보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사

입력 : 2024-03-28 11:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
누구나 알고 있는데도 모른 척 하는 것이 하나 있는데, 바로 인간이 가장 큰 보안 구멍이라는 것이다. 하지만 인간만큼 다루기 힘든 것도 없기에 우리는 그 부분을 잘 검사하지 않는다. 검사하지 않는다고 해서 문제가 사라지는 것도 아닌데 말이다.

[보안뉴스= 메리 E 셰틀릿 회장, Transworld Data] 2022년에 발생한 보안 사고의 74%는 인간과 인간 사이 상호작용으로부터 비롯됐다고 버라이즌(Verizon)은 발표했었다. 그래서 많은 기업들이 회사의 보안 상태와 취약점을 점검할 때 소셜 엔지니어링과 관련된 항목들도 포함시키기 시작했다. 사용자들이 보안 취약점으로서 얼마나 작용하는지를 확인하기 시작한 것이다. 여기까지는 좋다. 그런데 임직원 중 누군가가 정말로 취약한 행동 패턴을 가지고 있다는 사실을 알게 된 후의 조치가 그리 큰 의미를 가지고 있지 않은 것으로 보인다.

[이미지 = gettyimagesbank]


사실 실질적인 조치라는 측면에서 문제가 나타나고 있다는 건, 충분히 이해가 가는 현상이다. 왜냐하면 누군가의 잘못을 짚어내고 수정한다는 건 대단히 어려운 일이기 때문이다. 말하는 사람이나 듣는 사람 모두 불편해지기 쉽다. 게다가 CIO들이나 보안 책임자들 중 아직 적잖은 사람들이 ‘소셜엔지니어링 감사’를 불필요한 자원 낭비로 여기고 있기도 해서 조치를 취한다는 건 더 어려운 일이 된다. 모의 해킹 시험을 하는 것만으로도 충분하다고 생각하는 사람들이 현장에 그득하다.

하지만 절대 그렇지 않다. 일반적인 IT 보안 기능 감사, 네트워크 경계 검사, 모의 해킹, 취약점 실험 등을 빠짐없이 하는 것도 중요하지만, 이런 전형적인 보안 검사들은 보통 1년에 한 번 진행한다. 현재의 IT 환경이 어떤 상태에 있는지 입체적으로 볼 수 있게 해 주지만 인적 요소를 빼먹는다. 중요하지만 구멍이 존재하는 방식이라는 것이다. IT 기술에서 인간이라는 요소를 간과하고 이야기할 수 있는 시대가 지나간 것은 오래 전의 일이다.

보안 전문가이자 유명 해커인 케빈 미트닉(Kevin Mitnick)은 이런 현상에 대해 다음과 같이 설명한 적이 있다. “무작위로 비밀번호를 대입하는 방식으로 공격하던 사람들이 이제 속임수를 동원해 사용자들이 직접 그 비밀번호를 실토하게끔 만들고 있다. 이들은 사람의 심리를 잘 이해하고 있어 신뢰 관계를 먼저 구축하고 더 돈독히 함으로써 비밀번호 정도는 공유해도 괜찮다는 인식을 심어준다. 이를 소셜엔지니어링 공격이라고 하며, 여기에 넘어간 사람은 사실상 회사 내부에 침투한 해커나 다름없는 존재가 된다.”

피싱 공격의 경우 일년에 수억 번씩 발생하는, 지겹도록 많이 보는 유형의 위협이다. 주로 피해자의 상사나 동료, 친구 등으로부터 발송된 메일처럼 꾸며져 있다. 얼른 볼 때는 발송자가 친숙하다는 것이다. 그런 메일에는 으레 첨부파일이 있고, 사람들은 발송자가 아는 사람이니 별 의심없이 이를 다운로드 받아 열어본다. 그리고 거기서부터 온갖 종류의 멀웨어들이 쏟아져 들어와 네트워크 전체로 퍼진다. 이 간단한 공격 시나리오가 일년에 무수히 많이 시도되는 건 잘 통하기 때문이다. 아무리 보안이 삼엄한 곳이라도 내부 인원 딱 한 명이 이런 시도에 걸려들면 그 네트워크는 순식간에 점령된다.

피싱만이 위험한 건 아니다. 임직원들이 의도적으로 내부 기밀을 훔쳐내는 경우는 비일비재하다. 지적재산을 가지고 달아나 창업을 하고, 고객 명단을 가지고 경쟁사에 비싼 값에 파는 사고는 흔히 일어난다. 한 회사에서 오래 근무한 사람들이라면 별별 ID와 비밀번호를 다 알고 있는 경우가 대단히 많고, 이런 사람들을 통해 안전히 보관되어야 할 정보가 외부로 새나가기 일쑤다. 이 모든 것이 최첨단 보안 기술을 한 순간에 무력화시키는 인적 요소다. 그런데도 인적 요소를 점검하는 게 시간 낭비일까?

보안 구멍, 어떻게 찾는가
기계와 기술들을 위주로 감사를 진행할 경우, 좋은 성적표를 받는 게 그리 어려운 일은 아니다. 어쩌면 IT 담당자들은 좋은 성적표를 받는 노하우가 쓸모없게 되는 것을 원치 않아 인적 요소마저 평가한다는 개념을 거부하고 있는 것인지도 모른다. 취약점이 나온다 하더라도 기계에서 나오면 혼자 가서 야근하면서 고칠 수 있지만, 사람에게서 나오면 어떻게 해야 하는가? IT 담당자들의 그 고민을 모르는 바 아니나, 버젓이 존재하고 있는 구멍이 검사하지 않는다고 해서 없어지는 건 아니다.

소셜엔지니어링 감사를 제공하는 업체 중 하나인 KPMG는 “결국 소셜엔지니어링 감사라는 건 보안 교육이 얼마나 잘 되어 있고 보안 인지 수준이 어느 정도인지 평가하는 것”이라고 말한다. “기업의 특정 네트워크 영역에서 처리되는 일들이 무엇인지 정보를 수집하고, 그러한 일들 중 인증 없이 진행이 가능한 것에 무엇이 있는지 확인하며, 일부러 특정 임직원을 속이기도 하고, 심지어 휴지통도 검사합니다. 당연히 피싱 공격도 모의로 실행하고, 감염된 파일이 발견될 경우 분석하기도 합니다.”

보안 구멍, 어떻게 막는가
소셜엔지니어링 보안 구멍들이 탐지되었다면 막는 작업을 실시해야 한다. 먼저는 찾아낸 결과를 문서화 하는 작업을 진행해야 한다. 어디서 어떤 구멍이 발견됐고, 어떤 공격에 취약한지 등을 상세히 기록으로 남겨야 한다. 그래야 주기적으로 점검을 이어갈 수 있다. 또한 취약한 부분이 발견된 부서들을 목록으로 만들어 가지고 있으면 이후 점검과 확인 작업이 좀 더 수월해질 수 있다.

문제는 이게 일종의 블랙리스트처럼 여겨질 수 있다는 것이다. 이 목록을 가지고 회사가 불이익을 주기 시작한다면 보안을 강화하자고 시작한 일이 범인 색출 작업으로 귀결되며 내부 분위기는 급격히 나빠지기 시작한다. 문서화 하고 목록화 한다고 했을 때 기업 운영진과 보안 담당자의 책임은 더욱 막중해진다. 이 문서화와 목록화 작업은 더 나은 환경을 만들기 위함을 기억하는 게 중요하다. 이들을 범인 취급하는 게 너무나 큰 유혹일 것이기 때문에 미리 경고를 해둔다.

그렇다고 이 문서와 목록을 사업 기밀로 취급할 수는 없다. 당사자들도 자신들이 취약한 구멍이라는 걸 알아야 한다. 알지 못한 상태에서라면 그 어떤 교육 효과도 기대할 수 없다. ‘당신이 이번 점검에서 보안 구멍이라는 사실이 드러났습니다’라고 알려주되 어떻게 고쳐야 하는지도 같이 짚어주는 게 중요하다. 사람에 따라 방어적으로 나오거나 도리어 공격적으로 거세게 나오는 경우가 있을 것이다. 당신이 블랙리스트에 올라간 게 아니라는 걸 알리고 안심시켜야 한다. 하지만 향후 사건이 발생했을 때 당사자에게 책임이 아주 없지는 않을 수 있다는 경고도 같이 해야 한다. 이 단계에서 많은 ‘소통의 기술’이 필요하다.

소셜엔지니어링 감사를 진행할 때 다음과 같은 것을 기억하면 도움이 된다.
1) 소셜엔지니어링 감사 결과는 보안이나 IT 담당 부서가 끌어안고 감당해야 할 것이 아니다. 이상하게 보안 문제라고 하면 기계에서 나온 것이나 사람에게서 나온 것이나 모두 IT 담당자 혹은 보안 담당자에게 떠맡기려 하는데, 이런 문화 때문에 앞장서서 소셜엔지니어링 점검을 해야 하는 사람들이 이를 기피하게 된다. 사람이 있는 곳이라면 모든 부서가 협조해야 하고 참여해야 하며 결과에 대한 책임을 배분해야 한다.

그러기 위해서는 소셜엔지니어링 관련 감사를 진행할 때 꼭 보안 담당자만이 아니라 각 부서에서 차출된 인원들이 여러 사람을 만나 상담하거나 검사하는 일을 맡도록 하는 게 좋다. 즉 소셜엔지니어링 검사를 위한 TF를 구성하고, 여기에 여러 부서 사람들을 다양하게 모집하라는 것이다. 그렇게 직접 참가하고 보안의 실상을 알게 됐을 때, 이 사람들이 보안 전도사 역할을 할 수 있다.

2) 사실 소셜엔지니어링 감사는 1년에 한 번, 혹은 분기별로 한 번 검사하는 것으로는 그 효과를 제대로 보기 어렵다. 사람이 언제 어디서 어떤 계기로 보안 구멍이 될지 예측할 수 없기 때문이다. 소셜엔지니어링 감사라는 것의 목적이 보안을 강화하는 것이므로, 사실은 수시로 진행하는 것이 좋다. 또한 어찌보면 보안 교육과도 일맥상통하는 바가 있으니, 보안 담당자로서는 늘상 하는 일, 매일의 업무 가운데 녹아들어가 있는 일로 여기는 것이 좋다. 이렇게 접근한다는 것을 경영진도 알고 있으면 더 좋다.

3) 여러 번 강조하지만 소셜엔지니어링 감사의 가장 큰 목적은 다른 무엇보다 보안 강화임을 반드시 기억해야 한다. 참여하는 모든 사람이 이걸 인지해야 하고, 따라서 수시로 강조해도 과하지 않다. 취약한 ‘사람’을 찾는다는 형태를 가지고 있기 때문에 사람에 초점이 맞춰질 수 있는데, 그렇게 되는 순간 소셜엔지니어링 감사의 목적은 없는 것이 된다. 이것을 기억하고 있는 상태에서 문제에 접근하느냐 아니냐는 큰 차이를 만든다.

누군가 기밀이 섞인 문서를 쓰레기통에 버렸는데 그게 감사에 걸렸다? 그러면 당사자를 찾아내야 한다. 왜냐하면 그런 실수가 반복되면 안 되기 때문이다. 다만 그 작업은 은밀하게 진행되어야 한다. 회사 공지 사항에 올리고 사내 게시판에 올려서 사람을 찾아 망신을 주면 안 된다. 또한 회사 차원에서는 그런 일이 발생하지 않도록 문서 세절기를 좀 더 설치해 배치함으로써 후속 조치를 책임감 있게 치러야 한다. 요는, 당사자와 회사가 같이 문제를 해결하는 방향으로 나아가야 한다는 것이다. 그래야 사람이 위축되지 않고 쓸데없이 자기 방어를 하느라 에너지를 허비하지 않게 된다.

4) 해결책을 마련할 때, 사용자들의 불편을 최소화 하는 방향으로 가야 한다. 그게 장기적인 해결책이 되기 때문이다. 감사가 끝나고 결과를 통보받은 직후 대부분의 사용자들은 자신들의 새로운 모습을 보여주려 노력한다. 보안에 철저해지고, 보안 교육 효과도 높아진다. 하지만 그것도 잠시다. 새로운 보안 장치나 정책들이 일상 업무를 과도하게 방해한다거나, 너무 불편하면 그들은 다시 예전으로 돌아간다. 업무를 원활하게 하는 게 언제나 우선순위에서 1위를 차지할 수밖에 없는 게 사람들의 본성이다. 이 부분을 존중해주면서 보안을 강화하는 방법을 마련하는 게 진짜다.

예를 들어 생산 설비가 있는 곳의 서버 케이지가 불안한 상태라면 어떻게 해야 할까? 잠금장치를 새롭게 마련하고 감시카메라를 설치해야 한다. 드나드는 사람들마다 이름과 일시를 적어내라고 요구하면 조만간 흐지부지 된다. 특정 컴퓨터가 계속 켜져 있어야 하는데, 해당 컴퓨터 담당자도 따로 없고 해서 공격의 통로가 될 수 있는 상황이라면 어떨까? 근처 자리에 앉은 사원을 담당자로 지정하는 게 아니라 자동화 모니터링 솔루션을 설치해야 한다.

글 : 메리 E 셰틀릿, 회장, Transworld Data
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)