2015.05.11

블로그 | 소니 사고에서 배우는 보안 인식 프로그램 교훈

Ira Winkler | CSO

Credit: Thinkstock


소니 해킹 사건에 대한 추가 정보가 공개되면서 밝혀지는 사실이 하나 있다. 인식 문제가 피싱보다 더 심각하게 우려할 만한 주제라는 것이다.

악명 높은 소니 해킹 사건은 다양한 기술적 취약성의 정점이었다. 비록 공격이 북한의 소행이라는 사실에 초점 맞춰지는 경향이 있지만 실무자의 관점에서는 그 공격이 성공할 수 있었던 이유를 파악하는 것이 더욱 중요하다.

사건 과정이 밝혀지는 과정에서 그 공격의 첫 단계가 스피어피싱(Spearphishing) 메시지였다는 사실이 드러났다. 많은 인식 관련 문제가 원인의 초기에 있었던 것이다.

공격에 피싱이 동원되었기 때문에 피싱에 대한 교육이 필요하다고 말하기는 쉽다. 사실이긴 하지만 교육이 실제 피싱 공격에 그리 효과를 발휘하지 못하는 있다는 점에 주의해야 한다. 또 다른 인간적인 결점을 이용하는 공격에는 도움이 되지 않는 경우도 많다.

추가 분석을 통해 암호 재사용 등 소셜 네트워크에서의 과도한 공유와 관련된 취약성도 있었다는 사실이 드러나고 있다. 즉 피싱 이상의 문제들도 존재하며 이를 감안한 인식 프로그램을 고민해야 할 시점인 것이다.

북한의 해커들은 관리자 권한이 있을 법한 직원들의 링크드인(LinkedIn)과 기타 소셜 네트워크를 뒤졌다. 저수준 권한을 보유한 사람이라도 최소한 조직 내로 침입할 수 있는 연결고리를 제공하기 때문에 공격 대상이라 할 수 있다.

사람들에게 링크드인에 게시물을 올리지 말라고 할 수는 없지만 최소한 소셜 네트워크 노출로 자신이 공격의 대상이 될 수 있다는 사실을 인지해야 한다.

또 미디어 보도에 따르면 피싱 메시지가 애플(Apple)의 계정 암호를 공격 대상으로 삼았다. 이는 아이폰과 기타 애플 제품을 보유한 사람들이 스스로 잠재적인 대상이 될 수 있다는 사실을 깨달아야 한다는 사실을 의미한다.

애플의 제품은 보안 우려와 상관이 없다고 생각하는 사람들이 있다. 그것은 분명 잘못된 생각이다. 사실 애플 제품뿐 아니라 모든 기술이 직간접적으로 공격의 대상이 될 수 있다는 사실을 이해해야 한다.

피싱 공격의 또 다른 측면은 일부 사용자들이 피싱 메시지를 발견했지만 보고하지 않았다고 가정해야 한다는 점이다. 직원들이 잠재적인 피싱 메시지에 관해 보고하도록 하는 것도 중요하며 이것 또한 보안 인식 프로그램의 조건 중 하나다.

암호 재사용 또한 공격자들이 대상으로 삼은 취약성이었다. 훌륭한 보안 인식 프로그램이라면 암호 재사용은 암호 보안 인식 캠페인의 일환으로 다루곤 한다. 실제로 소니 공격자들은 단순한 일반 사용자들뿐만이 아니라 관리자의 암호 재사용 가능성을 악용했다.

마지막 문제는 기술 인력이 이미 암호 보안 등의 행동 관련 문제를 인지하고 있다고 가정하기 때문에 인식 프로그램에서 그들을 그리 감안하지 않는다는 점이다. 그러나 보안 인식 캠페인은 모든 직원을 대상으로 해야 한다.

필자는 운전을 빗대어 설명한다. 모든 사람들이 도로 위의 모든 위험에 대처하도록 준비할 수 없다. 하지만 일반적인 운전자 안전을 통해 운전자는 특정 위험에 대한 교육을 받지 않았더라도 대부분의 위험에 대응하는 방법을 알게 된다. 마찬가지로 인식 프로그램도 가능한 포괄적이어서 직원들이 실제로 노출되는 것보다 더 많은 문제를 인지할 수 있게 되어야 한다.

소니 해킹 사건 사례는 여러 조직에서 활용될 수 있다. 하지만 이 공격 사건을 교육의 도구로서 최대한 활용하기 위해서는 인식 전문가, CISO, 보안 프로그램 개발 및 유지에 참여하는 모든 사람들이 확실한 공격 기법 이상의 것을 보아야 한다. 여기에서 알 수 있듯이 피싱 공격 자체도 단순한 피싱 이상의 의미를 가질 수 있다. 이 때문에 인식 프로그램이 가능한 포괄적이어야 한다. ciokr@idg.co.kr 



2015.05.11

블로그 | 소니 사고에서 배우는 보안 인식 프로그램 교훈

Ira Winkler | CSO

Credit: Thinkstock


소니 해킹 사건에 대한 추가 정보가 공개되면서 밝혀지는 사실이 하나 있다. 인식 문제가 피싱보다 더 심각하게 우려할 만한 주제라는 것이다.

악명 높은 소니 해킹 사건은 다양한 기술적 취약성의 정점이었다. 비록 공격이 북한의 소행이라는 사실에 초점 맞춰지는 경향이 있지만 실무자의 관점에서는 그 공격이 성공할 수 있었던 이유를 파악하는 것이 더욱 중요하다.

사건 과정이 밝혀지는 과정에서 그 공격의 첫 단계가 스피어피싱(Spearphishing) 메시지였다는 사실이 드러났다. 많은 인식 관련 문제가 원인의 초기에 있었던 것이다.

공격에 피싱이 동원되었기 때문에 피싱에 대한 교육이 필요하다고 말하기는 쉽다. 사실이긴 하지만 교육이 실제 피싱 공격에 그리 효과를 발휘하지 못하는 있다는 점에 주의해야 한다. 또 다른 인간적인 결점을 이용하는 공격에는 도움이 되지 않는 경우도 많다.

추가 분석을 통해 암호 재사용 등 소셜 네트워크에서의 과도한 공유와 관련된 취약성도 있었다는 사실이 드러나고 있다. 즉 피싱 이상의 문제들도 존재하며 이를 감안한 인식 프로그램을 고민해야 할 시점인 것이다.

북한의 해커들은 관리자 권한이 있을 법한 직원들의 링크드인(LinkedIn)과 기타 소셜 네트워크를 뒤졌다. 저수준 권한을 보유한 사람이라도 최소한 조직 내로 침입할 수 있는 연결고리를 제공하기 때문에 공격 대상이라 할 수 있다.

사람들에게 링크드인에 게시물을 올리지 말라고 할 수는 없지만 최소한 소셜 네트워크 노출로 자신이 공격의 대상이 될 수 있다는 사실을 인지해야 한다.

또 미디어 보도에 따르면 피싱 메시지가 애플(Apple)의 계정 암호를 공격 대상으로 삼았다. 이는 아이폰과 기타 애플 제품을 보유한 사람들이 스스로 잠재적인 대상이 될 수 있다는 사실을 깨달아야 한다는 사실을 의미한다.

애플의 제품은 보안 우려와 상관이 없다고 생각하는 사람들이 있다. 그것은 분명 잘못된 생각이다. 사실 애플 제품뿐 아니라 모든 기술이 직간접적으로 공격의 대상이 될 수 있다는 사실을 이해해야 한다.

피싱 공격의 또 다른 측면은 일부 사용자들이 피싱 메시지를 발견했지만 보고하지 않았다고 가정해야 한다는 점이다. 직원들이 잠재적인 피싱 메시지에 관해 보고하도록 하는 것도 중요하며 이것 또한 보안 인식 프로그램의 조건 중 하나다.

암호 재사용 또한 공격자들이 대상으로 삼은 취약성이었다. 훌륭한 보안 인식 프로그램이라면 암호 재사용은 암호 보안 인식 캠페인의 일환으로 다루곤 한다. 실제로 소니 공격자들은 단순한 일반 사용자들뿐만이 아니라 관리자의 암호 재사용 가능성을 악용했다.

마지막 문제는 기술 인력이 이미 암호 보안 등의 행동 관련 문제를 인지하고 있다고 가정하기 때문에 인식 프로그램에서 그들을 그리 감안하지 않는다는 점이다. 그러나 보안 인식 캠페인은 모든 직원을 대상으로 해야 한다.

필자는 운전을 빗대어 설명한다. 모든 사람들이 도로 위의 모든 위험에 대처하도록 준비할 수 없다. 하지만 일반적인 운전자 안전을 통해 운전자는 특정 위험에 대한 교육을 받지 않았더라도 대부분의 위험에 대응하는 방법을 알게 된다. 마찬가지로 인식 프로그램도 가능한 포괄적이어서 직원들이 실제로 노출되는 것보다 더 많은 문제를 인지할 수 있게 되어야 한다.

소니 해킹 사건 사례는 여러 조직에서 활용될 수 있다. 하지만 이 공격 사건을 교육의 도구로서 최대한 활용하기 위해서는 인식 전문가, CISO, 보안 프로그램 개발 및 유지에 참여하는 모든 사람들이 확실한 공격 기법 이상의 것을 보아야 한다. 여기에서 알 수 있듯이 피싱 공격 자체도 단순한 피싱 이상의 의미를 가질 수 있다. 이 때문에 인식 프로그램이 가능한 포괄적이어야 한다. ciokr@idg.co.kr 

X