기술적인 보안 취약점 뿐 아니라 사회공학적인 취약점도 찾아야

최근 보안 범죄의 성향을 살펴보면, 기술적인 범죄 보다는 사회공학 적인 범죄가 늘어나고 있다. 이런 현상은 보안 범죄에 있어서 기술적인 접근보다 사회공학적인 접근이 더 쉽기 때문이다.

즉, 악성 해킹을 통해 금전적인 이익을 취하려는 범죄자들이 IDC에 있는 서버를 해킹하기 위해 수많은 보안 솔루션을 뚫기 보다는, 보안의식이 약한 담당자에게 클릭을 유도할 수 있는 유혹적인 이메일을 보내는 것이 낫다는 결론을 내린 것으로 볼 수 있다.

물론 그렇다고 해서 보안 솔루션들을 죄다 빼자는 이야기는 아니다. 이런 사회공학적인 접근은 보안 솔루션이 잘 돼 있기 때문에 사람이라는 허점을 찾은 것이기 때문이다. 즉 보안 솔루션이 잘 돼있지 않다면 다시 범죄자들은 보안솔루션을 노릴 것이기 뻔하다.

이런 상황은 보안담당자에게 있어 매우 골치 아픈 일임은 틀림없다. 보안담당자들의 보안 로드맵이 솔루션뿐만 아니라 내부 사용자 인식 전환까지 확장되기 때문이다. 이를 위해서는 보안 교육 등 다양한 방법이 선행돼야겠지만 교육만으로는 인식을 바꾸는 것은 쉽지 않다.

그 이유는 보안에 대한 책임은 보안담당자가 져야한다는 의식이 팽배할 뿐 아니라, 보안 자체가 자신의 업무와 무관하다는 의식이 마음속에 자리 잡고 있기 때문이다. 하지만 사회공학적인 공격기법이 보안에 취약할 것 같은 내부자를 노린 다는 것을 감안하면, 문제에 대한 책임을 보안 담당자만의 몫이라고 보기 힘들다.

가령, 예전 한 전자제품 기업에서도 사회공학적인 취약점을 노린 사례에서도 담당자에 대한 책임이 부가 됐었다. 당시 제조라인의 담당자의 이메일에 악성코드를 보내 제품의 드라이버와 매뉴얼이 담긴 배포 CD에 악성코드를 심는 기법이 이용됐었다. 결국 내부사용자의 방심이 대형 사고를 일으킨 것.

이런 사례들을 살펴보면, 기업 내 모든 구성원이 보안에 대한 책임을 질 수 있다는 것을 알 수 있다. 이는 모든 구성원이 보안에 각별한 주의를 기울여야한다는 것을 반증한다.

아울러 보안담당자들도 취약점을 찾는데 있어 기술적인 부분에만 한정돼서는 안 된다. 기업의 업무 프로세스 안에서 사회공학적인 취약점을 찾는 것도 병행해야 하기 때문이다. 따라서 업무 프로세스 안에서 사용자 취약성으로 내부 침입이 가능한 경로를 찾기 위한 노력을 해야 하며, 이는 결국 기업의 모든 업무를 훑어 파악해야하는 대규모 작업이 필요하다. 

결국 보안 담당자들이 해야 할 큰 일이 또 하나 늘었다고 볼 수 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>