팬데믹을 거치며 우리는 화상 회의에 점점 더 익숙해져 가고 있다. 아니, 더 이상 빼놓을 수 없는 필수 아이템이 되었다. 그런데 아직 이 화상 회의라는 것이 완벽하게 안전한 건 아니다. 이 때문에 중소기업들이 특히 위험할 수 있다는 경고가 나오고 있다.

[보안뉴스 문가용 기자] 팬데믹으로 인해 재택 근무가 늘어나고, 재택 근무가 늘어나면서 화상 회의에의 필요 역시 증가했다는 건 모두에게 잘 알려진 사실이다. 그러면서 줌(Zoom), 마이크로소프트(Microsoft), 시스코(Cisco)가 대표적인 화상 협업 툴 개발사로 떠올랐다는 것 역시 누구나 알고 있다. 하지만 이 필수 요소인 화상 회의가 기업의 리스크 요인이 되기도 한다는 사실은 최근에서야 본격적으로 알려지기 시작했다.


현재 여러 기관과 기업들은 다양한 업무를 화상 회의를 거쳐 처리한다. M&A나 각종 법무 관련 일들, 군사 작전, 의료 관련 현황, 지적재산 등 대단히 민감한 내용들 역시 각종 화상 회의 플랫폼에서 논의된다. 기업 경영진 회의조차도 여기서 ‘자유롭게’ 진행될 때가 많다. 이런 이야기들 속에 등장하는 정보가 외부로 새나가면 기업은 물론 파트너사와 고객, 직원들에게 재앙과 같은 일이 벌어질 수도 있는데 말이다.

‘자유롭게’라 함은 보안을 특별히 고려하지 않는다는 의미다. 실제로 최근 에이트노바리카그룹(Aite-Novarica Group)이 조사한 바에 의하면 93%의 IT 담당자들이 현재 화상 회의 솔루션 사용 방법은 안전하지 않다는 걸 인정하고 있다고 한다.

그렇다면 정확히 어떤 면에서 현재의 사용 방법이 위험하다고 하는 것일까? 기본적으로는 대화가 진행되는 세션에 대한 접근 제어가 불안전하다고 한다. 그러니 해커들이 접근하여 대화를 진행할 수 없도록 훼방을 놓는 것에서부터 각종 정보를 조용히 수집해가는 것까지 가능하다.

게다가 화상 회의 솔루션 자체를 업데이트 하지 않는 사용자들도 많아 위험이 더 커질 수 있다. 업데이트 하지 않은 솔루션에는 취약점들이 존재하기 때문이다. 보안 업체 키퍼시큐리티(Keeper Security)의 CTO인 크레이그 루리(Craig Lurey)는 “공격자들이 취약점을 찾아내 익스플로잇 하면 비밀 세션에의 접근과 회의 방해, 민감한 정보 획득 등을 할 수 있게 된다”고 설명한다.

화상 회의 플랫폼 노리는 위협들, 빠르게 증가 중
화상 회의 소프트웨어는 원격에 있는 사람들 간에 사용되는 것이 보통이다. 사용자들부터 아주 먼 곳에서부터 원활하게 접속을 해야만 하는 앱인 것인데, 그렇기 때문에 멀리 있는 해커들의 원활한 접속도 가능하게 된다. 실제로 한창 줌 회의에 사람들이 익숙해져 가던 초창기에는 줌바밍(zoom-bombing)이라는 공격이 유행했었다. 아무나 원활하게 접속했기 때문에 생긴 일이었다.

화상 회의 앱에 디도스 공격을 가하는 것과, 앱을 통해 멀웨어를 퍼트리는 공격 역시 증가 중에 있다고 FBI는 경고하고 있다. 지난 5월 보안 전문가들 역시 줌의 채팅 기능을 익스플로잇 함으로써 원격 코드 실행 공격을 성공시킬 수 있다는 것을 증명하기도 했다. 보안 업체 벡트라(Vectra)의 경우 마이크로소프트 팀즈 솔루션에서 취약점을 하나 발견했고, 이를 통해 특별한 권한 없는 사람이 기밀에 접근할 수 있게 됨을 알아냈다.

보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어 마이크 파킨(Mike Parkin)은 “화상 회의 솔루션의 취약점이나 접근 제어 등 기술적인 부분에 많이 집중하는데, 사실 화상 회의 환경을 공격하는 사람들의 표적은 언제나 사람”이라고 강조한다. “무슨 말이냐면, 피싱 이메일이나 소셜 엔지니어링 공격이 주력으로 활용된다는 뜻입니다. 사람을 통해 화상 회의 세션에 접근하는 게 가장 주된 방법이고, 따라서 사람을 관리하는 게 아직은 최선의 방법이라는 뜻이 됩니다.”

중소기업들이 특히 위험
화상 회의 솔루션을 통한 위협을 가장 크게 받을 수 있는 건 중소기업들이라고 보안 전문가들은 강조한다. “중소기업들은 이미 오래 전부터 가상 회의 솔루션을 적극 활용해 왔습니다. 실제 출장비를 내는 것보다 화상 회의를 진행하는 것이 훨씬 저렴했기 때문이죠. 가상 회의 솔루션을 가장 많이 사용하고 있는 건 중소기업들이라고 봐도 될 정도입니다. 이른 바 슈퍼유저(superuser)라는 계층을 이루고 있죠.”

또한 중소기업들은 보안 전문 인력이 부족하거나 없기도 하고, 보안 솔루션 역시 부족할 때가 많다. “중소기업들에 있어 보안은 사치인 것이 대부분의 경우 현실이죠. 직원들 컴퓨터에 백신이라도 하나 깔아두고, 가끔이라도 보안 교육을 실시하면 잘 하는 편입니다. 보통 칼럼이나 보안 전문가들이 말하는 이상적 수준의 방어력과는 거리가 멉니다. 화상 회의 솔루션을 활용할 때 보안 문제를 고려하지 않는 경우가 많습니다.”

IT 솔루션 업체 제리파이(Zerify)의 부회장 조지 월러(George Waller) 역시 “중소기업들은 보안에 쓸 자원이 여유롭지 않다”는 것에 동의한다. “그러므로 중소기업들은 우리가 흔히 생각하는 ‘기초적’인 수준의 공격에도 취약합니다. 팬데믹을 거치며 중소기업은 이전보다 더 인력 부족 현상에 시달리고 있고 경제 불황의 직격탄을 맞고 있기도 합니다. 현재 중소기업들은 그 어느 때보다 위험하다고 봐도 됩니다.”

여기서 말하는 중소기업의 위험이란 ‘한 번 사고로 회사가 사라질 수 있다’는 정도의 수준을 의미한다. 최근 IBM이 발표나 보고서에 의하면 미국 내 발생하는 침해 사고의 평균 피해 규모는 944만 달러라고 하는데, 이 정도 규모의 자금력을 갖춘 중소기업은 40%도 되지 않는 것으로 알려져 있다. “사이버 범죄자들은 민감한 정보를 좋아합니다. 그래야 피해자들이 돈을 내고 정보를 달라고 애원하게 되거든요. 그게 아니더라도 다른 범죄자들에게 높은 값에 팔 수 있고요.” 월러의 설명이다.

파킨은 “중소기업들은 생각보다 자주 공격을 받는데, 이걸 중소기업들은 잘 모른다”고 설명한다. “중소기업들은 ‘우리 회사에서 가져갈 것이 뭐가 있어’라는 생각을 자주 합니다. 대기업에 비교하면 사실일 수 있습니다. 대신 대기업들은 방어막이 삼엄하죠. 뚫는 데에 적잖은 노력과 투자를 해야 합니다. 모든 공격자들이 낭떠러지에 위태롭게 매달려 있는 천만금을 선호하지 않습니다. 적게 가져가더라도 안전하고 가성비가 좋은 표적을 선호하는 사람들도 많습니다. 그런 공격자들에게 중소기업은 좋은 표적이 됩니다.”

다중인증과 제로트러스트, 화상 회의에도 적용해야
다행히 중소기업에 희망이 없는 건 아니다. 화상 회의 세션을 지킬 수 있는 효과 좋은 방법들이 존재한다. 쉽게 말해 ‘가장 쉬운 표적’이 아니게 되면 된다. 중소기업을 노리는 공격자들이라면 각고의 노력 끝에 값비싼 뭔가를 획득하는 것보다, 작은 것이라도 큰 노력 없이 얻어내는 걸 선호하는 사람들이다. 가장 쉬운 표적이 아닌 상태로 남아 있으려면 회의 개설자나 회의 참여자 모두 이중인증 기능을 활용하는 것이 기본이다. 또한 회의 링크를 함부로 공유할 수 없게 하는 것도 중요하다. 이런 기능들 모두 주요 화상 회의 솔루션에서 제공되는 것으로, 특별히 뭔가를 더 구매할 필요가 없다.

보안 업체 루무(Lumu)의 CEO 리카도 빌라디에고(Ricardo Villadiego)는 ID나 비밀번호와 같은 기본 보안 기능을 활성화하고 종단간 암호화 기능을 적용하는 걸 추천한다. “화상 회의 솔루션에 사용하는 비밀번호를 다른 곳에 재사용하지 말고, 마이크로폰과 스피커를 잠가두는 것이 좋습니다. 또한 회의 녹화본 역시 안전하게 보호해 두어야 하고, 아무나 접근할 수 없게 해야 합니다. 무엇보다 화상 회의에 참석하는 사람들이 스스로 전화로 할 수 없는 얘기라면 회의 때도 하지 말아야 한다는 생각을 가지고 있어야 합니다.”

월러는 스파이웨어를 활용해 화상 회의를 엿보는 것 역시 중소기업들이 주의해야 한다고 지적한다. “카메라, 마이크로폰, 오디오를 통해 나가는 데이터 스트림들이 다른 경로로 새나가지 않도록 해야 합니다. 공격자들이 멀웨어로 시스템을 감염시키면 이런 데이터를 가로채는 게 가능하거든요. 최신화 된 백신 소프트웨어를 사용하고 키로깅 및 스크린 캡처 방지 솔루션을 도입하면 어렵지 않게 해결할 수 있습니다.”

파킨은 “중소기업은 보안에 투자할 예산이 늘 모자라기 때문에 가장 효과가 높은 곳에 투자를 해야 한다”며 “인력들을 대상으로 한 보안 교육이 가장 확실한 투자일 가능성이 높다”고 말한다. “교육은 효과가 즉시 나타나지는 않습니다. 하지만 장기적으로는 가장 높은 효과를 가져다 주는 게 보통입니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>