2013.09.27

"소셜 미디어는 해커들의 놀이터" IBM 보안 동향 보고서

John P. Mello, Jr. | CSO
IBM은 지난 화요일 X-Force 2013년 상반기 동향 및 리스크 보고서에서 소셜 미디어가 해커들의 주요 공격 대상이 되었고 모바일 기기의 확산은 그런 경향을 더욱 심화시키고 있다고 밝혔다.

보고서에 따르면, 기업을 대상으로 한 공격이 점점 더 교묘해지고 있다. IBM 연구원들은 일부 공격의 경우 패치가 없거나 테스트를 거치지 않아 SQL 주입이나 XSS(cross-site scripting)같은 기본적인 공격에도 취약한 웹 애플리케이션만을 노리는 등 기회주의적인 면모까지 보였다고 전했다.

다른 공격의 경우 엔드 유저가 안전하다고 신뢰한 사이트나 소셜 미디어와의 기본적인 신뢰를 배신하면서 일어났다.

IBM 시큐리티 시스템즈(IBM Security Systems)의 제품 전략 프로그램 디렉터 케빈 스캐피넷은 “소셜 미디어는 해커들의 새로운 놀이터나 마찬가지다”라고 말했다.

보고서는 수많은 팔로어를 거느리는 소셜 미디어 유명 인사의 프로필을 해킹하는 것도 올해 주요 동향 중 하나로 꼽았다. 또한 해커들이 타깃에 도달하는 방법도 이런 트렌드에 크게 좌우된다고 한다.

“이름도 모르는 사람에게 이메일이나 스팸메일이 오는 건 약과다. 심지어는 친구 계정이 해킹 당해 친한 친구의 주소로 흥미를 가질만한 링크를 보내오기도 한다”고 스캐피넷은 <CSO>와의 인터뷰에서 설명했다.

전통적인 온라인 해킹 매체인 이메일도 소셜 미디어 트렌드로부터 자유롭지는 않다. “해킹에 이메일을 사용할 때도 소셜 미디어 계정에서 보낸 메일인 것처럼 위장해서 보낸다. 해커들이 점점 더 교묘한 수법을 사용하고 있는 것이다"라고 그는 말했다.

소셜 미디어를 통한 공격의 피해는 여기서 그치지 않는다. 소셜 미디어 해킹은 개인에게만 영향을 미치는 것이 아니라 기업 브랜드 평가에도 악영향을 미쳐 재정적 손실로까지 이어질 수 있다고 보고서는 밝혔다.

모바일 기기 역시 해커들을 끌어당기는 자석과 같다. “모바일 기기가 가지는 취약성 역시 빠른 속도로 증가하고 있지만, 아직 까지는 전체 취약점 중 작은 부분만 차지하고 있다"고 보고서는 덧붙었다.

상황을 더 악화시키는 건 BYOD 프로그램 덕분에 급속도로 확산된 직장에서 사용하는 모바일 기기다. HBGary의 위험 정보담당 이사 매튜 스탠다트는 “BYOD는 기업 보안 측면에서 보면 악몽이나 다름 없다”고 말했다.

“기업에서 나눠주고 관리하는 기기라도 철저한 보안이 어려운 상황이고 모든 기기를 다 관리 감독 하는 것 자체도 쉽지 않다. 그런 상태에서 직원들에게 각자 전자기기를 가져오라고 말하는 건 그런 어려움을 열 배는 더 복잡하게 만드는 것이다"고 스탠다트는 말했다.

IBM 보고서는 또 디도스 공격에 단순히 타깃 사이트의 서비스를 방해하는 것 이상의 목적이 있다고 지적했다. 디도스 공격으로 주의를 끌고 그 사이에 다른 해커들이 기업의 다른 시스템을 공격하기 위함이라는 것이다.

인캡슐라(Incapsula)의 공동 창립자인 마크 가판(Marc Gaffan)은 “공격 자체와 공격 위협을 일종의 미끼로 사용하는 것"이라고 <CSO>와의 인터뷰에서 밝혔다.

“해커들이 사용하는 방법 중 하나가, 웹사이트 하나를 다운시킨 다음 IT 직원들의 주의를 디도스 공격으로 돌리고, 아무도 신경 쓰지 못하는 틈을 타서 더 복잡한 공격을 감행하는 것이다”고 그는 설명했다.

이처럼 미끼로 유인하는 공격 수법은 피싱 수법과 함께 사용할 수도 있다고 그는 덧붙였다. 예를 들어, 은행 고객에게 원래 은행 웹사이트 주소에 문제가 생겼으니 다른 주소를 사용해 달라는 내용의 피싱 메시지를 보낸다. 메시지를 받은 사람은 보안 규칙을 기억하고 여기에 속지 않고 원래 은행 주소로 브라우저에 접속한다.

그 때 은행은 디도스 공격을 받고 있는 상태이기 때문에, 접속자는 당연히 웹사이트에 들어갈 수 없게 된다. 그래서 반신반의하게 된 접속자는 피싱 메시지에 있는 URL을 클릭하고 감염되는 것이다.

이런 식의 디도스 공격이 아직까지 주류를 차지하고 있지는 않다. 버라큐다 네트웍스(Barracuda Networks)의 연구 과학자 다니엘 펙은 “실제로 사례가 없는 것은 아니지만, 비교적 드문 일이다”라고 말했다.

IBM 보고서는 기업들이 보안 강화를 위해 얼마나 노력하고 있는지 의문을 던졌다. “올해 보고된 많은 보안 위협들은 보안 수칙이나 정책의 기본만 잘 지키고 기본적인 보안 장치만 되어 있었어도 피할 수 있는 것들이 많았다”고 연구원들은 보고서에서 지적했다.

보고서는 “해커들은 이런 ‘보안 노력의 부재’를 기회 삼아 교묘한 수법으로 해킹을 감행, 수익을 올리고 있다”고 전했다.

“기업들에서 이처럼 기본적인 보안 대비책마저 마련해두고 있지 않다는 사실로 봤을 때, 여러 가지 이유로 기업들이 기본 보안 수칙을 지킬 의욕이 별로 없는 것이 아닌가 의문스럽다”는 것이 연구원들의 의견이다.

임페르바(Imperva)의 수석 정보보호 관리자 배리 슈테이먼은 인터뷰에서 기업들이 보안의 기본을 망각하는 이유가 보안에 대한 근본적 이해가 부족하기 때문이라고 말했다. “대게 기업들은 안전벨트 착용과 자동차 보험 사이의 차이를 이해하지 못한다. 사고가 터진 다음에 기업 평판을 수습하는 것보다 사전에 예방하는 것이 더 중요함을 모르는 것이다”라고 그는 지적했다. ciokr@idg.co.kr



2013.09.27

"소셜 미디어는 해커들의 놀이터" IBM 보안 동향 보고서

John P. Mello, Jr. | CSO
IBM은 지난 화요일 X-Force 2013년 상반기 동향 및 리스크 보고서에서 소셜 미디어가 해커들의 주요 공격 대상이 되었고 모바일 기기의 확산은 그런 경향을 더욱 심화시키고 있다고 밝혔다.

보고서에 따르면, 기업을 대상으로 한 공격이 점점 더 교묘해지고 있다. IBM 연구원들은 일부 공격의 경우 패치가 없거나 테스트를 거치지 않아 SQL 주입이나 XSS(cross-site scripting)같은 기본적인 공격에도 취약한 웹 애플리케이션만을 노리는 등 기회주의적인 면모까지 보였다고 전했다.

다른 공격의 경우 엔드 유저가 안전하다고 신뢰한 사이트나 소셜 미디어와의 기본적인 신뢰를 배신하면서 일어났다.

IBM 시큐리티 시스템즈(IBM Security Systems)의 제품 전략 프로그램 디렉터 케빈 스캐피넷은 “소셜 미디어는 해커들의 새로운 놀이터나 마찬가지다”라고 말했다.

보고서는 수많은 팔로어를 거느리는 소셜 미디어 유명 인사의 프로필을 해킹하는 것도 올해 주요 동향 중 하나로 꼽았다. 또한 해커들이 타깃에 도달하는 방법도 이런 트렌드에 크게 좌우된다고 한다.

“이름도 모르는 사람에게 이메일이나 스팸메일이 오는 건 약과다. 심지어는 친구 계정이 해킹 당해 친한 친구의 주소로 흥미를 가질만한 링크를 보내오기도 한다”고 스캐피넷은 <CSO>와의 인터뷰에서 설명했다.

전통적인 온라인 해킹 매체인 이메일도 소셜 미디어 트렌드로부터 자유롭지는 않다. “해킹에 이메일을 사용할 때도 소셜 미디어 계정에서 보낸 메일인 것처럼 위장해서 보낸다. 해커들이 점점 더 교묘한 수법을 사용하고 있는 것이다"라고 그는 말했다.

소셜 미디어를 통한 공격의 피해는 여기서 그치지 않는다. 소셜 미디어 해킹은 개인에게만 영향을 미치는 것이 아니라 기업 브랜드 평가에도 악영향을 미쳐 재정적 손실로까지 이어질 수 있다고 보고서는 밝혔다.

모바일 기기 역시 해커들을 끌어당기는 자석과 같다. “모바일 기기가 가지는 취약성 역시 빠른 속도로 증가하고 있지만, 아직 까지는 전체 취약점 중 작은 부분만 차지하고 있다"고 보고서는 덧붙었다.

상황을 더 악화시키는 건 BYOD 프로그램 덕분에 급속도로 확산된 직장에서 사용하는 모바일 기기다. HBGary의 위험 정보담당 이사 매튜 스탠다트는 “BYOD는 기업 보안 측면에서 보면 악몽이나 다름 없다”고 말했다.

“기업에서 나눠주고 관리하는 기기라도 철저한 보안이 어려운 상황이고 모든 기기를 다 관리 감독 하는 것 자체도 쉽지 않다. 그런 상태에서 직원들에게 각자 전자기기를 가져오라고 말하는 건 그런 어려움을 열 배는 더 복잡하게 만드는 것이다"고 스탠다트는 말했다.

IBM 보고서는 또 디도스 공격에 단순히 타깃 사이트의 서비스를 방해하는 것 이상의 목적이 있다고 지적했다. 디도스 공격으로 주의를 끌고 그 사이에 다른 해커들이 기업의 다른 시스템을 공격하기 위함이라는 것이다.

인캡슐라(Incapsula)의 공동 창립자인 마크 가판(Marc Gaffan)은 “공격 자체와 공격 위협을 일종의 미끼로 사용하는 것"이라고 <CSO>와의 인터뷰에서 밝혔다.

“해커들이 사용하는 방법 중 하나가, 웹사이트 하나를 다운시킨 다음 IT 직원들의 주의를 디도스 공격으로 돌리고, 아무도 신경 쓰지 못하는 틈을 타서 더 복잡한 공격을 감행하는 것이다”고 그는 설명했다.

이처럼 미끼로 유인하는 공격 수법은 피싱 수법과 함께 사용할 수도 있다고 그는 덧붙였다. 예를 들어, 은행 고객에게 원래 은행 웹사이트 주소에 문제가 생겼으니 다른 주소를 사용해 달라는 내용의 피싱 메시지를 보낸다. 메시지를 받은 사람은 보안 규칙을 기억하고 여기에 속지 않고 원래 은행 주소로 브라우저에 접속한다.

그 때 은행은 디도스 공격을 받고 있는 상태이기 때문에, 접속자는 당연히 웹사이트에 들어갈 수 없게 된다. 그래서 반신반의하게 된 접속자는 피싱 메시지에 있는 URL을 클릭하고 감염되는 것이다.

이런 식의 디도스 공격이 아직까지 주류를 차지하고 있지는 않다. 버라큐다 네트웍스(Barracuda Networks)의 연구 과학자 다니엘 펙은 “실제로 사례가 없는 것은 아니지만, 비교적 드문 일이다”라고 말했다.

IBM 보고서는 기업들이 보안 강화를 위해 얼마나 노력하고 있는지 의문을 던졌다. “올해 보고된 많은 보안 위협들은 보안 수칙이나 정책의 기본만 잘 지키고 기본적인 보안 장치만 되어 있었어도 피할 수 있는 것들이 많았다”고 연구원들은 보고서에서 지적했다.

보고서는 “해커들은 이런 ‘보안 노력의 부재’를 기회 삼아 교묘한 수법으로 해킹을 감행, 수익을 올리고 있다”고 전했다.

“기업들에서 이처럼 기본적인 보안 대비책마저 마련해두고 있지 않다는 사실로 봤을 때, 여러 가지 이유로 기업들이 기본 보안 수칙을 지킬 의욕이 별로 없는 것이 아닌가 의문스럽다”는 것이 연구원들의 의견이다.

임페르바(Imperva)의 수석 정보보호 관리자 배리 슈테이먼은 인터뷰에서 기업들이 보안의 기본을 망각하는 이유가 보안에 대한 근본적 이해가 부족하기 때문이라고 말했다. “대게 기업들은 안전벨트 착용과 자동차 보험 사이의 차이를 이해하지 못한다. 사고가 터진 다음에 기업 평판을 수습하는 것보다 사전에 예방하는 것이 더 중요함을 모르는 것이다”라고 그는 지적했다. ciokr@idg.co.kr

X