예기치 못한 원격근무··· 새 협업 툴은 또 다른 보안 위협을 의미한다

CIO
많은 기업이 코로나19 확산 방지를 위해 비대면 근무를 지원하는 협업 플랫폼으로 이전하고 있다. 이로 인해 새로운 보안 위협이 발생할 것으로 전망된다. 

슬랙의 주식 상장 직전 해당 회사가 미국 증권거래소(SEC)에 제출한 기업공개(IPO) 문건에 따르면 기업용 커뮤니케이션 소프트웨어의 잠재적 보안 위협이 언급됐다. 특히 맬웨어, 바이러스, 랜섬웨어 등이 위험 요소로 지적됐다. 액센츄어의 2019년도 사이버 범죄 관련 보고서는 피싱 및 소셜 엔지니어링 공격을 겪은 기업의 비율이 1년 만에 16% 상승한 83%를 기록했다고 밝혔다.
 
ⓒGetty Images

준비와 무관하게 강행된 협업
이번 코로나19 위기는 커뮤니케이션 및 데이터 공유 환경을 협업 플랫폼으로 옮기지 않았던 기업에게 갑작스러운 변화의 계기가 됐다. 협업 툴 사용이 불가피해진 가운데 앞으로 직면하게 될 보안 위협으로부터 기업을 보호할 새로운 방식이 요구된다. 

IT 자동화 관리 서비스 업체 카세야의 CSO 마이크 풀리아는 “마이크로소프트 팀즈, 슬랙, 구글, 줌 등과 같은 대중적인 협업 툴을 한 가지 이상 사용하고 있다면, 그들이 곧 해커가 노리는 대상이다. 이렇게 되면 별로 힘들이지 않고 엔터프라이즈 툴에 접근할 수 있다”라고 말했다. 

한편 슬랙은 문건을 통해 사이버 범죄 조직을 비롯해 적대적 국가가 초래하는 잠재적 위협 역시 위험 요소라고 밝혔다. 프라이버시 및 보안 교육 플랫폼 프로프라이버시(ProPrivacy)의 디지털 프라이버시 전문가 애틸라 토마셱은 "해커와 사이버 범죄자들은 기업용 협업 툴을 통해 다량의 민감한 정보가 공유된다는 점을 잘 알고 있다"라면서, "자연스럽게 해당 협업 툴들은 꽤나 매력적인 사이버 범죄 표적이 된다"라고 설명했다.

코로나19를 넘어선 수많은 위협
토마셱은 피싱 공격이 맬웨어를 침투시켜 기업 전체의 협업 플랫폼은 물론 민감한 개인 업무 문서와 파일에도 피해를 줄 수 있다고 강조했다. 이어서 그는 팀즈, 슬랙 같은 소프트웨어와 통합된 서드파티 앱에서도 취약점이 나타날 수 있다고 진단했다. 

사이버 범죄자들이 API를 악용하여 협업 툴을 통해 기업 데이터에 접근할 수 있다는 점 역시 우려스럽다고 말하면서, 그는 "기업용 협업 툴은 다양한 서드파티 앱과 연동된다. 기업 입장에서는 타 애플리케이션을 간편하고 원활하게 사용하기 위해 협업 툴에 통합시키는 경우가 많을 것이다. 문제는 협업 툴과 서드파티 앱 연결에 사용되는 API를 해커가 악용해 두 애플리케이션 간의 데이터와 통신 내용을 가로챌 수 있다는 것이다"라고 전했다. 

사이버 보안 회사 XYPRO의 CPO 스티브 터첸도 기업들이 갈수록 자동화와 통합에 주력하고 있다면서, 이것이 해커들에게 잠재적인 기회를 주고 있다고 언급했다. 

터첸은 “앱 연동과 통합 관리가 가능할수록 비용이나 관리 오버헤드가 적게 든다. 대부분의 협업 앱은 서드파티와의 통합 기능을 갖추고 있다. 따라서 이러한 통합 기능이 얼마나 안전한지, 어떤 데이터가 앱 간에 공유되고, 플랫폼에 어떤 리스크가 있는지를 파악해야 할 과제가 대두된다”라고 밝혔다. 

토마셱은 협업 툴이 해커들의 주요 표적이 될 것으로 내다봤다. 협업 툴이 기업 전반에 걸쳐 데이터 확산을 용이하게 만들기 때문이다. 

그는 “협업 플랫폼에서는 대게 격식을 차리지 않고 편안한 커뮤니케이션이 이뤄지기 때문에 일반적인 사용자들은 경계심을 늦추기 쉽고 주고받는 내용이나 클릭하는 링크에 대한 주의를 게을리할 수 있다. 신속한 응답이 이뤄지는 플랫폼 자체의 즉각적인 속성은 부주의하고 조심성 없는 행동으로 이어질 수 있다”라고 지적했다.

보안 서비스 업체 아지오(Agio)의 CEO 바트 맥다나는 직원이 기업용 커뮤니케이션 소프트웨어에서 기대하는 신뢰 수준이 취약점으로 이어질 수 있다고 동의했다. 

그는 “내부에서 주고받는 메시지에 대해서는 대부분 의심하지 않는다. 해커가 협업 플랫폼상에서 메시지를 도용하고 날조하는 일이 흔하겠냐 하겠지만, 누군가 내부 직원의 신원을 도용해 콘텐츠를 공유한다면 그것이 의심 없이 매우 빠르게 퍼진다는 것 또한 현실이다. 반면에 이메일은 다년간 그 위험성과 부정적인 사례가 잘 알려져 있고 관련 교육 등을 진행하면서 사용자들의 주의 수준이 높은 편이다”라고 전했다.

풀리아는 유출된 로그인 정보를 다른 계정에 무작위로 대입하며 사용자 계정을 탈취하는 크리덴셜 스터핑(Credential stuffing) 공격도 증가하고 있다고 밝혔다. 그는 “공격자가 피싱 또는 다크 웹에서의 구매를 통해 로그인 정보를 확보한 다음 대중적인 협업 툴 사이트를 크리덴셜 스터핑 공격 대상으로 삼는다”라고 설명했다. 

경영 컨설팅 기업 알릭스파트너스(AlixPartners)의 디지털 사이버 부문 이사 팀 로버츠는 한 직원의 협업 툴 로그인 정보만 해킹돼도 여러 직원의 정보가 노출될 수 있다고 지적하면서, “겉보기에 안전한 협업 공간 내로 들어오면 사람들은 더욱 편안하게 느낀다. 따라서 비밀번호를 공유해 달라거나 기밀문서를 보내 달라는 요청이 올 때 의심을 하지 않을 수 있다. 이러한 잘못된 보안 의식은 개선해야 한다”라고 덧붙였다.

미래의 위협
토마셱은 앞으로 인공지능과 머신러닝을 활용해 협업 툴을 노리는 공격이 발생할 것으로 전망했다. 그는 “사람 간의 의사소통을 모방하는 봇이 놀라울 정도로 효과를 낼 수 있다. 이를테면 전혀 의심하지 않는 직원에게 민감한 정보를 수집하거나 맬웨어가 담긴 파일을 클릭하게 만드는 것이다”라고 말했다.

토마셱은 슬랙과 깃허브 사이에서 데이터를 몰래 이동시키면서 데이터를 훔친 맬웨어를 사례로 들었다. “깃허브와 같은 협업 소프트웨어 버전 관리 플랫폼에 접속하여 명령어를 다운로드하는 맬웨어가 있었다. 이 맬웨어는 다운로드한 명령어의 결과를 슬랙과 같은 클라우드 기반 독점 인스턴트 메시징 플랫폼으로 출력해 데이터를 훔친다. 그리고 훔친 파일과 문서는 무료 클라우드 저장 서비스에 업로드한다. 이처럼 합법적인 도구와 서비스를 악용해 전통적인 보안 솔루션의 감시망을 피할 수 있었다”라고 그는 설명했다. 

앞서 슬랙은 협업 소프트웨어가 직면하고 있는 위협에 정교한 사이버 범죄 조직과 적대적인 국가 그리고 이들의 지원을 받아 공격에 가담하는 해커들이 있다고 진단했다. 직원, 사용자, 기업을 속여 계정 이름과 비밀번호 등의 민감한 정보를 알아내려 하거나, 개인 또는 기업의 데이터에 액세스하기 위해 내부 IT 시스템과 네트워크 및 물리적 인프라의 보안을 침해하려는 제3자의 시도가 있을 수 있다.

혼란 속 보안을 확보하기 위한 조치 
안전한 협업 환경을 확보하기 위해 취할 수 있는 조치가 있다. 맥다나는 각 기업이 이메일 보안을 위해 시행 중인 것과 비슷한 보안 조치를 취한다면, 가상 작업 공간을 안전하게 운영하는 데 도움이 될 수 있다고 조언했다.

이어서 맥다나는 “협업 툴만이 아니라 관련 소프트웨어에 걸쳐 모든 로그인에 반드시 이중 인증을 설정해야 한다. 내부적인 보안 교육도 필수적이다. 또한 관리자는 직원이 퇴사했을 때 해당 직원의 협업 플랫폼 계정과 접근 권한이 신속하게 삭제되도록 해야 한다”라고 덧붙였다.

백신업체 비트디펜더(Bitdefender)의 글로벌 사이버보안 연구원 리비우 아르센은 협업 소프트웨어의 잠재적 위협을 내부 교육하는 내용이 포함되도록 보안 정책을 개편해야 한다고 권고했다. 

그는 “IT 팀과 보안 팀은 유출될 수 있는 잠재적인 중요 데이터를 찾아낼 모니터링 도구와 기술을 갖춰야 한다. 직원들을 대상으로 사이버보안 모범 사례 교육을 하고 기밀정보에 관한 접근과 허용되는 앱을 엄격하게 통제하는 보안 정책을 시행한다면, 기업이 사이버보안을 강화하고 협업 소프트웨어의 잠재적인 위협을 줄이는 데 도움이 될 수 있다”라고 말했다. ciokr@idg.co.kr