• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안이 막막한 임원진이라면, 크리덴셜 탈취부터 신경 쓰자 2017.11.01

크리덴셜 공격 만연한 때, 임원진 계정은 최고의 먹잇감
임원진의 영향력 발휘해 조직 전체의 보안 강화 꾀해야

[보안뉴스 문가용 기자] 어느 조직에나 기업의 운명을 좌지우지 할 수 있는 정보에 접근 가능한 무리들이 존재한다. 이들 중 한 사람의 크리덴셜을 사이버 공격자가 훔쳐내는 데 성공했다면, 이는 조직 전체에 치명적인 사건으로 이어질 가능성이 농후하다. 지적 재산이 유출될 수도 있고, 거래 정보가 낱낱이 공개될 수도 있으며 고객 신뢰를 잃거나 시장에서의 위치를 잃을 수도 있다. 이런 식의 위험에 가장 많이 노출되어 있는 건 임원진들이다.

[이미지 = iclickart]


먼저 임원진들은 회사의 모든 기밀에 접근할 수 있다. 사업에 관한 모든 비밀들이 여기에 포함된다. 하지만 이들은 직원의 입장이 아니기 때문에 보안 교육도 덜 받는 편이고, 보안에 대한 압박에서도 비교적 자유롭다. 그래서 이들이 소유한 기기들에는 민감한 정보가 더 많이 들어있으면서 보안 장치도 덜 설치되어 있다.

또 경영진들은 조직 내 미치는 영향력이 막대하다. 공격자가 임원을 사칭하면 직원들에게 많은 명령을 내릴 수 있다. 임원을 사칭한 피싱 메일의 효과가 얼마나 뛰어난지 BEC 공격이라는 것이 현재 사이버 공간에서 가장 많이 횡행하는 공격 형태로 남아있다. BEC 공격은 임원인 척 재정부에 메일을 보내 입금 및 송금을 명령하는 것을 말한다. 하지만 이러한 영향력을 잘 발휘한다면 오히려 조직의 보안을 강화하는 데 밑거름이 될 수도 있다.

결국 임원진이든 일반 직원이든 회사에서 사용하고 있는 크리덴셜을 잘 간수하는 것이 현대 기업 환경에서 1순위 보안 수칙이라는 뜻이 된다. 버라이즌에서 발표한 2017년 데이터 유출 사고 보고서를 보면 81%의 유출 사고가 ‘비밀번호가 약해서’ 발생한 것이라고 한다. 2016년에는 63%였으니, 증가 폭도 대단히 넓다고 할 수 있다. 이런 상황에서는 높은 권한을 가진 임원진들부터 다음을 늘 확인하는 습관을 들이는 것이 중요하다.

1) 임원진인 우리가 접근할 수 있는 정보에는 어떤 가치가 부여되는가?
2) 그렇게 가치가 높은 정보에 우리는 어떻게 접근하는가?
3) 그 정보들은 어떤 방식으로 보호되고 있는가?
4) 현재의 보호 방식으로 충분한가?

임원진들이 이것을 늘 확인하는 습관이 갖춰졌다면, 나머지 모든 직원들이 같은 질문을 스스로에게 묻고 점검할 수 있는 분위기를 만들어야 한다. 임원이 아니더라도 업무상 중요한 정보에 접근할 수 있거나, 다 아는 사람이라고 비밀번호를 무분별하게 공유해 필요치 않게 접근 권한을 가진 직원들이 상당히 많다는 것을 유의해 두어야 한다.

또한 임원진들은 슬슬 다중 인증 시스템의 도입을 심각하게 고려해야 한다. 비밀번호 하나만으로는 절대 안전할 수 없는 환경이다. 다중 인증의 가장 좋은 예는 ATM 기기다. 카드와 비밀번호가 다 맞아떨어져야만 은행 거래를 할 수 있다. 비밀번호만 입력해도 돈이 나오는 ATM 기기는 상상하기 힘들다. 그런 분위기를 기업 내 조성해야 한다는 것이다.

결국 임원진이라면 “우리 기업은 인증 과정을 거친 인물이 정말 그 사람인 걸 어떤 식으로 확인하나?”라는 문제에 민감해져야 한다. 하지만 이것이 전부가 아니다. 결국 크리덴셜 탈취는 사이버 공격자들이 사용하는 여러 가지 작전 중 하나에 불과하기 때문이다. 크리덴셜에 대한 민감함을 바탕으로 기업 내 보안 전략 전체를 이해하는 것이 최종 목표다. 다음 질문들을 바탕으로 점검해가는 것이 도움이 될 수 있다.

1) 우리 회사는 사이버 보안 교육에 얼마나 투자하는가? 예를 들어 실전과 같은 피싱 메일을 직원들에게 보냄으로써 피싱 공격에 대비하는가?
2) 사이버 보안 강화를 위해 우리 회사는 어디에 주로 돈을 투자하는가? 주로 어떤 종류의 사이버 공격을 방어하기 위해 애쓰는가?

지금의 사이버 공격 지형도를 보면 임원진들만큼 취약하고 맛있는 표적이 없다. 보안은 더 이상 부하직원들의 일이 아니다. 하지만 ‘보안’이라고 하면 너무 막막하게 느껴질 수 있으니 일단은 크리덴셜 탈취 문제부터 관심을 가져보자. 이것만으로도 사이버 공격자들의 발을 상당히 묶어놓을 수 있다.

글 : 린키 세시(Rinki Sethi)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>