| 보안업체 직원도 당한 사회공학적 공격 기법 | 2011.04.14 | |
직장내 정기적 보안교육 필수...해킹시 피해 범위 넓어
[보안뉴스 호애진] 지난달 17일 발생했던 RSA 해킹 사건은 적지않은 파장을 일으켰다. 보안업체의 해킹 방지 기술이 해킹을 당한, 치욕적인 사건이었다.
공격자는 어도비 플래시의 제로데이 취약점과 사회공학적 기법을 통한 피싱을 이용, RSA의 OTP 기술 정보를 탈취할 수 있었다. RSA는 공격자가 어도비 플래쉬의 제로데이 취약점을 이용해 시스템에 백도어를 설치할 수 있는 악성코드를 이메일 엑셀 첨부 문서에 심었고 내부 직원들에게 이를 보내 사회공학적 기법을 통한 피싱 공격을 감행했다고 최근 밝혔다. 이메일은 ‘2011년 채용 계획’이라는 제목과 함께 같은 이름으로 저장된 엑셀 파일이 첨부돼 있었다. 이 악성코드는 관리자 계정에 접근하기 위해 권한 상승 공격을 수행하는 트로이목마였다. 내부직원이 해당 이메일을 받고 첨부돼 있는 엑셀 파일을 열게 되면서 공격자는 해킹에 성공할 수 있었다.
이와 같은 사례는 2009년 큰 사회적 파장을 일으켰던 구글 해킹 사건에서도 찾아 볼 수 있다. 사건의 발단은 구글 내 직원의 실수였다.
중국 소재 구글 직원이 마이크로소프트(MS) 메신저를 하다 악성 웹사이트 링크가 담겨져 있는줄 모르고 링크를 클릭했고 공격자는 그의 PC 접근 권한을 가질 수 있었다. 이에 따라 공격자들은 구글 직원의 PC를 통해 미국 캘리포니아주 마운틴뷰의 구글 본사에 있는 소프트웨어 개발자 컴퓨터에 접근할 수 있었고 이들은 결국 개발팀이 사용하는 소프트웨어 저장공간의 통제권에까지 접근할 수 있었던 것이다. 이런 일련의 사건을 통해 내부 직원들의 보안 의식을 강화해야 한다는 목소리가 높아지고 있다.
정진욱 성균관대학교 교수는 “단순히 컴퓨터를 사용하는 사람들의 보안교육도 중요하지만 IT 분야를 직업으로 하는 사람들의 보안교육은 더욱 중요하다”며 “직원의 실수는 그 피해 범위가 훨씬 넓기 때문에 기업은 직원들에게 보안과 관련, 정기적인 교육을 실시해야 한다”고 밝혔다. [호애진 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
