칼럼 | 신원 확인 시스템에 운을 시험할 순 없다

랜섬웨어 공격이 점점 더 널리 퍼지며 해커들은 많은 수익을 거두고 있다. 공격은 개인의 신원을 효과적으로 확인하는 메커니즘이 업계에서 마련될 때까지 지속될 가능성이 높다.
 

데자뷰는 때때로 끔찍한 결과로 이어질 수 있다.

올해 초, 필자는 기업이 암호 관리 전략을 검토해야 한다는 내용의 글을 작성했다. 기업이 직원 액세스 프로토콜을 시급히 검토해야 한다고 강조하면서 “팀이 피싱 및 멀웨어 공격에 속지 않도록 직원 교육을 계속해야 한다”라고 썼다.

그러나 최근 카지노 게임 기업인 MGM 리조트 인터내셔널(MGM Resorts International)과 시저스 엔터테인먼트(Caesars Entertainment)가 잇따라 공격을 받고 고객 데이터를 탈취당하는 사건이 벌어졌다. 해커는 신원을 도용해 보안 시스템에 액세스하는 신원 기반 및 소셜 엔지니어링 공격을 이용한 것으로 알려졌다.

보고서에 따르면 MGM과 시저스는 모두 ID 관리 기업 옥타(Okta)의 고객이었다. 옥타는 악의적 공격자가 권한 있는 사용자 계정의 비밀번호를 알아내려고 시도한 활동 패턴을 발견했다. 옥타는 지난 8월 고객사에 “해커가 액티브 디렉토리(AD)를 통해 위임된 인증 절차를 조작한 후 대상 조직의 IT 서비스 데스크에 연락해 계정의 모든 MFA 요소를 재설정하도록 요구할 수 있다”라고 경고했다. 

인포시큐리티(InfoSecurity) 보고서에 따르면 시저스는 ‘승인되지 않은 행위자’가 아웃소싱 IT 지원 벤더를 대상으로 한 소셜 엔지니어링 공격으로 데이터를 훔쳤다고 밝혔다. 시저스는 최근 의심스러운 활동의 흔적을 발견했으며, 9월 7일 시스템이 손상됐다는 사실을 알게 됐다. 악의적 공격자는 미국 내 고객의 사회보장번호와 운전면허 번호가 포함된 로열티 프로그램 데이터베이스를 해킹한 것으로 밝혀졌다.

이번 공격의 배후에는 해커 그룹인 블랙캣/ALPHV(BlackCat/ALPHV)와 스캐터드 스파이더(Scattered Spider)가 있었던 것으로 전해졌다. 시저스와 MGM은 데이터를 외부로 유출하지 않는 대가로 몸값을 요구받았다. 일부 보도에 의하면 두 기업은 해커에게 수천만 달러를 지불하고 요구에 응했다.

두 사건 모두 직원의 신원을 사용하고 소셜 엔지니어링을 통해 IT 헬프데스크를 속여 액세스 권한을 탈취하는 일관된 패턴을 보였다. 로이터 보도에 따르면 랜섬웨어 공격자들은 제조, 소매 및 기술 분야에서 활동하는 다른 여러 기업의 시스템에도 침입했다.

블랙햇(Black Hat) 공격에 대한 이해
해커의 수익성이 높아지면서 랜섬웨어 공격은 최근 몇 년 사이 더 흔해지고 있다.

블랙햇 해커가 기업의 데이터를 암호화하고 암호 해독 키에 대해 몸값을 요구하는 공식은 잘 알려져 있다. 기업이 금액을 지불하지 않으면 해커는 데이터를 일반에 공개하거나 다른 범죄자에게 판매하겠다고 위협한다. 이러한 사이버 범죄는 모든 규모의 기업을 표적으로 삼지만, 특히 중요한 데이터를 보유한 기업 조직을 노리는 경우가 많다.

취약점은 MGM이나 옥타에만 국한된 것이 아니라 멀티팩터(multi-factor) 인증의 시스템적인 문제에 가깝다. 장치를 인증하기 위해 설계된 MFA는 사용자 신원 확인이 중요한 등록 및 복구 프로세스에서 보안이 미흡하다. 이는 특정 문제를 해결하기 위해 개발되지 않았기 때문에 원래 설계에서 비롯된 한계로 파악되고 있다.

보안 기업 테시안(Tessian)과 스탠퍼드 대학 교수 제프 핸콕이 2022년 실시한 연구에 따르면, 데이터 유출 사고의 88%가 직원의 실수와 인적 과실로 인해 발생한다. 이를 다시 언급할 필요가 있다. IBM시큐리티(IBM Security)는 해당 원인이 95%를 차지한다고 밝히기도 했다.

기업은 금액 지불에 따른 금전적인 비용 외에도, 다운타임과 공격으로부터 복구해야 하는 시간적 문제로 매출과 생산성에 타격을 입을 수 있다. 또한 랜섬웨어 공격은 기업의 평판을 손상시키고 고객 신뢰를 약화시킬 수 있다.

랜섬웨어 공격에 대처하는 방법
안타깝게도 이러한 사건은 신원 확인을 위한 메커니즘이 업계 차원에서 마련될 때까지 계속될 가능성이 높다. 이는 업계 전반에 걸쳐 진행돼야 할 사안이다.

기업이 신원 확인을 위해 ‘비밀 단어(secret word)’로 대응할 수 있을까? 이를테면 집에서 홈 보안 시스템을 실수로 작동시킨 경우 보안 회사에서 고장 여부를 확인하기 위해 연락을 취한다고 가정해 볼 수 있다. 사용자가 응답하면 회사에서는 ‘비밀 단어’를 요청해 집주인 본인인지, 실수로 시스템을 작동한 것인지 확인할 수 있다. 이는 간단해 보이지만 유사한 소셜 엔지니어링 및 피싱 해킹에 대한 방어책이 될 수 있다. 하지만 이 단순한 솔루션은 확장성이 떨어지고 자체적인 취약점이 있다.

한 단계 더 나아가면, P2P(peer-to-peer) 방식을 통해 대화를 디지털로 검증하는 자동화 방법도 해결책이 될 수 있다. 이렇게 하면 신원이 확인된 사람이 조직 내부 또는 외부에서 대화하고 있는지 확인할 수 있다. 이는 과거 TV 시리즈 '스타트렉' 에피소드(Whom Gods Destroy)에서 스팍이 커크 선장의 복제 인간을 만났을 때, 신원을 확인하기 위해 구체적인 답변을 요구하는 장면과 거의 흡사하다. 옥타는 스푸핑 문제를 해결하기 위해 인증 워크플로우에 동영상을 추가할 것을 제안했지만, 이는 커크 선장의 신원 복제와 유사하게 시중에 나와 있는 대부분의 생성형 AI 기반 솔루션으로 쉽게 우회할 수 있다.

신원 확인 기술은 문제를 대규모로 해결할 수 있으며 혁신적인 스타트업 기업들도 등장하고 있다. AI 지원 소프트웨어 솔루션은 프로세스에 루틴을 추가해 거래 또는 계정 변경 전에 사용자에게 신원 확인 메시지를 보내는 추가 보안을 설정할 수 있다. 오늘날에는 상담원과 대화하기 전에 나이, 계정 소유권 등 속성을 확인하는 시스템도 있다.

콜센터 인증에서 기업 사용 인증으로, 그리고 향후 몇 년 안에 다른 비즈니스 및 개인 범주로까지 수많은 사용 사례가 확장될 수 있다. 이를 위해선 자신이 말하고 있는 사람과 진정으로 상호 작용한다고 확신할 수 있어야 한다. 서로 연결된 세상에서 더욱 안전함을 느끼고 안심할 수 있을 것이다.

* Rick Grinnell는 CIO닷컴에 정기적으로 기고하고 있다. ciokr@idg.co.kr