버전의 오피스(월별 채널(Monthly Channel)이 이상적)를 사용한다.

현재 버전의 오피스에서는 사용자가 매크로를 설정해야 하며 매크로가 기본적으로 작동하지 않는다는 점을 유념해야 한다. 매크로가 포함된 파일을 인터넷에서 열면 노란 경고 배너가 뜬다. 따라서 기업은 직원에게 이러한 경고와 메시지에 대한 교육을 해 오피스 파일을 설정해야 할 때와 설정하지 말아야 할 때를 알 수 있도록 해야 한다.
 
매크로 실행  경고창

또한, 최소한 내부 매크로는 사용자가 신뢰할 수 있도록 디지털 코드 서명을 해야 한다. 폼즈(Forms), 플로우(Flow), 파워앱스(PowerApps)와 같은 온라인 대안 제품과 다양한 웹 애플리케이션이 있으므로, 사무실에서 오피스 매크로를 사용하는 것이 과연 현명한 것인지 검토하는 것도 좋다. 결국은 기업의 오피스 정책을 검토해야 한다. 부재중 알림 메시지의 위험성이 걱정된다면, 기업이 오피스 문서를 사용하는 방식 전체를 검토하는 것이 좋다. 매크로의 위험을 살펴보고, 새해는 더 안전할 수 있도록 사무실에서 할 수 있는 일은 무엇인지 검토하자. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.