2017.03.31

'의심 없이 속더라' 소셜 엔지니어링 실전 테스트 결과

Ryan Francis | CSO
누구나 사기를 당할 수 있다. 악당들은 한 번의 기회를 노릴 뿐이다. 소셜 인식 캠페인은 직원들이 회사에서 부지런히 보안을 유지하도록 하는 것이 관건이다. IRS, 은행, 우체국 등의 링크는 실제처럼 보이지만 좀 더 가까워 보인다.



어큐데이터 시스템즈(Accudata Systems)의 수석 평가 및 규제 준수 컨설턴트인 안톤 아바야는 한 회사로부터 직원들 몰래 네트워크와 물리적 보안의 구멍을 찾아 달라는 요청을 받았다. 여기에서 그는 자신의 경험 중 일부를 공유했다. 프라이버시 보호를 위해 고객의 실명은 거론하지 않았다.

불쑥 찾아온 방문객
아바야는 스테이플스(Staples)에서 구한 기본적인 재료로 만든 고객의 로고와 ‘IT 계약직원’이라는 문구가 새겨진 가짜 배지를 착용하고 은행에 갔다. 그가 말을 꺼내기도 전에 접수원은 팩스 기계를 고치러 왔는지 물어보았고 그는 “그렇다”고 대답했다. 이때, 그는 창구 시스템을 포함하여 현장에서 기타 컴퓨터를 ‘수리’했다.

해당 은행의 직원이 아바야를 전적으로 신뢰했기 때문에 모든 것에 접근할 수 있었다. 그 직원과 아바야는 (아바야의 USB 드라이브를 연결하고 애플리케이션을 실행하는 것을 포함하여) 창구 워크스테이션, 기타 새로운 은행 계좌 개설용 워크스테이션, 물리적인 보안 시스템(동영상 모니터링 시스템 등)에 물리적으로 접근했다. “우리는 정기 유지보수와 함께 보안 강화를 제공하고 있다”고 말하자 해당 직원은 그가 원하는 거의 모든 것에 접근할 수 있도록 허용했다. 그는 은행의 경비원을 예의주시했지만, 그 직원은 아바야에 대해 거의 신경 쓰지 않았다.

해당 은행은 은행직원이 항상 본사의 공식적인 IT 업무지원센터로 문의하여 모든 작업승인을 확인할 뿐 아니라 신분증을 요구하도록 하는 절차가 마련되어 있었다. 아바야는 은행 관리자가 없는 점심시간에 다시 돌아왔다.

사탕 미끼
아바야는 발렌타인데이에 즈음하여 고객의 접수구역에 구체적인 수신인을 명시하지 않고 풍선이 부착된 초콜릿 상자와 ‘To my love(내 사랑에게)’라고 적힌 USB 드라이브를 남겨 두었다. 그 USB드라이브를 열면 귀여운 ‘I love you forever my Bunny(나는 너를 평생 사랑해)’ 동영상이 재생되며 그 이면에서는 서버에 구동을 확인하는 실행파일이 실행된다.

접수원은 이것을 또 다른 행정 사무직원(관리자)에게 전달했고 그는 이것을 열어 보았다. IT는 개입하지 않았다.

시험 성적은 ‘F’였다
아바야는 주요 대학에서 학생으로 변장해 IT 고급수업을 청강하면서 ‘실질적인 IT 문제’에 대해 연구하고 있었다. 그는 같은 대학의 윈도우 시스템 관리자를 꾀어 서버에 구동을 확인하는 실행파일을 실행하도록 했다.

믿을 수 없는 현실
아바야는 대학 캠퍼스에서 자신이 사용하는 소셜 네트워킹 사이트(페이스북, 트위터, 옐프(Yelp) 등)에 대한 간단한 설문조사를 작성하면 아이패드를 무료로 제공한다고 광고하는 전단을 1,000장 이상 배포한 적이 있다. 설문조사 사이트는 대학 소유인 것처럼 꾸몄고 가짜 도메인명을 사용했으며 설문조사 말미에 사용자들에게 사용자 이름과 비밀번호 제공을 요청했다.

딱지 발부
아바야는 수신인에게 해당 기업의 주차 부서에서 소화전 옆에 주차한 것에 대해 딱지를 발부하여 100달러의 벌금을 내야 한다는 피싱(Phishing) 이메일을 전송한 적이 있다. 심지어 해당 피싱 이메일이 진짜처럼 보이도록 해당 기업의 자체 웹사이트(www.companyname.com/login 등)로 속일 수 있는 또 다른 취약성도 활용했다. 그 이메일에는 특별히 제작된 웹사이트 회사 크리덴셜(Credential)로 로그인한 경우 이의를 제기할 수 있는 (또는 면제받을 수 있는) 옵션이 있었다. 그는 의료기록 직원, 급여 담당자, 회계 담당자, 재무 관리자, IT 관리자/프로그래머를 포함하여 50명 이상의 직원들을 속였다.

사기
회사 사무실의 뒷문으로 들어가 IT 소속인 척하면서 여러 직원에게 “바이러스가 돌아다니고 있다”는 이유로 그들의 컴퓨터를 ‘잠시만’ 사용하겠다고 요청했다. 대부분 직원은 즉시 허락했기 때문에 아바야는 USB 드라이브를 연결하고 ‘집에 전화를 거는’ 실행 파일을 실행했다. 그의 존재에 거부감이 들 가능성이 더 높은 곳에서는 배지를 착용하고 다양한 이야기(“이번에 들어온 신입이라 처음 본다” 등)를 꾸며댔다.

데이터 판매
아바야는 대형 상점에 들어가 매장 관리자에게 자신이 기업 IT소속이며 하드 드라이브가 죽어가고 있기 때문에 교체가 필요하다는 이유로 서버 클로젯(Closet)에 접근해야 한다고 말했다. 그는 가짜 배지, 비즈니스 캐주얼 복장을 착용하고 교체용 하드 드라이브, 회사 로고가 달린 클립보드, 스크루드라이버, 네트워킹 장비 등을 챙겼다.

무엇을 얻었나
목표했던 직원들에게 HR관리자와 직원 사이에서 ‘Salary Report 2015.xlsx’라는 제목의 페이로드(Payload) 지원 파일이 첨부된 가짜 이메일을 ‘실수로’ 수신참조로 발송했다. ‘실수로 CC 발송한 급여 보고서’는 놀랍도록 효과적이다. 표적의 60%가 답신을 보냈으며 IT 또는 정보 보안 직원에 보고하는 직원의 비율은 낮았다. 아바야는 100~300명의 직원을 보유한 여러 기업에서 이것을 때에 따라 적절히 활용했다. ciokr@idg.co.kr
 



2017.03.31

'의심 없이 속더라' 소셜 엔지니어링 실전 테스트 결과

Ryan Francis | CSO
누구나 사기를 당할 수 있다. 악당들은 한 번의 기회를 노릴 뿐이다. 소셜 인식 캠페인은 직원들이 회사에서 부지런히 보안을 유지하도록 하는 것이 관건이다. IRS, 은행, 우체국 등의 링크는 실제처럼 보이지만 좀 더 가까워 보인다.



어큐데이터 시스템즈(Accudata Systems)의 수석 평가 및 규제 준수 컨설턴트인 안톤 아바야는 한 회사로부터 직원들 몰래 네트워크와 물리적 보안의 구멍을 찾아 달라는 요청을 받았다. 여기에서 그는 자신의 경험 중 일부를 공유했다. 프라이버시 보호를 위해 고객의 실명은 거론하지 않았다.

불쑥 찾아온 방문객
아바야는 스테이플스(Staples)에서 구한 기본적인 재료로 만든 고객의 로고와 ‘IT 계약직원’이라는 문구가 새겨진 가짜 배지를 착용하고 은행에 갔다. 그가 말을 꺼내기도 전에 접수원은 팩스 기계를 고치러 왔는지 물어보았고 그는 “그렇다”고 대답했다. 이때, 그는 창구 시스템을 포함하여 현장에서 기타 컴퓨터를 ‘수리’했다.

해당 은행의 직원이 아바야를 전적으로 신뢰했기 때문에 모든 것에 접근할 수 있었다. 그 직원과 아바야는 (아바야의 USB 드라이브를 연결하고 애플리케이션을 실행하는 것을 포함하여) 창구 워크스테이션, 기타 새로운 은행 계좌 개설용 워크스테이션, 물리적인 보안 시스템(동영상 모니터링 시스템 등)에 물리적으로 접근했다. “우리는 정기 유지보수와 함께 보안 강화를 제공하고 있다”고 말하자 해당 직원은 그가 원하는 거의 모든 것에 접근할 수 있도록 허용했다. 그는 은행의 경비원을 예의주시했지만, 그 직원은 아바야에 대해 거의 신경 쓰지 않았다.

해당 은행은 은행직원이 항상 본사의 공식적인 IT 업무지원센터로 문의하여 모든 작업승인을 확인할 뿐 아니라 신분증을 요구하도록 하는 절차가 마련되어 있었다. 아바야는 은행 관리자가 없는 점심시간에 다시 돌아왔다.

사탕 미끼
아바야는 발렌타인데이에 즈음하여 고객의 접수구역에 구체적인 수신인을 명시하지 않고 풍선이 부착된 초콜릿 상자와 ‘To my love(내 사랑에게)’라고 적힌 USB 드라이브를 남겨 두었다. 그 USB드라이브를 열면 귀여운 ‘I love you forever my Bunny(나는 너를 평생 사랑해)’ 동영상이 재생되며 그 이면에서는 서버에 구동을 확인하는 실행파일이 실행된다.

접수원은 이것을 또 다른 행정 사무직원(관리자)에게 전달했고 그는 이것을 열어 보았다. IT는 개입하지 않았다.

시험 성적은 ‘F’였다
아바야는 주요 대학에서 학생으로 변장해 IT 고급수업을 청강하면서 ‘실질적인 IT 문제’에 대해 연구하고 있었다. 그는 같은 대학의 윈도우 시스템 관리자를 꾀어 서버에 구동을 확인하는 실행파일을 실행하도록 했다.

믿을 수 없는 현실
아바야는 대학 캠퍼스에서 자신이 사용하는 소셜 네트워킹 사이트(페이스북, 트위터, 옐프(Yelp) 등)에 대한 간단한 설문조사를 작성하면 아이패드를 무료로 제공한다고 광고하는 전단을 1,000장 이상 배포한 적이 있다. 설문조사 사이트는 대학 소유인 것처럼 꾸몄고 가짜 도메인명을 사용했으며 설문조사 말미에 사용자들에게 사용자 이름과 비밀번호 제공을 요청했다.

딱지 발부
아바야는 수신인에게 해당 기업의 주차 부서에서 소화전 옆에 주차한 것에 대해 딱지를 발부하여 100달러의 벌금을 내야 한다는 피싱(Phishing) 이메일을 전송한 적이 있다. 심지어 해당 피싱 이메일이 진짜처럼 보이도록 해당 기업의 자체 웹사이트(www.companyname.com/login 등)로 속일 수 있는 또 다른 취약성도 활용했다. 그 이메일에는 특별히 제작된 웹사이트 회사 크리덴셜(Credential)로 로그인한 경우 이의를 제기할 수 있는 (또는 면제받을 수 있는) 옵션이 있었다. 그는 의료기록 직원, 급여 담당자, 회계 담당자, 재무 관리자, IT 관리자/프로그래머를 포함하여 50명 이상의 직원들을 속였다.

사기
회사 사무실의 뒷문으로 들어가 IT 소속인 척하면서 여러 직원에게 “바이러스가 돌아다니고 있다”는 이유로 그들의 컴퓨터를 ‘잠시만’ 사용하겠다고 요청했다. 대부분 직원은 즉시 허락했기 때문에 아바야는 USB 드라이브를 연결하고 ‘집에 전화를 거는’ 실행 파일을 실행했다. 그의 존재에 거부감이 들 가능성이 더 높은 곳에서는 배지를 착용하고 다양한 이야기(“이번에 들어온 신입이라 처음 본다” 등)를 꾸며댔다.

데이터 판매
아바야는 대형 상점에 들어가 매장 관리자에게 자신이 기업 IT소속이며 하드 드라이브가 죽어가고 있기 때문에 교체가 필요하다는 이유로 서버 클로젯(Closet)에 접근해야 한다고 말했다. 그는 가짜 배지, 비즈니스 캐주얼 복장을 착용하고 교체용 하드 드라이브, 회사 로고가 달린 클립보드, 스크루드라이버, 네트워킹 장비 등을 챙겼다.

무엇을 얻었나
목표했던 직원들에게 HR관리자와 직원 사이에서 ‘Salary Report 2015.xlsx’라는 제목의 페이로드(Payload) 지원 파일이 첨부된 가짜 이메일을 ‘실수로’ 수신참조로 발송했다. ‘실수로 CC 발송한 급여 보고서’는 놀랍도록 효과적이다. 표적의 60%가 답신을 보냈으며 IT 또는 정보 보안 직원에 보고하는 직원의 비율은 낮았다. 아바야는 100~300명의 직원을 보유한 여러 기업에서 이것을 때에 따라 적절히 활용했다. ciokr@idg.co.kr
 

X