Home > 전체기사

[주말판] 내부자 위협의 파괴력을 보여주는 최근 사례 10

  |  입력 : 2021-10-02 11:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 보안 사고는 외부 해커들만 일으키는 게 아니다. 회사에 앙심을 품은 직원이나 업무 절차를 제대로 지키지 않은 직원, 일을 잘 하려고 지나치게 열심을 내는 직원들 모두 잠재적으로 보안 사고를 일으킬 수 있다. 그러한 사례들을 모아본다.

[보안뉴스 문가용 기자] 해킹 공격에 대해 방비한다고 했을 때 보통은 외부의 적대적 세력을 염두에 두고 일을 진행한다. 하지만 진짜 큰 사고들 중 상당수는 내부에서부터 시작한다. 매년 내부자 때문에 생기는 피해는 평균 1792만 달러라고 집계될 정도다. 신뢰하고 있는 내부 직원과 파트너들이 사고를 치는 것 때문에 이런 천문학적인 피해가 발생한다는 것이다. 이 금액이 와 닿지 않는 사람들을 위해 최근 일어난 대형 ‘내부 위협’ 사고의 사례들을 정리해 본다.

[이미지 = utoimage]


첫 번째 사례
- 헬스케어 : 이름이 밝혀지지 않은 의료 패키징 전문 회사
- 사건의 유형 : 사보타쥬
- 사건 발생 시기 : 2020년
- 사건 발표 시기 : 2020년

작년에 발생한 사고로, 한 의학 분야 회사의 직원이 회사에 손해를 끼치기 위한 목적으로 코로나 대응으로 의료 산업 전체가 눈코 뜰 새 없이 바쁠 때 컴퓨터 기술을 활용해 일부러 물품 배송을 지연시켰다. 이러한 사실이 밝혀지자 회사에서 해고가 됐는데, 이에 앙심을 품고 이 직원은 밖에서 회사의 배송 관리 시스템에 접속했다. 해고 직전에 미리 만들어 둔 가짜 관리자 계정을 활용했던 것이다. 그는 이 가짜 계정으로 회사의 물품 배송과 주문을 계속해서 늦추는 등의 행위를 저질렀다. 그리고 두 번째 가짜 계정도 만들어 회사 정보 12만여 건을 삭제하거나 조작했다. 이 때문에 회사 업무에 큰 차질이 생겼고 20만 달러 이상의 손해가 발생했다.

두 번째 사례
- 제조업 : 제너럴 일렉트릭
- 사건의 유형 : 지적재산 탈취 및 사기
- 사건 발생 시기 : 2011~2012년
- 사건 발표 시기 : 2019년

사건 수사에만 수년이 걸린 대형 사고로, 결국 제너럴 일렉트릭의 전 근무자 2명이 범인인 것이 밝혀졌다. 최초의 회사 지적재산 탈취 범행은 2011년에 발생했다. 당시 제너럴 일렉트릭 사의 터빈 제품 고객들을 지원하는 엔지니어가 저지른 짓이었다. 터빈과 관련된 회사 내 기밀을 다운로드 받아 보관하는 것은 물론 IT 부서에 있던 다른 직원도 꼬드겨 역시 기밀로서 보관되고 있던 각종 제안서, 가격표, 계약서 등을 받았다. 그리고 이 정보를 사용해 GE의 경쟁 회사를 설립해 GE에 큰 손해를 입혔다. 사업은 승승장구했지만, 사실 뒤에서는 FBI가 계속 사건을 캐고 있었다. 시간이 오래 끌리긴 했지만 결국 이 2명의 랩톱에서 모든 증거가 나왔다.

세 번째 사례
- 제조업 : 도요타
- 사건의 유형 : BEC 공격과 3700만 달러 사기
- 사건 발생 시기 : 2011~2012년
- 사건 발표 시기 : 2019년

BEC 공격 전문 사기꾼 한 명이 도요타의 직원 한 명을 속였다. BEC 공격자들이 그렇듯 재무관련 부서의 직원이었다. 도요타 유럽 지부 중 한 곳에 근무하던 직원이었으며, BEC 공격자를 해외의 파트너로 착각해 공격자가 지정한 계정으로 3700만 달러를 송금했다. 단 한 순간의 실수로 벌어진 일이 아니었다. 사기꾼은 꽤나 긴 시간 이 직원과 소통하며 신뢰를 차근차근 쌓아갔다. 그러는 동안 회사는 직원이 이 공격자와 이메일을 주고받는 걸 모르고 있었다. 내부 직원이 점점 외부 공격의 공모자로 자기도 모르게 변해가고 있는 걸 전혀 눈치 채지 못한 것이다. 범인이 공을 들여 회사 내부 사정을 정찰하고, 파트너사와의 비즈니스 관계까지 파악했기 때문에 직원을 감쪽같이 속일 수 있었다.

네 번째 사례
- 통신 : AT&T
- 사건의 유형 : 뇌물 받은 직원의 멀웨어 설치, 2억 달러 사기
- 사건 발생 시기 : 2012~2017년
- 사건 발표 시기 : 2019년

회사 내부 시스템에 대한 접근 권한이 있는 직원들을 뇌물로 매수한 범인들의 목적은 고급 아이폰을 AT&T 망으로부터 몰래 등록 해제시키고 망 바깥에서 계속해서 사용할 수 있게 만드는 것이었다. 이 과정에서 콜센터 직원들을 매수해 AT&T 내부 시스템에 멀웨어를 심도록 했고, 이 멀웨어를 통해 원격에서 AT&T 내부에 잠입하는 데 성공했다. 그리고 결국 AT&T 통신망에 가입되어 있던 전화기를 자기들 마음대로 해제시킬 수 있었다. 그러면서도 AT&T 외 다른 망을 통해서 사용이 가능하도록 만들 수 있었다. AT&T는 이러한 범행 때문에 2억 달러의 손해를 입었다. 범인은 2018년 체포됐고 12년 형을 선고받았다.

다섯 번째 사례
- 금융 : 캐피탈원(Capital One)
- 사건의 유형 : 신용카드 신청서와 계정 1억건 유출
- 사건 발생 시기 : 2019년
- 사건 발표 시기 : 2019년

아마존 웹 서비스(AWS)에서 소프트웨어 엔지니어로 근무했던 직원 한 명은, 근무 기간 동안 고객의 클라우드 환경에 어떠한 취약점이 있는지 상세히 파악할 수 있었다. 그리고 이 지식을 이용해 고객사 중 하나인 캐피탈원의 데이터를 유출시켰다. 캐피탈원 클라우드 환경이 어떤 식으로 잘못 설정되어 있는지를 파악하고, 이를 통해 신용카드 정보와 계정 정보를 대량으로 훔쳐간 것이다. 이 때문에 피해를 입은 사람은 1억 명이 넘는 것으로 아직까지 알려져 있다.

여섯 번째 사례
- 금융 : 이름이 밝혀지지 않은 뉴욕 신용 조합
- 사건의 유형 : 계정 권한을 악용한 사보타뷰
- 사건 발생 시기 : 2021년
- 사건 발표 시기 : 2021년

뉴욕에 있는 한 신용 조합의 전 직원 한 명이 해고를 당했다. 하지만 며칠이 지난 후에도 여전히 이 직원은 회사 계정에 접속할 수 있었다. 해고는 됐지만 그 기록이 IT 팀으로까지 넘어가 계정 삭제 처리가 되지 않았기 때문이다. (인사팀은 요청을 했지만, IT 팀이 처리하지 않았다고 알려져 있다.) 해고 당한 것에 앙심을 품은 이 직원은 계정에 접속한 후 40분 동안 회사의 중요 데이터 21.3GB를 삭제했다. 2만여 개의 파일과 3500여개의 폴더들이 사라졌다. 각종 대출 신청서, 안티 랜섬웨어 소프트웨어 등이 여기에 포함되어 있었다. 임원들을 위한 회의록과 기밀들도 없어졌다.

일곱 번째 사례
- 기술업 : 베르타포어(Vertafore)
- 사건의 유형 : 개인 식별 정보 2770만 건 노출
- 사건 발생 시기 : 2020년
- 사건 발표 시기 : 2020년

보험사 소프트웨어 개발사인 베르타포어에서 2770만 명의 개인 식별 정보가 유출된 사건이다. 텍사스 주 거주민들의 면허증 정보가 대거 유출되었는데, 베르타포어의 직원 한 명이 데이터 파일들을 외부 스토리지 서비스에 저장하면서 벌어진 일이었다. 저장한 것도 문제인데, 이 외부 서비스를 제대로 설정하지도 않았다. 때문에 보험회사가 참고하는 운전자들의 각종 민감 정보가 고스란히 인터넷에 노출됐다. 아무런 악감정 없이, 업무 수행을 편하게 하기 위해서 한 일이었다. 클라우드 설정 오류로 인한 대량 정보 유출은 주로 이런 식으로 일어난다. 오늘 날 가장 흔한 ‘내부자 위협’이라고 봐도 무방하다. 베르타포어는 이 사건 때문에 아직도 손해 배상 처리를 하고 있으며, 각종 집단소송도 예고되어 있다.

여덟 번째 사례
- 기술업 : 아마존
- 사건의 유형 : 기밀을 활용한 내부자 부당 거래
- 사건 발생 시기 : 2016~2018년
- 사건 발표 시기 : 2020년

아마존의 상급 직원 중 한 명은 재무부서 업무와 세금 처리 문제를 전담하며 각종 금융 정보에 접근할 수 있게 되었다. 그리고 이 정보를 가족들에게 전달함으로써 막대한 부당 수익을 거둬들였다. 이 직원은 실적 발표 보고서에 깊이 관여되어 있기도 했는데, 이 때문에 아마존이라는 회사의 재무 상태를 잘 이해하고 있었다. 그래서 아마존의 수익 공고가 있기 전 금융 정보를 남편과 공유했고, 남편은 이를 통해 성공적인 주식 거래를 진행할 수 있었다. 이런 주식 투자가 11번이나 있었고, 140만 달러가 넘는 수익을 냈다. 부부는 26개월 형과 260만 달러 벌금형을 선고받았다.

아홉 번째 사례
- 도소매 : 개럿 팝콘 샵(Garrett Popcorn Shops)
- 사건의 유형 : 기업 비밀 도난
- 사건 발생 시기 : 2019년
- 사건 발표 시기 : 2019년

시카고의 도소매 업체이자 팝콘의 아이콘인 개럿 팝콘 샵은 전 직원의 범행으로 큰 손해를 입었다. 문제를 일으킨 건 이전에 근무했던 연구 개발 국장이었는데, 근무 기간 동안 회사의 각종 기밀이 담긴 파일 5천여 개를 빼돌렸다. 각종 재료와 레시피, 제조법과 공식 등 회사에 치명적인 정보들이었다. 그리고 이 정보를 판매했다. 하지만 이 직원은 역으로 개럿 팝콘 샵을 고소한 상태다. 근무하는 동안 자신이 안전과 근무 환경에 대한 문제를 끊임없이 제기했기 때문에 회사가 보복하는 것이라면서 말이다. 진실이 무엇이든, 회사 기밀 관리 중요성을 한 번 더 부각시킨 사건이다.

열 번째 사례
- 공공 기관 : 댈러스 시
- 사건의 유형 : 실수로 인한 민감 데이터 삭제
- 사건 발생 시기 : 2018~2021년
- 사건 발표 시기 : 2021년

내부 인프라에 막대한 피해를 입힐 수 있다는 점에서는 악의적인 가진 외부 전문 해커나 선하지만 무신경한 내부 직원이나 비슷할 때가 있다. 댈러스 시의 경우 IT 담당자 한 명이 실수로 내부 민감 데이터를 다량으로 삭제한 것 때문에 해고당하는 일이 발생했다. 시 운영은 물론 경찰 수사와 관련된 중요한 데이터들이 대거 사라졌는데, 댈러스 시의 조사 결과 ‘오류의 반복’으로 발생한 일이었다고 밝혀졌다. 2018년부터 올해까지 실수하는 줄도 모르고 계속 실수를 하고 있었던 것으로, 3~4년 동안 13TB의 행정 기록들이 전부 사라졌다. 아직 ‘의도적 범행’에 대한 혐의가 다 풀린 게 아니라 조사가 계속되고는 있지만, 현재로서는 파일 전송과 관련된 업무 절차 불이행 정도만 해당될 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)