2012.02.21

온라인 금융 사기, CIO를 위한 8가지 팁

Thor Olavsrud | CIO

2012년 금융 범죄의 주요한 경향 중 하나는 경영주와 임원들의 계좌를 대상으로 한다는 것이다. 그리고 이제 CIO들에겐, 이러한 위협으로부터 자신들의 기업을 보호해야 한다는 새로운 임무가 부여되고 있다.

EMC의 보안 사업부인 RSA에 따르면, 2011년 웹 상에 유포된 이메일에는 300개 중 한 개 꼴로 피싱과 관련된 요소가 포함돼 있었다. 그리고 이러한 피싱 시도들의 초점은 기본적으로 금융 범죄에 맞춰져 있었다.

RSA는 자신들의 범죄 보고서 ‘올해의 피싱(The Year in Phishing, 2012년 1월)을 통해 ‘지난 해 기록된 피싱 공격의 규모는 2010년에 비해 급격히 증가한 추세를 보여줬다. 2011년 기록된 누적 피싱 공격 횟수는 2010년 대비 37%가 증가한 27만 9,580 건이었다’라고 소개했다. RSA는 피싱 공격의 증가 추세가 2012년에도 지속될 것이라 전망했다.

지난 12월, 연방 수사국(FBI, Federal Bureau of Investigation)은 해외 송금을 요청하고 승인하는 것을 목적으로 이메일 계정에 공격을 가하는 사이버 범죄자들의 위협이 증가하고 있다고 경고했다. 그들은 또한 범죄자들이 여러 합법적 이메일 계정을 활용해 은행들이 그들의 불법적 전신송금을 파악할 수 없도록 하기도 한다고 진단했다.

FBI와 화이트 칼라 범죄 센터(NW3C, National White Collar Crime Center)가 공동으로 설립한 인터넷 범죄 신고 센터(IC3, Internet Crime Complaint Center)는 지난 1월 20일 다음과 같이 경고했다.

“FBI는 개인과 비즈니스의 이메일 계정에 침입하고 피해자의 계정과 연관된 유사 합법적 이메일 주소를 사용해 해외 거래를 요청하고 승인하는 최근의 사이버 범죄 트렌드를 감시하고 있다. 전신송금의 경우, 일반적으로 미국 내, 혹은 호주의 개인 계좌를 통해 이뤄지며, 자금은 말레이시아로 보내진다. 수사 결과 미국과 호주의 자금 운반책들은 일종의 ‘꽃뱀(romance scam)’ 수법의 피해자인 것으로 보여진다. 또한 그들은 이후 말레이시아로의 자금 운반에도 이용되는 것으로 나타났다. 2011년 12월 까지 발생한 미수 범죄의 규모는 2,300 만 달러에 이르는 것으로 추정되며, 피해자들의 실제 손실 규모는 600만 달러 수준인 것으로 조사됐다.”

RSA에 따르면 피싱 공격의 최대 타깃은 공공 부문이다. 그러나 중소형 기업들 역시 범죄의 위협으로부터는 자유롭지 못하다. 카우프만, 로신 & Co.(Kaufman, Rossin & Co.)의 정보 보안 및 감사 디렉터 조지 레이 역시 이 점에 동의한다. 레이는 중소형 기업들이 특히 이러한 공격에 취약한 모습을 보여주는 이유에 관해, ‘그들은 대기업에 비해 보안 문제에 많은 주의를 기울이지 않으며 그와 관련한 자원 역시 부족하기 때문’이라고 설명했다.

레이는 “지난 6개월 간 여러 고객들이 이러한 문제를 가지고 우리를 찾아왔다. 그들 중에는 은행도 포함되어 있었다. 물론 이러한 위협들이 일상적으로 발생하는 사건은 아니다. 그러나 시장 전체를 본다면, 이들 문제는 분명 심각한 상황까지 진전된 상태다”라고 말했다.

레이는 이들 공격으로 인해 40만 달러의 손실을 입은 고객도 있었다고 전했다.

8가지 조언
경영진과 CIO들은 자신들을 이러한 범죄로부터 지켜내야 할 필요가 있다. 여기 그와 관련한 레이의 조언들을 소개한다.

1. 주거래 금융 기관과 이야기를 나눠라. 레이는 “당신에게 우선적으로 필요한 작업은 비즈니스 오너로써  어떠한 법적 책임이 있는지를 이해하는 것이다. 당신의 책임 사항을 관리할 방법을 알기 위해, ‘만일 어떠한 영역에 책임이 있는 누군가에게 무슨 일이 발생한다면 어떻게 하나?’라는 식으로 질문을 던져볼 수 있을 것이다. 또한 은행에 불법적 전신송금을 예방할 방법을 문의해 볼 수도 있다”라고 설명했다.

2. 정기적인 보안 감사와 리스크 평가를 시행하라. 이는 취약점이 어디에 있으며 어떠한 데이터에 리스크가 존재하는지, 그리고 당신은 이를 어떠한 방식으로 개선, 발전 시킬 수 있을지를 이해하는데 도움을 줄 것이다. 평가의 일환으로 대응 플랜(response plan)을 제작해 보는 것도 도움이 될 것이다.

레이는 “전문 감사원을 초빙해 IT 감사를 진행함으로써 리스크를 확인하고 나아가야 할 방향을 이해할 수 있게 될 것이다. 이러한 작업은 일년에 최소한 2번은 이루어져야 할 필요가 있다. 새로운 위협은 매년 생겨나기 때문이다. 오늘날은 사람 뿐 아니라 컴퓨터도 맬웨어를 제작하는 시대다. 이는 고도로 자동화된 과정이다”라고 설명했다.




2012.02.21

온라인 금융 사기, CIO를 위한 8가지 팁

Thor Olavsrud | CIO

2012년 금융 범죄의 주요한 경향 중 하나는 경영주와 임원들의 계좌를 대상으로 한다는 것이다. 그리고 이제 CIO들에겐, 이러한 위협으로부터 자신들의 기업을 보호해야 한다는 새로운 임무가 부여되고 있다.

EMC의 보안 사업부인 RSA에 따르면, 2011년 웹 상에 유포된 이메일에는 300개 중 한 개 꼴로 피싱과 관련된 요소가 포함돼 있었다. 그리고 이러한 피싱 시도들의 초점은 기본적으로 금융 범죄에 맞춰져 있었다.

RSA는 자신들의 범죄 보고서 ‘올해의 피싱(The Year in Phishing, 2012년 1월)을 통해 ‘지난 해 기록된 피싱 공격의 규모는 2010년에 비해 급격히 증가한 추세를 보여줬다. 2011년 기록된 누적 피싱 공격 횟수는 2010년 대비 37%가 증가한 27만 9,580 건이었다’라고 소개했다. RSA는 피싱 공격의 증가 추세가 2012년에도 지속될 것이라 전망했다.

지난 12월, 연방 수사국(FBI, Federal Bureau of Investigation)은 해외 송금을 요청하고 승인하는 것을 목적으로 이메일 계정에 공격을 가하는 사이버 범죄자들의 위협이 증가하고 있다고 경고했다. 그들은 또한 범죄자들이 여러 합법적 이메일 계정을 활용해 은행들이 그들의 불법적 전신송금을 파악할 수 없도록 하기도 한다고 진단했다.

FBI와 화이트 칼라 범죄 센터(NW3C, National White Collar Crime Center)가 공동으로 설립한 인터넷 범죄 신고 센터(IC3, Internet Crime Complaint Center)는 지난 1월 20일 다음과 같이 경고했다.

“FBI는 개인과 비즈니스의 이메일 계정에 침입하고 피해자의 계정과 연관된 유사 합법적 이메일 주소를 사용해 해외 거래를 요청하고 승인하는 최근의 사이버 범죄 트렌드를 감시하고 있다. 전신송금의 경우, 일반적으로 미국 내, 혹은 호주의 개인 계좌를 통해 이뤄지며, 자금은 말레이시아로 보내진다. 수사 결과 미국과 호주의 자금 운반책들은 일종의 ‘꽃뱀(romance scam)’ 수법의 피해자인 것으로 보여진다. 또한 그들은 이후 말레이시아로의 자금 운반에도 이용되는 것으로 나타났다. 2011년 12월 까지 발생한 미수 범죄의 규모는 2,300 만 달러에 이르는 것으로 추정되며, 피해자들의 실제 손실 규모는 600만 달러 수준인 것으로 조사됐다.”

RSA에 따르면 피싱 공격의 최대 타깃은 공공 부문이다. 그러나 중소형 기업들 역시 범죄의 위협으로부터는 자유롭지 못하다. 카우프만, 로신 & Co.(Kaufman, Rossin & Co.)의 정보 보안 및 감사 디렉터 조지 레이 역시 이 점에 동의한다. 레이는 중소형 기업들이 특히 이러한 공격에 취약한 모습을 보여주는 이유에 관해, ‘그들은 대기업에 비해 보안 문제에 많은 주의를 기울이지 않으며 그와 관련한 자원 역시 부족하기 때문’이라고 설명했다.

레이는 “지난 6개월 간 여러 고객들이 이러한 문제를 가지고 우리를 찾아왔다. 그들 중에는 은행도 포함되어 있었다. 물론 이러한 위협들이 일상적으로 발생하는 사건은 아니다. 그러나 시장 전체를 본다면, 이들 문제는 분명 심각한 상황까지 진전된 상태다”라고 말했다.

레이는 이들 공격으로 인해 40만 달러의 손실을 입은 고객도 있었다고 전했다.

8가지 조언
경영진과 CIO들은 자신들을 이러한 범죄로부터 지켜내야 할 필요가 있다. 여기 그와 관련한 레이의 조언들을 소개한다.

1. 주거래 금융 기관과 이야기를 나눠라. 레이는 “당신에게 우선적으로 필요한 작업은 비즈니스 오너로써  어떠한 법적 책임이 있는지를 이해하는 것이다. 당신의 책임 사항을 관리할 방법을 알기 위해, ‘만일 어떠한 영역에 책임이 있는 누군가에게 무슨 일이 발생한다면 어떻게 하나?’라는 식으로 질문을 던져볼 수 있을 것이다. 또한 은행에 불법적 전신송금을 예방할 방법을 문의해 볼 수도 있다”라고 설명했다.

2. 정기적인 보안 감사와 리스크 평가를 시행하라. 이는 취약점이 어디에 있으며 어떠한 데이터에 리스크가 존재하는지, 그리고 당신은 이를 어떠한 방식으로 개선, 발전 시킬 수 있을지를 이해하는데 도움을 줄 것이다. 평가의 일환으로 대응 플랜(response plan)을 제작해 보는 것도 도움이 될 것이다.

레이는 “전문 감사원을 초빙해 IT 감사를 진행함으로써 리스크를 확인하고 나아가야 할 방향을 이해할 수 있게 될 것이다. 이러한 작업은 일년에 최소한 2번은 이루어져야 할 필요가 있다. 새로운 위협은 매년 생겨나기 때문이다. 오늘날은 사람 뿐 아니라 컴퓨터도 맬웨어를 제작하는 시대다. 이는 고도로 자동화된 과정이다”라고 설명했다.


X