• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인간해킹시대, 당신이 해킹을 당하는 7가지 이유 2015.04.18

다루고 있는 정보에 대한 무게감을 상기할 필요 있어

아직도 그 수법에 속나 싶지만 그게 바로 나 일수도


[보안뉴스 주소형] 사람이 가장 큰 위험요소라는 것은 이제 상식이 됐다. 특히 덤벙거리고 무지한 사람일수록 더욱 그렇다고 한다. 그런데 과연 정확히 그들이 무얼 어쨌기에 공격을 당하는 것일까. 우리가 매일 무심코 하는 행동 중에도 해커들에게 공격의 실마리를 주는 것들이 있을 수 있다. 이에 사람을 통한 해킹 유형 7가지를 정리했다.

 


1. 피싱 사기

가장 흔하고 쉬운 방법이다. 바로 인터넷과 이메일 등을 통해 개인정보를 알아내어 그들의 돈을 빼돌리는 피싱사기다. 이걸 아직도 속는 사람이 있나 싶지만 여전히 가장 많이 사용되고 성공 확률도 높은 해킹으로 파악됐다. 최근 발표된 버라이어존의 정보유출 조사 보고서를 보면 응답자의 23%가 피싱 메시지를 열어보았고, 11%는 첨부된 파일까지 열었다고 답했다. 게다가 그렇게 해킹되기까지 걸리는 시간은 약 82초라고 하니 신속하기까지 하다.


2. 전화를 통한 사기

두 번째는 피싱과 같은 맥락인데 사용자의 시스템과 계정의 접근권한을 해커가 획득하기 가장 쉬운 방법이다. 소셜 엔지니어링의 원조격인 전화를 통한 사기다. 전화를 걸어 로그인 정보를 탈취하는 것. 해당 회사나 협력사 직원인 척 가장하고 원격조정이 가능한 특별 문서의 접근을 요청하여 해킹하는 유형이다. 이는 다행히 그나마 점점 감소되고 있는 수법인 것으로 파악됐다.


3. 게으름·부주의

해킹기술이 점점 진화하고 있기 때문에 이제 완벽히 안전한 시스템이라는 것은 없다. 따라서 취약점이 발견되면 해당 프로그램 기업들은 패치를 내놓는다. 그리고 이를 업데이트하는 것은 사용자들의 몫이다. 하지만 사용자들의 게으름과 부주의로 인해 업데이트를  깜빡하면  해당 프로그램은 패치가 되지 않을 상태로 방치되어 있는 것이다. 이 같은 경우가 엄청나게 많다고 한다. 앞서 말한 버라이어존 보고서에 따르면 유출사건 원인의 97%가 이미 오래 전에 알려진 취약점 10개 때문이었던 것으로 집계됐다.


4. 허술한 비밀번호 설정

최근 발생한 소니사 유출사건은 허술한 비밀번호 정책을 되돌아보는 계기가 됐다. 당시 정보기술 관련 부서 직원들이 가장 많이 쓰고 있는 비밀번호가 ‘password’와 ‘12345’라는 다소 충격적인 결과가 공개됐기 때문이다. 뿐만 아니라 국제웹보안표준기구(OWASP)도 허술한 비밀번호를 지양하는 문서를 발간했다. “비밀번호는 중요한 정보로 접근할 수 있는 가장 빠른 수단이다. 그런데 매일 쓰다 보니 이러한 비밀번호의 무게감을 잊는 이들이 많다. 많은 이들이 자신의 이름을 비밀번호로 쓰고 있다.”


5. 위험한 공공 Wi-Fi의 무분별한 사용

요즘 어딜 가도 무료 Wi-Fi가 제공되고 있어 매우 유용하게 쓰고 있다. 그런데 문제는 이 공공 Wi-Fi는 매우 위험하다는 것이다. 미국 보안업체인 사일런스(Cylance)가 조사한 결과, 고객들에게 제공하는 무료 Wi-Fi 라우터 한 개의 취약점이 전 세계 29개국의 호텔 277개, 컨벤션 센터, 정보 센터에 영향을 미친 것으로 나타났다. 그 만큼 파급력이 크다는 것이다. 이를 통해 해커들은 중간자 공격을 가하는 등 불특정 다수의 기기로 침투할 수 있는 발판을 마련할 수 있다.       


6. 해커들의 놀이터가 된 소셜 미디어

소셜 미디어는 해커들이 가장 재미있게 노는 놀이터가 됐다. 이를 해커들은 다양하게 활용한다. 비밀번호 유추에 사용될 수도 있다. 비밀번호가 기억나지 않을 때 사용자가 지정해둔 질문에 대한 답을 치면 비밀번호를 찾을 수 있는 기능이 많이 사용되고 있다. 그런데 이 답을 당사자의 소셜 사이트에 공유한 내용들을 바탕으로 해커들이 유추해낼 수 있다는 것. 뿐만 아니라 해커들은 사이트에 가짜 ‘좋아요’ 버튼을 만들어 놓고, 이를 누르면 악성 바이러스인 멀웨어가 설치되는 기술을 사용하기도 한다.


7. BYOD로 인한 자폭

업무에 개인기기를 사용하는 BYOD 현상은 사용자들의 결정권을 너무 확대해준 결과를 낳았다. 한 마디로 자유를 너무 준 것이다. 사용하는 것이 개인기기이다보니 다루고 있는 정보가 회사소속이라는 것을 잊고 규정을 지키지 않는 것이다. 그러다보니 사용자 스스로 해커에게 길을 열어주는 일이 많이 발생하고 있다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>