Home > 전체기사
이메일을 기반으로 하고 있는 사이버 공격, 보안 자신감 꺾는다
  |  입력 : 2019-05-31 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
온라인 신분 위장 공격, BEC 공격 등이 강세...피해자는 늘어만 가고
위장 공격은 해커 부담 낮고 효율성 높아...내부자 위협도 떠오르고 있어


[보안뉴스 문가용 기자] 이메일을 기반으로 한 사이버 공격이 빠르게 증가하고 있다. 그리고 여기에 수많은 조직들이 당하고 있다. 이와 함께 사이버 방어 수준에 대한 자신감이 전반적으로 떨어지고 있다고 한다.

[이미지 = iclickart]


클라우드 기반 이메일 관리 전문 업체인 마임캐스트(Mimecast)가 1025명의 IT 결정권자들을 대상으로 조사한 바에 의하면 “61%의 응답자가 올해 안에 이메일 공격으로 인해 피해를 볼 것으로 예상하고 있다”고 한다. 이건 막연한 두려움이 아니다. 위장 공격, 피싱 공격, 내부자 위협이 이전보다 훨씬 더 보편화되고 있기 때문이다.

뿐만 아니라 거의 대부분의 응답자(94%)가 2018년에 피싱 공격에 당한 바 있다고 답했으며, 54%는 피싱 공격 시도가 증가하는 것을 실제로 목격했다고 답했다. 절반에 가까운 수(45%)는 정교한 스피어 피싱 이메일 공격이 증가했다고 답했고, 53%는 실제로 랜섬웨어 공격에 당해 피해를 입었다고 한다. 랜섬웨어의 경우 작년에 비해 26%가 증가한 것이다. 전체 응답자의 86%는 1년 동안 마비 상태를 겪은 시간이 최소 이틀이었다고 증언하기도 했다. 평균은 3일이었다.

위장 공격과 사업 이메일 사기(BEC) 공격의 경우 이메일 기반 공격의 67%를 차지하는 것으로 나타났다. 이 공격에 당한 조직들의 73%는 “직접적인 피해를 경험했다”고 답했다. C레벨의 운영진이나 인사부 담당자, 재정부 담당자들로 위장하는 경우가 가장 많았다.

마임캐스트의 부회장인 조슈아 더글라스(Joshua Douglas)는 “공격자들이 재정부 담당자나 책임자로 위장하는 건 쉽게 예상할 수 있다”고 말한다. “돈을 노리는 공격자들이니 그럴 수밖에요. 하지만 재정부 책임자가 아니더라도, 조직 내에서 높은 권한을 가지고 있으며 광범위한 신뢰를 얻고 있는 인물이면 똑같은 ‘위조 대상’이 됩니다. 인사부 직원이나 책임자가 대표적이죠. 인사부는 월급도 관리하기 때문에 재정 쪽과 연관이 아주 없는 것도 아니고요. CEO로 위장할 수 있다면 금상첨화입니다. 가장 권력이 높은 사람이니까요.”

그렇다면 이런 식의 위장 공격은 어느 정도의 피해를 입힐 수 있을까? “위장에 성공해서 기업의 네트워크에 발을 들여놓는 데까지 성공하면, 횡적으로 움직이는 게 전혀 어렵지 않은 일이 됩니다. 그저 네트워크 상에서 해당 직원인 것처럼 운신하면 되거든요. 중요한 것 중에 하나는 위장에 성공할 경우 잘 탐지도 되지 않는다는 겁니다. 공격자를 안전하게 해주는 공격이기도 합니다.”

응답자의 40%는 “사이버 공간 상의 위장 공격 때문에 데이터 손실을 경험한 적 있다”고 답했다. 29%는 “위장 공격으로 인한 직접적인 금전 피해를 경험했다”고 답했고, 28%는 “고객을 잃기까지 했다”고 말했다. 27%는 “위장 공격 때문에 누군가는 회사를 떠나야만 했다”고 증언을 하기도 했다. 이처럼 피해를 입은 조직들 중 38%는 “데이터를 잃은 게 가장 컸다”고 첨언하기도 했다.

더글라스는 “데이터 손실이 가장 큰 피해라는 건 맞는 말”이라고 설명한다. “복구하기가 가장 어려운 것 중에 하나가 데이터입니다. 한 번 유출된 데이터는 쏟아진 물과 같아 다시 회수해서 담을 수 없습니다. 만약 경쟁사가 중요한 데이터를 가져갔다면, 그것만으로도 영원히 게임이 끝날 수도 있습니다. 고객의 데이터를 잃었다면, 고객의 신뢰를 잃고요. 고객의 신뢰라는 건 고객 손실로 직결될 수 있는 거라 역시 타격이 큽니다.”

또 하나 주목해야 할 트렌드는 내부자 위협이 커지고 있다는 것이다. 이는 순수한 실수에 의한 손실을 포함하는 것이기도 하다. “내부자 위협의 문제는, 고칠 방법이 사실 없다는 겁니다. 실수를 100% 막을 수 있는 사람이 어디 있겠습니까. 심지어 실수가 실수인지 모르는 직원들이 태반입니다. 그렇기 때문에 더 고쳐지지 않는 것이고요. 새로운 기술이 도입되기 시작할 때, 임직원의 실수를 줄이는 게 회사의 큰 과제입니다.”

실수를 줄이는 데 도움이 되는 방법으로는 보안 인식 제고 교육과 훈련이 있다. 교육과 훈련의 방법 중 가장 인기가 높았던 건 인터랙티브 영상 시청(45%), 시간과 장소에 구애받지 않는 온라인 교육(44%), 간편하게 휴대할 수 있는 각종 보안 팁 목록 프린트물 배포(44%), 1:1 보안 훈련 코스(44%)였다. 대규모 교육의 경우 효율이 크게 떨어지는 것으로 나타났다.

더글라스는 이른바 ‘마이크로트레이닝’이라는 개념을 추천한다. “작은 인원이 짧은 교육 시간을 자주 갖도록 하는 게 좋습니다. 한 번에 날 잡아서 길게 길게 교육하는 건 효과가 거의 없다고 보면 됩니다.”

3줄 요약
1. 이메일을 기반으로 한 사이버 공격, 갈수록 늘어나고 있음.
2. 특히 위장 공격과 BEC 공격이 기승을 부리고 있음. 피해 조직도 늘어나고 있는 상황.
3. 내부자 위협도 무시하기 힘든 요소. 사람의 실수를 100% 막는 게 불가능하기 때문.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)