• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

돈이나 개인정보보다, 이미지 훼손을 더 걱정하라 2017.04.12

미국 민주당은 선거 패배, 야후는 M&A 계약 불리하게 가져가
돈이 없어지지도 않고, 협박 전화가 오지도 않는 조용한 공격

[보안뉴스 문가용 기자] 최근 발생한 유출 사고와 첩보 보고서, 그리고 그에 대한 보안 커뮤니티의 반응을 보면, 이전과 다른 분위기가 느껴진다. 바로 사이버 공격이 데이터를 훔쳐내거나 협박을 위한 것이 아니라, 공격 피해자의 명성과 신용을 갉아먹기 위한 것으로 사용되고 있다는 것이다.


예를 들어 작년을 뒤흔든 두 가지 보안 사고인 미국 민주당 해킹 사건과 야후에서의 대규모 개인정보 유출 사건을 보면, 일단 ‘운이 없어서’ 일어난 건 아니다. 누군가 각기 민주당과 야후를 분명하게 노리고 공격을 성공시킨 것이다. 여기서 중요한 건 ‘누가’ 배후에 있느냐가 아니라 누구도 여기서 금전적인 이득을 취하려고 움직이지 않았다는 것이다. 심지어 금융 정보가 도난 당하지도 않았다. 다만 이런 해킹에 따라 여론이 형성되고 두 단체(민주당과 야후)는 심각한 이미지 피해를 입었다.

따라서 두 공격은 그 누구도 엄청난 비트코인을 거머쥔 건 아니지만 성공적이었다. 민주당은 대선에서 패했고, 야후는 M&A에서 제대로 된 값을 받지 못하게 되었다. 이런 선례가 남았으므로, 앞으로 비슷한 사건들이 계속해서 일어날 것은 쉽게 예상이 된다. 앞으로 사이버 보안은 은행 계좌나 개인정보뿐 아니라 대중 이미지까지도 걱정해야 할 것이다.

이미 다가온 현실
게다가 이런 식으로 심각한 이미지 손상을 초래한 사이버 공격은 위 두 가지 말고도 더 있다. 2014년 말에 일어난 소니 픽처스(Sony Pictures) 해킹 사건도 있었고, 재작년에 발생한 애슐리 메디슨(Ashley Madison) 해킹 사건도 있었다. 소니 사건으로 주요 영화 콘텐츠가 유포되고 배우와 감독 간 사이가 틀어지기도 했으며, 애슐리의 경우는 자살자가 나오기도 했다. 심지어 가입자 대부분이 남성이고 여성 역할을 하는 봇의 존재까지 드러나 사업에 중대한 차질을 빚게 되었다.

해킹에 당했다고 한다면, 사실 어차피 명성 피해는 기본으로 깔고 가는 것이다. 보안이 쉬운 게 아닌데 일단 당했다고 하면 소비자들은 ‘얼마나 평소에 해이했으면’이나, ‘얼마나 칠칠맞으면’, ‘얼마나 보안 개념이 없으면’이라는 생각을 먼저 하기 때문이다. 그러나 최근의 공격은 이것보다 훨씬 더 심한 이미지 손상을 입힌다는 게 다르다.

허위 사실 유포와 공개적 망신주기
그렇다면 현재 해킹을 당한 이들에게 닥치는 가장 큰 위협거리는 무엇일까? 개인정보가 노출된다는 거? 아니다. 앞서 말했지만 명성과 신뢰가 조금씩 깎여나간다는 것이다. 현재 암시장에서 일어나는 각종 사이버 범죄 및 스파잉 행위를 보면, 정보를 팔고 사는 것에 큰 초점이 맞춰져 있지 않다. 특정 네트워크 내 높은 접근권한을 갖게 된 공격자들은 내부 정보를 조작한다든가, 대중에게 공개되는 부분을 악의적으로 수정하거나, 허위 정보를 노출시킨다.

요즘 가짜 기사가 문젯거리로 떠오르고 있는데, 당신이 어디선가 전해들은 의료 정보나 금융 정보가 가짜라면 어떨까? 믿을만한 기업의 사이트라고 생각해서 온라인 상담을 받았는데, 그 내용이 중간에 허위로 바뀌어서 엉뚱한 약을 먹게 되고, 섣부른 투자로 재산을 탕진할 수도 있다. 즉 인터넷을 통해 주고받게 되는 정보 자체를 점점 믿지 못하게 되기에 이르는 것이다.

게다가 거의 모든 보안 문제가 그렇듯이, 마땅한 해결책이 존재하지도 않는다. 뭉텅이 돈이나 특정 정보가 없어져야 겨우 사건이 일어났다는 걸 알아차리는 수준인데, 누군가 조용히 들어와 협박 전화도 없이 어떤 정보 한 줄 살짝 바꿔놓고 사라지면 파악이 쉽지가 않다. 그렇다고 웹사이트에 우리 회사가 ‘합법적으로’ 적어놓은 모든 정보를 다 외우고 다닐 수도 없다.

결국 ‘보안의 기본기’를 강화하는 수밖에 없다. 다중인증을 적용하고, 네트워크를 분리시켜서 관리하고, 모든 통신은 암호화 처리로 보호하고, 직원들은 주기적으로 교육시키는 것이다. 물론 이런 다중의 보안 체질 강화 프로젝트를, 단 한 번의 피싱 메일 클릭으로 무산시킬 수도 있는 게 현대 사이버 보안 상황이고, 각종 모바일 기기가 아무도 모르게 회사 네트워크에 접속했다가 사라질 수도 있는 환경이지만 말이다.

그렇다고 절망할 필요는 없다. 우리에게 새로운 기술이 다가오고 있기 때문이다. 자동화 기술과 머신 러닝이 그것이다. 이 툴들은 보다 인간을 도와 빠르고 꼼꼼하게 문제들을 해결할 것으로 기대된다. 이 기술들이 우리의 사이버 공간에 들어와 점점 마모되어 가는 ‘신뢰’를 다시 탄탄하게 보듬어줄 것이라고 나는 개인적으로 생각한다.

글 : 마이클 서튼(Michael Sutton)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>