2019.01.28

윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소'

Byron Connolly | CIO Australia
시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.  
 
ⓒCredit: Dreamstime

코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다. 

최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.  

크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다. 

“귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다. 

크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다.

코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다. 

피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원들에게도 알렸다고 코너리는 말했다. 

코너리는 자신의 팀이 해킹 활동 중 사용하는 두 가지 방법을 소개했다. 첫 번째는 악성 소프트웨어와 다른 아이템, 예컨대 사진 같은 것을 함께 사용하는 것이었다.

두 번째 방법은 기업들이 보다 선호하는 방식으로, 컴퓨터에 접근할 수 있는 키로거(keylogger)를 보내는 것이었다. 

코너리는 “가장 좋은 예는 은행이다. 우리가 목표로 삼는 것은 은행의 고객이 아니다. 고객을 대상으로 삼는 건 느리고 바보 같은 짓이다. 그래서 해커는 은행 자체를 겨냥한다. 해커가 가장 원하는 건 눈에 띄지 않는 것이다. 그래서 깨끗한 컴퓨터, 깨끗한 IP 주소를 사용한다”고 이야기했다. 

‘캔디루’는 써드파티에서 관리하는 서비스 제공자나, 기업이 이용 중인 보안 솔루션이 공격 신호를 감지하면 이를 모니터링할 수 있다. 상기의 금융서비스 기관에서는 아웃룩 365와 마임캐스트 클라우드 기반 이메일 보안 소프트웨어를 사용하고 있었다. 

그러나 마임캐스트 솔루션은 전체 (스캠) 이메일 중 18%만을 잡아냈다고 코너리는 말했다. 

그는 “(위 금융서비스 업체의) 써드파티 관리 서비스 제공자는 이 이야기를 듣고도 아무것도 하지 않았다. 아니, 하긴 했다. 업체에 전화해 별일 아니라고, 걱정할 것 없다고 얘기한 것이다”며 다음과 같이 말을 이었다. 

“하지만 우리가 확인해 본 결과, 이 링크를 클릭한 사람 중 1/3만이 올바른 방식으로 이에 대처했다. 이 기업은 사고 대응 프로그램도, 사고 보고 체계도, 관리 서비스나 그 기저에 있는 기술도 완전히 유명무실한 상태였다. 이 테스트를 통해 우리는 이 기업 조직 구조상의 상당한 갭이 존재함을 알게 되었다. 문제는 이 기업이 100억 달러 이상의 자금을 운용하며 5만 명 이상의 회원을 가진 곳이라는 것이다. 게다가 미국에는 이런 기업이 한두 곳이 아니다.”
 
사이버 교육만으로는 부족하다
코너리는 많은 기업이 운영하는 직원용 사이버보안 교육 프로그램에 부족한 부분이 있다고 지적했다. 

그는 “가장 큰 문제는 대부분 교육이 이렇게 시작한다는 것이다. ‘모르는 사람이 보낸 링크는 클릭하지 마시고요, 링크가 어디서 온 건지 확인하신 후에 메시지 내용이 급한 내용인지 확인하세요.’ 우리가 (피싱 테스트를 위해) 보낸 이메일 내용이 무엇이었는가? 금요일까지 설문조사에 응답하면 공짜 영화 티켓을 주겠다는 내용 아니었는가? 심지어 우리는 HR담당 이사의 이름조차 틀리게 썼다. 하지만 실제 해커들은 이런 실수조차 저지르지 않는다. 우리가 이름 철자를 틀리게 쓴 건 힌트를 주기 위함이었다”고 설명했다. 

오늘날 기업들이 사이버보안 교육이라며 실시하는 것은 그저 수상한 이메일을 주의하라고 경고하는 것뿐, 실생활에서 이를 어떻게 실천으로 옮겨야 할지는 알려주지 않은 채로 1~2년씩 추가적인 교육 없이 지나가 버린다고 코너리는 말했다. 

그는 “최근 데이터 유출 사건에 터져 곤경을 치르고 있는 한 기업의 보안 교육 실태를 점검해 보았다. 이 기업은 새로운 사이버보안 프로세스에 수백만 달러의 돈을 투자해 놓고도 결국 해커를 당해내지 못했다. 직원들이 서로 보안 이슈에 대해 커뮤니케이션하지 않고, 공격을 관리하고 대응할 만한 프로세스가 마련되어 있지 않았기 때문이다”고 이야기했다. 

그는 중국의 사이버 스파이 조직인 APT10 이 조직 내 이러한 커뮤니케이션의 부재를 악용한다고 말했다. APT10은 주로 IT 서비스 공급자들을 노려 MSP와 고객들의 IP 데이터에 접근한다. 

“APT10이 한 짓은 다음과 같다. 한 기업의 지메일 계정에 접근하여 한 계정 내에 또 다른 이메일 주소를 만들면 결국 다른 사람들에게도 전부 접근할 수 있게 된다. 다시 말해 공격을 당하면서도 이것이 공격이라는 사실조차 인지하기 어렵고 또 알리기도 어렵다는 뜻이다”고 그는 전했다. 

이어서 “해커들이 즐겨 사용하는 또 다른 방법은 직원들에게 파일을 보내는 것이다. 파일을 받은 직원은 이 파일을 보고 ‘대체 무슨 일이지? 나는 파일을 받은 적이 없는데’라며 답변하게 된다. 문제는 이 경우 서로 간에 대화가 오갔기 때문에 시스템이 두 사람 사이를 안전하고 신뢰할 수 있는 관계로 파악한다는 것이다. 일단 이렇게 되면 해커는 내부적으로 원하는 대로 파일을 보내고, 바이러스나 악성코드를 이메일에 침입시킬 수 있다”고 그는 덧붙였다. ciokr@idg.co.kr
 



2019.01.28

윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소'

Byron Connolly | CIO Australia
시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.  
 
ⓒCredit: Dreamstime

코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다. 

최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.  

크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다. 

“귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다. 

크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다.

코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다. 

피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원들에게도 알렸다고 코너리는 말했다. 

코너리는 자신의 팀이 해킹 활동 중 사용하는 두 가지 방법을 소개했다. 첫 번째는 악성 소프트웨어와 다른 아이템, 예컨대 사진 같은 것을 함께 사용하는 것이었다.

두 번째 방법은 기업들이 보다 선호하는 방식으로, 컴퓨터에 접근할 수 있는 키로거(keylogger)를 보내는 것이었다. 

코너리는 “가장 좋은 예는 은행이다. 우리가 목표로 삼는 것은 은행의 고객이 아니다. 고객을 대상으로 삼는 건 느리고 바보 같은 짓이다. 그래서 해커는 은행 자체를 겨냥한다. 해커가 가장 원하는 건 눈에 띄지 않는 것이다. 그래서 깨끗한 컴퓨터, 깨끗한 IP 주소를 사용한다”고 이야기했다. 

‘캔디루’는 써드파티에서 관리하는 서비스 제공자나, 기업이 이용 중인 보안 솔루션이 공격 신호를 감지하면 이를 모니터링할 수 있다. 상기의 금융서비스 기관에서는 아웃룩 365와 마임캐스트 클라우드 기반 이메일 보안 소프트웨어를 사용하고 있었다. 

그러나 마임캐스트 솔루션은 전체 (스캠) 이메일 중 18%만을 잡아냈다고 코너리는 말했다. 

그는 “(위 금융서비스 업체의) 써드파티 관리 서비스 제공자는 이 이야기를 듣고도 아무것도 하지 않았다. 아니, 하긴 했다. 업체에 전화해 별일 아니라고, 걱정할 것 없다고 얘기한 것이다”며 다음과 같이 말을 이었다. 

“하지만 우리가 확인해 본 결과, 이 링크를 클릭한 사람 중 1/3만이 올바른 방식으로 이에 대처했다. 이 기업은 사고 대응 프로그램도, 사고 보고 체계도, 관리 서비스나 그 기저에 있는 기술도 완전히 유명무실한 상태였다. 이 테스트를 통해 우리는 이 기업 조직 구조상의 상당한 갭이 존재함을 알게 되었다. 문제는 이 기업이 100억 달러 이상의 자금을 운용하며 5만 명 이상의 회원을 가진 곳이라는 것이다. 게다가 미국에는 이런 기업이 한두 곳이 아니다.”
 
사이버 교육만으로는 부족하다
코너리는 많은 기업이 운영하는 직원용 사이버보안 교육 프로그램에 부족한 부분이 있다고 지적했다. 

그는 “가장 큰 문제는 대부분 교육이 이렇게 시작한다는 것이다. ‘모르는 사람이 보낸 링크는 클릭하지 마시고요, 링크가 어디서 온 건지 확인하신 후에 메시지 내용이 급한 내용인지 확인하세요.’ 우리가 (피싱 테스트를 위해) 보낸 이메일 내용이 무엇이었는가? 금요일까지 설문조사에 응답하면 공짜 영화 티켓을 주겠다는 내용 아니었는가? 심지어 우리는 HR담당 이사의 이름조차 틀리게 썼다. 하지만 실제 해커들은 이런 실수조차 저지르지 않는다. 우리가 이름 철자를 틀리게 쓴 건 힌트를 주기 위함이었다”고 설명했다. 

오늘날 기업들이 사이버보안 교육이라며 실시하는 것은 그저 수상한 이메일을 주의하라고 경고하는 것뿐, 실생활에서 이를 어떻게 실천으로 옮겨야 할지는 알려주지 않은 채로 1~2년씩 추가적인 교육 없이 지나가 버린다고 코너리는 말했다. 

그는 “최근 데이터 유출 사건에 터져 곤경을 치르고 있는 한 기업의 보안 교육 실태를 점검해 보았다. 이 기업은 새로운 사이버보안 프로세스에 수백만 달러의 돈을 투자해 놓고도 결국 해커를 당해내지 못했다. 직원들이 서로 보안 이슈에 대해 커뮤니케이션하지 않고, 공격을 관리하고 대응할 만한 프로세스가 마련되어 있지 않았기 때문이다”고 이야기했다. 

그는 중국의 사이버 스파이 조직인 APT10 이 조직 내 이러한 커뮤니케이션의 부재를 악용한다고 말했다. APT10은 주로 IT 서비스 공급자들을 노려 MSP와 고객들의 IP 데이터에 접근한다. 

“APT10이 한 짓은 다음과 같다. 한 기업의 지메일 계정에 접근하여 한 계정 내에 또 다른 이메일 주소를 만들면 결국 다른 사람들에게도 전부 접근할 수 있게 된다. 다시 말해 공격을 당하면서도 이것이 공격이라는 사실조차 인지하기 어렵고 또 알리기도 어렵다는 뜻이다”고 그는 전했다. 

이어서 “해커들이 즐겨 사용하는 또 다른 방법은 직원들에게 파일을 보내는 것이다. 파일을 받은 직원은 이 파일을 보고 ‘대체 무슨 일이지? 나는 파일을 받은 적이 없는데’라며 답변하게 된다. 문제는 이 경우 서로 간에 대화가 오갔기 때문에 시스템이 두 사람 사이를 안전하고 신뢰할 수 있는 관계로 파악한다는 것이다. 일단 이렇게 되면 해커는 내부적으로 원하는 대로 파일을 보내고, 바이러스나 악성코드를 이메일에 침입시킬 수 있다”고 그는 덧붙였다. ciokr@idg.co.kr
 

X