인터넷이 바다라면 해커들은 상어...사람들 헤엄칠 수 있게 하려면?
CISO는 인명구조원...안전한 바다 물색하고 안전망 씌워서 내보내야

[보안뉴스 문가용 기자] 당신이 상어의 공격에 당할 확률은 0%다. 바다로 나가지 않는다면 말이다. 그렇다면 인터넷 생활을 전혀 하지 않는 사람이 해커에게 당할 확률은 얼마나 될까? 0%보다 훨씬 높다. 인터넷이란 물에 발끝도 담그지 않은 채 여러 가지 해킹 사고의 피해자가 될 가능성이 존재한다는 뜻이다. 그러니 해커를 상어보다 더 조심해야 하는 게 맞다. 보안담당자로서 조직 내 해야 할 일을 상어를 조심하는 것에 비교해 보았다.


1. 인명구조원과 동일시하라
조직이 헤엄치는 바다는 바로 인터넷이다. 내부망 혹은 인트라넷은 얕은 물가에 해당한다고 볼 수 있다. 클라우드는 깊고, 아직 인간의 이해가 전부 닿지 않은 영역이 포함되어 있는 바다다. 하지만 깊은 물이라고 인명구조원이 물에 빠진 사람을 외면할 수 없듯이, CISO도 물의 깊이와 상관없이 미리 바다를 연구해 상어가 있는지 없는지 파악하고 가능한 대로 제어해야 한다. CISO는 회사의 인명구조원이다. 그러므로 사이버 공간에 존재한다고 알려진 위험 요소인 상어들 중 우리 바다에 있는 것을 찾고, 그것에 대해 알리고 교육하며, 접근을 제한시켜야 한다.

2. 아무 물에 함부로 들어갔다간...
피싱 공격, 그 중에서도 모바일 피싱 공격은 현재 범죄자들 사이에서 그 인기가 꾸준히 증가하고 있다. SANS 2017 위협 지형도 보고서(SANS 2017 Threat Landscape Survey)에 따르면 피싱은 현재 조직들이 가장 조심해야 할 위협이다. 사이버 공격의 74%가 피싱 이메일에 섞여 든 악성 첨부파일이나 링크로부터 시작한다.

스피어피싱 공격 역시 급격히 증가하고 있다. 2017년 4사분기에만 50% 증가했다. 스피어피싱은 지난 몇 년 동안 굉장히 큰 피해를 남기며 사이버 세상을 위협해왔다. 피해자의 가까운 가족이나 지인, 직장동료인 것처럼 꾸며진 메일을 보냄으로써 피해자를 무방비 상태로 만들고, 악성 문서를 열게 하거나 악성 링크를 클릭하도록 한다. 아니면 민감한 정보를 물어보는 경우도 있다. 이메일 주소로밖에 신원이 확인되지 않는 상황에서 피해자들은 속수무책으로 당한다.

이와 유사한 위협으로는 BEC 공격 혹은 웨일링(whaling) 공격이 있다. 마치 회사 상사인 것처럼 메일을 꾸며 피해자에게 발송해 돈을 송금하도록 만드는 공격이다. 이런 공격은 기업들에게 어마어마한 피해를 입힌다. 이런 종류의 공격을 막는 방법은 이미 널리 알려져 있다. 출처를 항상 확인하고, 수상한 링크나 파일은 절대 열지 않으며, 비밀번호를 주기적으로 바꾸는 것인데, 이 간단한 방법들이 널리 알려져 있음에도 공격은 계속해서 증가하고 있다. 그래서 최근 현대화된 인증 기술이 등장하고 있는데, 이런 툴들은 실제로 큰 도움이 된다. 보안 감사를 제 때 실시하는 것도 좋은 방법이다.

3. 현대화된 인증 도구들도 도움이 된다
‘상어’라고 하면 제일 먼저 수면 위에 솟아 있는 삼각형 지느러미가 떠오른다. 하지만 삼각형 지느러미를 수면 위에 세우고 수영하는 게 비단 상어만은 아니다. 돌고래도 비슷한 광경을 연출할 수 있다. 반대로 저 멀리서 다가오는 지느러미가 돌고래인 줄 알고 넋을 놓고 있다가 상어의 이빨을 너무 늦게 발견하는 수도 있다.

사이버 공간에서도 사정이 비슷하다. 상어의 지느러미인줄 알고 경보를 울렸더니 돌고래인 경우가 태반이다. 또 돌고래인줄 알고 안심했다가 상어와 같은 해커들에 당하는 경우도 부지기수다. 하지만 요즘의 침해 사고는 80%가 도난당한 정상 크리덴셜로 인해 발생한다. 즉 돌고래처럼 위장한 상어들이 물속에 그득한 것이다. 그러므로 이쪽으로 오는 모든 지느러미들에 대하여 안전 조치를 취할 필요가 있다. 중요한 건 그러면서 생산성에 차질을 줘서는 안 된다는 것이다.

그래서 최근에는 똑똑하고 분석적인 인증 방법들이 개발되고 또 출시되고 있다. 많은 업체들이 앞 다투어 인증 서비스를 출시하고 있으며, 사용자의 프로파일이나 성향 등을 반영해 ‘스마트하게’ 사용자 본인을 알아봐주는 성능들이 등장하고 있다. 위치 분석, 기기 파악, IP 주소 분석 등을 통한 인증이 바로 이러한 사례다. 지느러미의 주인이 상어인지 확인하기 위해 돋보기만 쓸 수는 없다. 더 좋은 도구가 있다면 활용할 수 있어야 한다.

4. 환경 평가는 지속적으로
위협은 어디에도 있다. 물속에도 있고 온라인에도 있다. 그리고 보통은 눈에 얼른 띄지 않는다. 아니, 보통은 너무 늦을 때까지 발견되지 않는다. 그렇다고 인간은 바다에서 아예 수영을 하면 안 되는 걸까? 인터넷에 뛰어드는 건 무모한 짓이기만 할까? 디지털 변혁이 모든 조직의 미래인 것처럼 언급되는 이러한 때에? 안전이 중요하다고 행동을 전부 제약할 수는 없다.

실제로 상어 관련 다큐멘터리를 보면 상어와 매우 근접해서 찍은 샷들을 자주 볼 수 있다. 잠수부들이 안전망 안에서 움직이기 때문이다. 또한 상어가 아주 많은 지역으로는 들어가지 않는다. 이제 어떠한 업무도 인터넷 없이 수행하기 힘든 때다. CISO를 비롯한 보안 전문가들은 잠수부나 다름없는 직원들 한 사람 한 사람에게 활동할 수 있는 바다를 정해주고, 필요하다면 안전망도 덧씌워 내보내야 한다.

3줄 요약 :
1. 바다에 안 가면 상어에 당할 확률 0%지만, 인터넷 안 한다고 해커로부터 안전한 건 아니다.
2. 인트라넷은 얕은 물가, 클라우드는 탐험 더 해야 하는 깊은 물.
3. 상어 다큐멘터리 찍듯 안전망 준비하고, 상어 득실대는 바다는 피하고

글 : 로버트 블록(Rober Block), SecureAuth

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>