2014.06.11

데이터 누출 사건이 시사하는 맬웨어의 미래

Tony Bradley | PCWorld
몇 주 전 이베이(eBay)가 대형 데이터 침해 사고로 곤경에 처했다. 이에 대해 대다수는 비밀번호 유출과 사이트의 보안 취약점에 주목했다. 이는 이치에 맞는 우려이기는 하지만 보안 사슬에서 가장 취약한 다른 연결 고리에도 신경 써야 한다. 다름 아닌 '사람'이다.

실제, 이베이의 침해 사고를 촉발한 원인은 정교한 취약점 공격이 아닌 '구식 사기 행위’였다.

많게는 100명의 이베이 직원들이 중요 정보를 공개하도록 속이는 사기의 희생자가 된 것으로 추정된다. 범죄자들이 믿을 수 있는 개인이나 단체로 위장하는 방식의 소셜 엔지니어링 사기 기법이었다. 그리고 이베이 직원들이 공개한 정보는 로그인 정보였다.

사실 놀랍지는 않다. 필자는 최근 다수의 보안 전문가들에게 주의해야 할 새로운 혁신적인 공격을 평가해 달라고 요청했다. 그리고 이들은 애플리케이션 패칭이나 업그레이드, 보안 소프트웨어로 해결할 수 없는 문제가 가장 우려되는 요소라고 입을 모았다.



트립와이어(Tripwire)의 보안 조사 담당인 켄 웨스틴은 "가장 공략하기 쉬운 공격 대상은 여전히 사람이다. 사람을 대상으로 한 공격이 효과를 거두는 한, 공격자들은 계속 사람을 전적으로, 또는 정교한 통합 공격의 일부로 악용할 것이다"고 말했다.

현재 세심하게 수집한 개인 데이터를 이용해 신뢰를 얻는 공격 작전들이 늘고 있는 추세다. '고객님께'로 시작하고, 통상적인 정보만 담겨있는 피싱 공격 메시지는 무시할 확률이 높다.

그러나 범죄자들이 수신자를 이름으로 호칭하고, 집 주소와 전화번호, 생년월일 같은 개인 정보를 포함시키며, 거래를 하는 회사에서 발송한 메시지로 포장을 한다면 주의 깊은 사람이라도 여기에 응답을 할 확률이 높아진다.

공격자들이 개인 정보를 더 많이 수집 할수록 스피어피싱 스캠 공격을 추진하기가 쉬어진다. 타깃(Target)과 이베이 같은 회사가 해커들의 매력적인 공격 대상인 이유가 여기에 있다. 이들 회사의 고객 데이터베이스는 수백 만 명의 고객 데이터를 수집할 수 있는 보물 창고이기 때문이다.

트립와이어의 드웨인 멜란콘 CTO는 "이베이의 데이터 유출 사고를 예로 살펴보자. 수백 만에 달하는 사용자의 개인 정보가 유출됐다. 이메일 주소와 사용자명 수준을 넘어서는 개인 정보들이다. 이베이 데이터를 소유한 이들은 생년월일, 주소, 전화번호 등을 가지고 유례가 없을 정도로 '설득력' 있는 피싱 사이트를 만들 수 있다. 거주 지역에 대한 세부적인 내용을 언급하면서, 나이를 감안해 '혹'할 수 있는 내용을 추가시켜 피싱 이메일에 응답하도록 만드는 확률을 크게 높일 수 있는 것이다"라고 설명했다.


타깃 같은 유명 회사의 고객 데이터베이스는 소셜 엔지니어링 공격을 계획하려는 해커들에게 금광이나 다름 없다.

그렇다고 이것이 기존의 보안 대책을 포기하라는 의미는 아니다. 방화벽을 설치해 운영하고, 안티 맬웨어 툴을 최신 상태로 유지해야 한다. 이는 컴퓨터 보안에 있어 현상을 유지하기 위해 필요한 필수 사항이다. 그러나 이것만으로는 부족하다. 수신한 이메일, 문자 메시지, 기타 커뮤니케이션을 어느 정도 의심할 필요가 있다.

사용자들은 몇 년 간 발신자가 불확실하거나, 의심스러운 출처에서 발송된 이메일 메시지의 링크를 클릭하거나 첨부 파일을 열어봐서는 안 된다는 점을 학습했다.

그러나 공격 방법 또한 진화를 했기 때문에 모든 것에 주의를 기울일 필요가 있다. 공격자들은 잠재적인 피해자가 있는 장소라면 어디든지 찾아간다. 소셜 네트워크와 모바일 기기 사용이 급증하면서, 사이버 범죄자들 또한 이를 이용하는 사용자를 공격 표적으로 삼고 있다. 그리고 어리석지 않은 사용자들 또한 허점을 공략당하고 있다.

더 중요한 두 번째 문제는 이제는 '불확실한' 출처의 커뮤니케이션만 문제가 되는 것은 아니라는 점이다. 대량의 개인 비밀 정보가 유출되었다는 것은 공격자들이 피해자, 피해자가 살고 있는 장소, 거래하는 기업에 대해 더 많은 정보를 갖고 있다는 의미다.

'큰 그물'을 던져 어수룩한 피해자가 걸려들기만 바라던 공격자들이 이제는 정확하고 관련성이 높은 정보를 사용해 더 정교하게 피해자를 표적으로 삼을 수 있다.

이 경우, 보안 소프트웨어가 도움이 되지 않는다. 인식 재고와 상식만이 이런 유형의 공격을 차단할 수 있다.

멜란콘은 "상시 경계를 해야 한다. 그렇지 않으면 피해자가 될 수 있다. 그러나 불행히도 대다수 사용자는 경계를 하지 않고 있다"라고 말했다. ciokr@idg.co.kr



2014.06.11

데이터 누출 사건이 시사하는 맬웨어의 미래

Tony Bradley | PCWorld
몇 주 전 이베이(eBay)가 대형 데이터 침해 사고로 곤경에 처했다. 이에 대해 대다수는 비밀번호 유출과 사이트의 보안 취약점에 주목했다. 이는 이치에 맞는 우려이기는 하지만 보안 사슬에서 가장 취약한 다른 연결 고리에도 신경 써야 한다. 다름 아닌 '사람'이다.

실제, 이베이의 침해 사고를 촉발한 원인은 정교한 취약점 공격이 아닌 '구식 사기 행위’였다.

많게는 100명의 이베이 직원들이 중요 정보를 공개하도록 속이는 사기의 희생자가 된 것으로 추정된다. 범죄자들이 믿을 수 있는 개인이나 단체로 위장하는 방식의 소셜 엔지니어링 사기 기법이었다. 그리고 이베이 직원들이 공개한 정보는 로그인 정보였다.

사실 놀랍지는 않다. 필자는 최근 다수의 보안 전문가들에게 주의해야 할 새로운 혁신적인 공격을 평가해 달라고 요청했다. 그리고 이들은 애플리케이션 패칭이나 업그레이드, 보안 소프트웨어로 해결할 수 없는 문제가 가장 우려되는 요소라고 입을 모았다.



트립와이어(Tripwire)의 보안 조사 담당인 켄 웨스틴은 "가장 공략하기 쉬운 공격 대상은 여전히 사람이다. 사람을 대상으로 한 공격이 효과를 거두는 한, 공격자들은 계속 사람을 전적으로, 또는 정교한 통합 공격의 일부로 악용할 것이다"고 말했다.

현재 세심하게 수집한 개인 데이터를 이용해 신뢰를 얻는 공격 작전들이 늘고 있는 추세다. '고객님께'로 시작하고, 통상적인 정보만 담겨있는 피싱 공격 메시지는 무시할 확률이 높다.

그러나 범죄자들이 수신자를 이름으로 호칭하고, 집 주소와 전화번호, 생년월일 같은 개인 정보를 포함시키며, 거래를 하는 회사에서 발송한 메시지로 포장을 한다면 주의 깊은 사람이라도 여기에 응답을 할 확률이 높아진다.

공격자들이 개인 정보를 더 많이 수집 할수록 스피어피싱 스캠 공격을 추진하기가 쉬어진다. 타깃(Target)과 이베이 같은 회사가 해커들의 매력적인 공격 대상인 이유가 여기에 있다. 이들 회사의 고객 데이터베이스는 수백 만 명의 고객 데이터를 수집할 수 있는 보물 창고이기 때문이다.

트립와이어의 드웨인 멜란콘 CTO는 "이베이의 데이터 유출 사고를 예로 살펴보자. 수백 만에 달하는 사용자의 개인 정보가 유출됐다. 이메일 주소와 사용자명 수준을 넘어서는 개인 정보들이다. 이베이 데이터를 소유한 이들은 생년월일, 주소, 전화번호 등을 가지고 유례가 없을 정도로 '설득력' 있는 피싱 사이트를 만들 수 있다. 거주 지역에 대한 세부적인 내용을 언급하면서, 나이를 감안해 '혹'할 수 있는 내용을 추가시켜 피싱 이메일에 응답하도록 만드는 확률을 크게 높일 수 있는 것이다"라고 설명했다.


타깃 같은 유명 회사의 고객 데이터베이스는 소셜 엔지니어링 공격을 계획하려는 해커들에게 금광이나 다름 없다.

그렇다고 이것이 기존의 보안 대책을 포기하라는 의미는 아니다. 방화벽을 설치해 운영하고, 안티 맬웨어 툴을 최신 상태로 유지해야 한다. 이는 컴퓨터 보안에 있어 현상을 유지하기 위해 필요한 필수 사항이다. 그러나 이것만으로는 부족하다. 수신한 이메일, 문자 메시지, 기타 커뮤니케이션을 어느 정도 의심할 필요가 있다.

사용자들은 몇 년 간 발신자가 불확실하거나, 의심스러운 출처에서 발송된 이메일 메시지의 링크를 클릭하거나 첨부 파일을 열어봐서는 안 된다는 점을 학습했다.

그러나 공격 방법 또한 진화를 했기 때문에 모든 것에 주의를 기울일 필요가 있다. 공격자들은 잠재적인 피해자가 있는 장소라면 어디든지 찾아간다. 소셜 네트워크와 모바일 기기 사용이 급증하면서, 사이버 범죄자들 또한 이를 이용하는 사용자를 공격 표적으로 삼고 있다. 그리고 어리석지 않은 사용자들 또한 허점을 공략당하고 있다.

더 중요한 두 번째 문제는 이제는 '불확실한' 출처의 커뮤니케이션만 문제가 되는 것은 아니라는 점이다. 대량의 개인 비밀 정보가 유출되었다는 것은 공격자들이 피해자, 피해자가 살고 있는 장소, 거래하는 기업에 대해 더 많은 정보를 갖고 있다는 의미다.

'큰 그물'을 던져 어수룩한 피해자가 걸려들기만 바라던 공격자들이 이제는 정확하고 관련성이 높은 정보를 사용해 더 정교하게 피해자를 표적으로 삼을 수 있다.

이 경우, 보안 소프트웨어가 도움이 되지 않는다. 인식 재고와 상식만이 이런 유형의 공격을 차단할 수 있다.

멜란콘은 "상시 경계를 해야 한다. 그렇지 않으면 피해자가 될 수 있다. 그러나 불행히도 대다수 사용자는 경계를 하지 않고 있다"라고 말했다. ciokr@idg.co.kr

X