Home > 전체기사
[주말판] 설레는 여름 휴가철에 맞는 디지털 안전 가이드
  |  입력 : 2019-06-15 12:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여행사에 대한 공격 특히 늘어날 것 예상돼...휴가철 아르바이트 공고도 위험
공항과 휴가지에서의 무료 와이파이도 위험...데이터가 돈이라는 것 인지해야


[보안뉴스 문가용 기자] 여름 휴가의 시즌이 코앞으로 다가왔다. 이미 휴가 계획을 다 세운 사람들은 실행 날짜만 손꼽아 기다리고 있겠고, 계획을 짜고 있는 사람들의 마음은 이미 지구본 위를 거닐고 있을 것이다. 해마다 찾아오는 더위에 대한 설렘이 가득한 지금, 사이버 범죄자들도 뭔가를 열심히 준비 중이다.

[이미지 = iclickart]


사이버 범죄자들이 시즌 별로 전략과 활동량을 바꾸는 건 어제 오늘 일이 아니다. 휴가철에는 가짜 여행 패키지 상품을 테마로 한 피싱 메일을 보내고, 발렌타인데이나 각종 쇼핑 시즌에는 상품권을 가지고 피해자들을 속이려 든다. 지금은 슬슬 가짜 비행기 표나 호텔 할인권 등이 등장할 때다. 그 외에 올 여름 사이버 범죄자들은 어떤 식으로 우리를 노리려 할까? 전문가들에게 물었다.

여행에서의 보안, 지나친 자신감이 문제
지난 달 IBM이 연구 보고서를 하나 발표했다. 보안에 있어서 사람들이 가지고 있는 자신감과 실제 상황이나 보안 실천 습관 사이에 심각한 차이가 있다는 내용이다. 연구에 참여한 사람들의 1/4이 “여행을 가더라도 사이버 범죄에 당하지 않을 자신감이 매우 높다”고 답했고, 37%는 “어느 정도 자신이 있다”고 했다. 자신감이 거의 없다는 응답자는 16%, 전혀 없다는 응답자는 9%에 불과했다.

그래서 IBM은 질문을 바꿨다. 여행과 관련된 습관에 대해 물었다. 이에 보안 자신감을 표현한 응답자의 24%가 “출장 중에라도 무료 공공 와이파이에 연결한다”고 답했고, 22%는 “개인적인 여행 중에 무료 공공 와이파이에 연결한다”고 답했다. 25%는 업무용 데이터 혹은 민감한 데이터가 저장된 장비를 출장 중에 가지고 다니며, 16%는 개인 여행 중에도 그렇게 한다고 했다. 보안에 대해 잘 아는 듯한 응답자의 20%는 출장 중 공공 USB 포트로 장비를 충전하고, 17%는 개인 휴가 중에 그렇게 한다고도 했다.

그 외에도 일반 사용자들의 70%(미국인 기준)가 여행 중 꽤나 위험한 행동을 취한다는 연구 결과도 있다. IBM의 글로벌 총괄인 찰스 헨더슨(Charles Henderson)은 “자신의 개인정보를 보호하는 것과, 회사의 업무 데이터를 보호하는 것 사이에 온도 차이가 존재한다”고 지적하기도 한다. 그렇기 때문에 출장 시에 더 위험한 행동을 하고, 개인여행 때는 덜하다는 것이다. “그런 차이가 존재한다는 것 자체가 인식에 구멍이 있다는 걸 뜻합니다. 그러니 여행 중에 위험한 행동을 하는 것이고요.”

계절 별로 유행 달라지는 사기꾼들, 정치적 사건도 활용
사이버 범죄자들의 주력 침투 기법은 피싱 캠페인이고, 그렇기에 어떻게든 사람들을 속이기 위해 각종 시사들을 피싱 메일에 엮어내는 건 우리가 흔히 봐온 일이다. 평창올림픽 때는 ‘올림픽 디스트로이어(Olympic Destroyer)’가 등장했고 월드컵이 열릴 때에도 사이버 공격 소식이 수반된다. 그러므로 ‘현재 가장 이슈가 되는 일’이 무엇인지 알아두는 게 피싱 공격을 막는 데에 도움이 된다. 올해 가장 큰 피싱 테마는 2020년 미국 대선일 것이라고 많은 전문가들은 예측하고 있다.

보안 업체 멀웨어바이츠(Malwarebytes)의 연구 책임자인 아담 쿠자와(Adam Kujawa)는 “정치적 사안은 늘 피싱 공격자들에게 도움이 된다”며 “사람들이 정치 얘기에 민감하고, 쉽게 이성을 잃을 뿐 아니라, 한쪽으로 치우쳐있는 경우가 많아 냉정한 판단을 못할 때가 많기 때문”이라고 설명한다.

2020년 미국 대선과 관련된 피싱 캠페인은 미국 내에서만이 아니라 미국과 밀접한 관계를 맺고 있는 모든 나라들에서 등장할 것으로 보인다. 비슷하게 우려해야 할 것은 이와 관련한 가짜뉴스와 허위 정보 유출 캠페인이다. “최근 SNS가 가짜뉴스와 허위 정보 유포를 단속하기 위해 강력한 수단들을 마련하고 있죠. 그래서 2016년과 같은 일이 더 크게 벌어지진 않을 거라고 봅니다. 그래서 정치적 공격을 시도하는 해커들도 전부 피싱이라는 방법을 사용할 거라고 봅니다.”

주요 표적은 여행사, 그리고 로열티 프로그램
이맘때 사이버 공격자들은 여행사를 표적으로 많은 공격을 실시한다. 작년 휴가철에는 매리어트 스타우드(Marriott Starwood), 캐세이퍼시픽(Cathay Pacific), 영국항공(British Airways)이 공격을 받고 정보가 대규모로 유출됐다. “여행 산업 전체가 당분간 주요 공격 대상이 될 겁니다. 석 달 안으로 또 누군가는 크게 당할 거라고 장담합니다”

여행사가 사이버 공격자들의 좋은 표적이 될 수밖에 없는 건, 여행사에 개인 식별 정보가 그득하기 때문이다. 이름, 여권번호, 운전면허 번호, 생년월일, 지불카드 정보, 로열티 번호 등 얼른 이름을 댈 수 있는 것도 여러 개다. 헨더슨은 “로열티 프로그램에 대한 사기가 특히 급증한다”고 경고한다. “고객들에게 무료로 주는 혜택이 로열티 프로그램인데, 이와 관련된 정보가 비행기 표나 가방 태그에 그대로 노출되어 있을 때가 있습니다. 이걸 사이버 범죄자들이 모아서 자신들의 무료 비행이나 무료 숙박에 활용하는 겁니다.”

게다가 이런 로열티 프로그램으로 혜택을 받는 고객들은 VIP들일 때가 많다. 여행사도 그렇게 대우한다. 그래서 이들의 신원을 꼬치꼬치 확인하지 않는다. 인증을 위한 추가 정보를 묻는 경우가 거의 없다. “사이버 범죄자들도 이런 사실을 압니다. 로열티 프로그램 번호만 대면 통과한다는 걸 말이죠.”

헨더슨은 “VIP는 절대 불편하게 해서는 안 된다는 인식이 보안 구멍이고, 사실 쉽게 메울 수 없는 경우가 많다”고 말한다. “인증 과정이 절대 불편한 것이 아니라, 안전과 사기 방지를 위해 반드시 필요한 절차라는 인식의 수준 자체가 올라가야 합니다. 로열티 프로그램과 관련해서도 마찬가지고요.” 그러면서 헨더슨은 “로열티 프로그램 사기를 여행사가 직접 실험해본다면 그 심각성을 알 수 있을 것”이라고 제안하기도 했다.

여름철 아르바이트 관련 사기
여름이면 휴가를 다니느라 바쁜 사람들도 있지만, 각종 단기 직업을 찾으려고 노력하는 사람들도 많다. 보안 업체 베이드 시큐어(Vade Secure)의 수석 솔루션 아키텍트인 아드리엔 젠더(Adrien Gendre)는 “일을 구하는 급박한 마음에 조금의 냉정을 더할 필요가 있다”고 제안한다. “사이버 공격자들이 가짜 회사를 만들어 사람 구한다는 공고를 낸 뒤 정보를 수집합니다. 물론 이런 일은 1년 내내 일어나긴 하지만, 여름 휴가철과 연말에 가장 왕성하게 나타납니다.”

대범하게도 꽤나 크고 유명한 기업에서 사람을 모집하는 것처럼 사기를 치는 일당들도 있다. 이런 회사들은 지원 양식이 별도로 정해진 경우가 많은데, 사기꾼들은 이를 통해 지원자들이 가짜 지원서 양식을 다운로드 받도록 유도한다. 물론 멀웨어가 가득한 지원서다. 또한 지원자를 모집한다는 내용의 스팸 이메일을 뿌려대는 경우도 있다. 여기에 혹해 사용자들이 메일을 열고 악성 링크를 클릭하는 순간 피싱 페이지로 안내된다.

“그래서 이런 때에는 링크드인과 관련된 피싱 공격이 많이 발생하죠. 링크드인 플랫폼에서 자주 이슈가 되는 주제들을 피싱 이메일 제목에 섞어 넣기도 하고, 유명인의 링크드인 프로필로 보이는 것을 내용 속에 삽입하기도 합니다. 이런 여러 방식으로 사용자들로부터 얻어내는 건 각종 민감한 정보입니다.”

젠더는 “스스로 논리적이고 비평적으로 생각하는 습관을 키워야 한다”고 주장한다. “사람을 모집한다는 내용으로 사기를 치려는 자들의 공통점은, 굉장히 좋은 조건을 제시한다는 겁니다. 수당이 너무 높다거나, 할 일이 너무 쉽다거나, 하는 식이죠. 그런데 정상적인 고용주라면 사람들에게 쉽게 돈을 줄 리가 없어요. 돈을 벌어본 사람들은 돈을 쉽게 안 써요. 그걸 생각하고 직업을 구했으면 합니다. 너무 좋은 조건이면 의심부터 해보세요.”

또한 젠더는 “사람을 즉시 구한다거나 빠르게 회신하기를 바라는 공고도 조심하라”고 주의를 준다. “물론 경쟁자가 많으니까 발 빠르게 움직여야 하는 건 맞습니다만, 피싱 공격자들이 구직자들의 이런 급한 심리를 노린다는 것도 잊지 마셔야 합니다.”

와이파이를 주의하라
원래 사용하던 통신 기지국과 통신망에서 멀리 떠날 수밖에 없는 여행객들은 와이파이에 항상 목이 마르다. 그렇기 때문에 무료로 연결만 할 수 있다면 그 기회를 놓치지 않는다. 공격자들은 이런 심리를 잘 알고 있다. IBM의 헨더슨은 “최근 공격자들은 자신들이 직접 마련한 와이파이 핫스팟이나 스팅레이(sting ray : 데이터 가로채기를 목적으로 한 가짜 기지국)를 공항이나 여행지에 가져와 사용자들을 유혹하기도 한다”고 말한다.

“난민들도 와이파이를 제일 먼저 찾는 시대니 말 다했죠. 범죄자들이 와이파이를 찾아 헤매는 여행자들을 노리지 않을 이유가 없습니다. 공항이 특히 범죄자들이 눈을 번뜩이는 곳입니다. 비행기를 기다리는 사람들이 선택하는 것도 와이파이, 비행기에서 막 내린 사람들이 먼저 찾는 것도 와이파이입니다. 스마트폰 배터리 충전도 늘 급박한 문제죠. 보이는 USB 충전 포트마다 의심없이 꼽고 보는 사람들을 쉽게 찾을 수 있습니다.”

멀웨어바이츠의 쿠자와는 악성 및 가짜 와이파이만이 문제가 아니라고 경고한다. “공공 인터넷도 문제가 될 수 있습니다. 자동으로 와이파이와 연결하는 기능이 켜져 있다면 공공 인터넷과 연결시켜주는 정상 무료 와이파이도 심각한 보안 구멍이 됩니다. 그러니 공항 맥도널드나 스타벅스에 있는 와이파이도 조심해야 합니다. 같은 매장에 앉아 있는 해커에게 귀장한 정보를 넘겨줄 수 있거든요. 여행할 땐 자동 와이파이 연결을 꺼두시는 게 좋습니다. 아니면 에그를 하나 마련해 가지고 다니 거나요.”

이동 중에도 표적이 된다
IBM의 연구에 참여한 사람들 중 절반 이상이 “신용카드 정보나 그 외 민감한 정보가 여행 중에 도난당할 것을 염려하고 있다”고 답했다. 집에 있을 때도 비슷한 걱정을 한다는 비율은 31%였다. 또한 40%는 여행 중 디지털 데이터를 보호하기 위해 많은 노력을 기울인다고 답했고, 32%가 어느 정도 노력한다고 했으며, 19%가 별 다른 조치를 취하지 않는다고 했다.

헨더슨은 이런 결과에 대해 “자신이 가지고 있는 데이터가 가치를 가지고 있다는 것, 즉 돈과 같다는 사실을 사람들이 아직 인지하지 않고 있는 것”이라고 분석한다. “사이버 범죄자들이 왜 돈을 그렇게 벌겠어요? 데이터가 돈이니까 그런 겁니다. 정부 기관의 최고 기밀 정보도 돈이 되지만, 평범한 일반인의 생년월일도 돈이 된다는 겁니다. 그걸 사용자들이 알고 그 돈을 지키기 위해 애써야 합니다. 이동 중에만 갑자기 데이터가 귀하게 느껴지는 것으로는 충분치 않습니다.”

쿠자와는 “그래서 여행길에서는 선불 신용카드를 사용하는 게 좋다”고 권장한다. “심지어 보안과 프라이버시에 민감하거나 신원을 반드시 숨겨야 하는 사람들은 여행지에서 선불 핸드폰을 사용하기도 합니다. 여행자가 다 그렇게 해야 하는 건 물론 아닙니다만, 정말 걱정이 된다면 할 수 있는 일들이 있다는 겁니다.”

멀웨어바이츠는 “여행에 들고 갈 장비를 미리 집에서 검사하고, 데이터를 다 지워내고 가져갈 것”을 권장한다. “어차피 여행 기간 동안 사진과 영상도 많이 찍을 거잖아요. 그러니 장비를 가볍게 해서 가져가는 게 좋습니다. 또한 여행객의 모바일 장비를 노리는 소매치기도 많이 활동한다는 걸 기억해야 합니다. 데이터를 집에 두고 갔을 때 장비를 소매치기 당한다고 하더라도 데이터는 안전할 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향