Home > 전체기사

2019년 가장 큰 피해 일으킨 건 BEC 공격...막으려면?

  |  입력 : 2020-03-24 12:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
FBI의 집계 현황...2019년 가장 큰 피해 일으킨 사이버 공격은 BEC
키보드를 가진 직원들 모두 최전선에 있는 것과 마찬가지...그에 맞는 훈련 필요


[보안뉴스 문가용 기자] 2019년 경제적 피해를 가장 크게 준 사이버 공격은 기업 이메일 침해(BEC) 공격이라고 FBI가 발표했다. 작년 집계된 피해액만 17억 달러 규모에 이른다고 한다. 도요타는 3700만 달러를, 니케이는 2900만 달러를, 텍사스의 한 교육구는 2300만 달러를 단 한 번의 BEC 공격에 잃었다. 전부 지난 6개월 안에 일어난 일이다.

[이미지 = iclickart]


BEC 공격은 취약점 익스플로잇 등 기술적 행위를 통해 구현되기도 하지만, 이는 극히 소수고 거의 대부분은 사람을 속이는 것을 주 무기로 삼고 있다. ‘인간이 가장 취약하다’는 정보 보안의 진리를 적극 악용하는 것이다. 따라서 불가항력적으로 당할 수밖에 없는 경우는 거의 없다. 보안 업계는 다음과 같은 것들을 권장하고 있다.

1) 최전선에서 벌어지는 일을 이해하라 : BEC 공격에 대한 방어의 최전선에는 키보드가 있다. 보안 업체 디지털 셰도우즈(Digital Shadows)의 수석 엔지니어인 리차드 골드(Richard Gold)는 “키보드를 가지고 업무를 한다면 누구나 BEC 방어의 최전선에 있는 것”이라며 “조직이 최전선으로 인력을 보내면서 교육도 하지 않으면 말도 안 되는 것”이라고 말한다. “이론 교육은 물론 실전과 같은 훈련을 조직 차원에서 준비하고 진행해야 합니다. BEC 공격에서만큼은 각 직원들 하나하나가 모두 최전방에 배치된 것과 같습니다.”

이에 대해서는 인포메이션 시큐리티 포럼(Information Security Forum)의 회장인 마크 채플린(Mark Chaplin)도 이에 동의한다. “최전방에 있지만 최후방에 있기도 합니다. 만약 여러 보안 장치들이 겹겹이 마련되어 있지 않다면 말이죠. 그 어떤 지휘관도 전투 상황에서 부대를 한 라인으로 운영하지 않습니다. 최전방이 최후방이 되지 않도록 준비를 해야 합니다. 개개인의 실수나 부주의만 질책하는 방향으로는 아무 것도 이루지 못합니다.”

2) 최전선은 최전선인데 한 가지에만 집중할 수 없다 : 직원들이 지키고 있는 최전선은 실제 전선과는 다르다. 출퇴근을 하며, 다른 생산성 사업을 동시에 진행해야 하기 때문이다. “주어진 임무에 대한 마감을 맞춰야 하고, 퇴근해서는 가족들과의 일도 돌봐야 합니다. 앞에 있는 적만 주시할 수 없고, 따라서 필연적으로 흐트러지는 순간이 있을 수밖에 없습니다. 약점이 전혀 없는 상태로 매 순간을 유지할 수 있는 인간은 있을 수 없습니다.” 채플린의 설명이다.

골드는 “공격자들이 이러한 부분을 노리는 데에 점점 더 익숙해지고 있다”고 경고하기도 한다. “심리학 전문가들이 되고 있어요. 사람들을 어떻게 공략해야 더 많은 실수를 유발할 수 있는지 꿰고 있죠. 보안 전문가라고 하는 사람들도 간단한 사이버 공격에 종종 당하기도 하니, 공격자들이 얼마나 뛰어난지 알 수 있죠.”

3) 주요 공격 벡터를 간과하지 않는다 : “대부분의 조직들이 이메일을 기반으로 한 사이버 공격에 대한 교육을 충실하게 진행합니다. 시뮬레이션 피싱 공격도 함으로써, 훈련도 빼먹지 않는 편이죠. 문제는 이런 교육과 훈련이 ‘데스크톱 이메일 애플리케이션’에 주로 초점이 맞춰져 있다는 겁니다.” 보안 업체 룩아웃(Lookout)의 보안 솔루션 국장인 크리스 하젤튼(Chris Hazelton)의 설명이다. “아직도 모바일 환경에 대한 내용은 교육과 훈련 과정에 포함되지 않을 때가 많습니다. 있더라도 간략히만 하고 넘어가죠.”

NCC 그룹의 지불 보안 담당자인 톰 아놀드(Tom Arnold)도 같은 내용을 지적한다. “PC용 애플리케이션에서 나타나는 피싱 공격의 징후들이나 표시들은 모바일 애플리케이션에서 눈에 잘 띄지 않거나 아예 나타나지 않을 때가 많다”고 주의를 준다. “전혀 다른 교육이 진행되어야 합니다. PC와 모바일 환경, 별개로 말이죠. 둘은 같아 보이지만 보안의 측면에서는 완전히 다르다고도 볼 수 있습니다.”

4) 인증 장치, 충분한가? : BEC 공격은 여러 가지 형태를 가지고 있다. 하지만 ‘인증 과정’을 통과해야 한다는 점에 있어서는 거의 대부분 비슷하다. 사이버 보안 전문가들은 바로 이 지점에서 방어를 이뤄내야 한다고 강조한다. 골드는 “BEC 공격은 결국 인증 장치가 부실하기 때문에 발생하는 것”이라며 “엄청난 금액이 오가는 일을 처리할 때 이메일로만 한다는 건, 결국 이메일 인증만이 유일한 인증 장치가 된다는 뜻”이라고 말했다.

“언뜻 생각해도 말이 되지 않는 일이죠. CEO의 요청이라고 하더라도 일정 금액이 넘어간다면 다른 인증 시스템을 거치도록 정책을 정해야 합니다.” 물론 이러한 정책이 정해질 경우 일반 송금 및 금전 거래 업무가 불편하게 될 수도 있다. 불편함은 직원들로 하여금 ‘해킹’ 즉 보다 간편한 편법을 발견하도록 유발하고, 이 구멍은 큰 사고로 이어질 수 있다. “따라서 마찰을 최대한 적게 하는 정책을 도입해야 합니다. 안전과 용이성을 동시에 생각하라는 것이죠.”

3줄 요약
1. 2019년 가장 큰 피해를 일으킨 건 BEC 공격.
2. 심리적 요소가 많이 포함된 공격이기 때문에 실수만 줄이면 막을 수 있음.
3. 키보드가 최전선임을 이해하고, 송금 관련 인증 정책 충분한지 검토하는 게 핵심.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)