대다수 직원은 문제가 발생하기 전까지는 IT 헬프데스크에 대해 별다른 생각을 갖지 않는다. 안타깝게도 기업은 사소한 IT 문제로 인해 발생하는 숨은 비용을 간과할 수 있다.
직원이 업무 중단을 경험하면 불만은 높아지고 생산성은 떨어진다. 다운타임은 개인의 워크플로우와 IT 상담원의 효율성을 방해한다. 또한 잦은 잠근, 비밀번호 재설정 및 재인증으로 인해 잠재적인 보안 취약점이 발생할 수 있다. 지연과 중단은 결과적으로 매출 손실로 이어질 수 있다.
비용은 어디에서 발생하는가? 스태티스타(Statista)에 따르면 직원의 56%는 매달 최소 한 번 이상 비밀번호를 재설정한다. 그 결과 전체 지원 티켓의 절반이 비밀번호 재설정을 위해 사용된다. 여기에 다단계 인증(MFA) 재설정을 추가하면 그 수치는 훨씬 더 높아질 수 있다. 대규모의 계정 잠금은 시간이 지남에 따라 상당한 비용을 초래하기도 한다.
긴 인증 프로세스도 또 다른 요인이다. 포레스터 연구에 따르면 기업은 비밀번호 재설정에 건당 87달러(2024년 물가 상승률에 따라 조정)를 지출하는데, 연간으로 환산하면 1인당 795달러에 달한다. 여기에 관리자의 개입이 필요하거나 MFA 재설정을 위해 시각적 인증이 필요한 경우 상황은 더 악화된다. 한 번의 시각적 인증에 162달러 이상의 비용이 들며, 해결에도 몇 시간이 소요될 수 있다. 이런 비용에는 직원이 다시 액세스하기 위해 기다리는 동안의 업무 시간 손실과, 관리자가 직원 확인을 위해 정규 업무에서 시간을 할애하는 것까지 고려해야 한다.
그리고 잠금과 재인증이 많을수록 위협 행위자가 이 기회를 악용할 가능성도 커진다. 대부분의 인증 방법은 실제로 매우 쉽게 우회할 수 있으며, 보안 요소가 제대로 고안되지 않는 경우도 많다. 이런 방법은 태생적으로 유연하지 않기 때문에 쓸모없게 되거나 악용될 수 있다. 조직의 헬프데스크에서 아래 방법 중 하나를 사용해 사람을 인증하고 있다면 리스크에 노출돼 있는 것이다.
• 보안 질문: 이 시점에서 소셜미디어(반려동물의 이름), 공공 기록(어머니의 생일), 이전 데이터 유출(SSN 마지막 네 자리)을 통해 답변을 쉽게 얻을 수 있는 보안 질문은 이미 위협 행위자의 손에 들어가 있다고 가정해야 한다.
• 문자 메시지나 이메일을 통해 전송되는 일회용 비밀번호: 이 방법은 보안 부담을 다른 계정에 떠넘길 뿐이다. 문자 메시지는 SMS 트로이 목마, SIM 스와핑, OTP 가로채기 봇 등의 멀웨어를 통해 유출될 수 있다. 이메일 비밀번호와 링크는 기존의 MFA 요소가 작용하거나 사용자 이름 및 비밀번호로만 보호되는 사용자 이메일 주소에 누군가 액세스할 수 있는 경우(이전 침해로 인해 유출됐을 가능성) 도용될 수 있다. 또한 휴대폰을 분실했거나 계정이 잠겨 헬프데스크에 연락하는 경우 문자나 이메일을 받을 수 없을 가능성이 높다.
• 인증 앱으로 전송되는 푸시 알림: 이 방법은 2022년경에 등장한 푸시 피로(push fatigue) 공격에 취약하다. 푸시 피로 공격은 사용자가 고의 또는 실수로 ‘승인’을 클릭하고 위협 행위자를 허용할 정도로 ‘피로’가 쌓일 때까지 사용자의 휴대폰에 MFA 푸시 요청을 쏟아붓는 방식이다. 사기범은 반복된 MFA 푸시 요청 후 사용자에게 전화를 걸어 IT 직원으로 가장해 수락하도록 유도할 수 있다. 2022년에 마이크로소프트는 38만 2,000건 이상의 MFA 피로 공격을 보고했다.
사용자가 인증 앱에 액세스할 수 없다면 어떻게 될까? 새 휴대폰으로 업그레이드할 때 실망스러운 점 중 하나는 해당 디바이스에 연결된 모든 계정이 잠길 가능성이 있다는 것이다. 인증 앱에 액세스할 수 없는 경우 이를 복구할 유일한 방법은 헬프데스크에 전화해 사용자의 신원을 수동으로 확인하는 것이다. 이 과정에서 헬프데스크 상담원은 조작에 취약해질 수 있다. 여기엔 사용자가 잠긴 적이 없더라도 악의적인 공격자가 계정 복구 프로세스를 악용해 사용자를 사칭하고, 상담원을 속여 계정을 재설정하고 민감한 정보에 무단으로 액세스할 수 있는 리스크가 내재돼 있다.
• 소셜 엔지니어링과 딥페이크: IT 헬프데스크의 주요 취약점인 소셜 엔지니어링은 사기꾼이 IT 지원팀을 속여 사용자 계정을 재설정하도록 유도해 MFA를 우회하는 방식이다. 지난해 MGM 리조트 인터내셔널에서도 발생했을 만큼 매우 심각하기 때문에 최근 미국 보건부는 이 위협에 대한 경보를 발령했다. 해커 그룹인 스캐터드 스파이더는 MGM의 고위급 직원을 사칭해 헬프데스크 직원에게 비밀번호와 MFA 코드를 재설정하도록 유도했다. 해커들은 MGM 직원의 소셜미디어와 옥타(OKTA) 계정에 액세스해 디지털 클라우드를 손상시키고 며칠 동안 회사 시스템을 마비시켰다.
딥페이크 영상 통화도 최근 문제가 되고 있다. 지난 2월 홍콩의 한 기업에서는 직원이 CEO의 모습을 재현한 딥페이크에 속아 25만 달러를 보냈으며, 영국의 다국적 기업은 50만 달러 이상의 손해를 봤다.
비용을 줄이는 방법
첫 번째 단계는 사용자 인증과 같이 헬프데스크 운영이 중단되는 노출 지점을 파악하는 것이다. 보안 리스크로 인해 헬프데스크는 점점 더 많은 영상 인증 통화를 요구하고, 때로는 관리자의 도움을 받아야 하며, 작업을 완료하는 데 몇 시간을 할애한다. 마찬가지로 비밀번호 및 MFA 토큰 재설정은 헬프데스크 상담원이 수행하는 고도의 수작업 과정이기 때문에 완료하는 데 몇 분이 걸린다. 이는 위협 행위자가 소셜 엔지니어링을 사용해 합법적인 사용자를 사칭하는 데 악용될 수 있다.
노출 지점이 발견되면 조직은 더 강력하고 빠른 인증 요소를 도입해야 한다. 보안 질문, 푸시 알림, 일회용 비밀번호는 유연성이 떨어지고 위협 행위자가 악용하기 쉽기 때문에 시각적 인증이 유행하고 있지만, 30초 이내에 실시간으로 개인의 정부 발급 신분증 사진과 실시간 셀카를 교차 검증하는 더 나은 유형의 인증도 있다. 안면 생체인식, 모바일 암호화, AI를 포함한 다각적 접근 방식을 통해 이 작업을 즉시 수행하는 제품도 출시돼 있다. 이런 제품은 헬프데스크 상담원이 모든 유형의 신원 확인 요청을 전송, 관리 및 검토할 수 있는 통합 콘솔을 제공한다.
셀프서비스 솔루션도 하나의 옵션이 될 수 있다. 새로운 유형의 셀프서비스 계정 복구(SSAR)를 사용하면 헬프데스크의 개입이나 리스크 증가 없이 직원이 직접 비밀번호와 MFA 토큰을 재설정할 수 있다. 이런 솔루션이 가능한 이유는 신원 확인 기업들이 마침내 MFA 재설정과 같은 초고위험도 기능에 필요한 수준의 보안을 제공하는 기술을 개발하고 있기 때문이다. 기업이 점점 더 첨단 기술에 의존하고 투자함에 따라 딥페이크 같은 기술도 진화할 것이며, IT 헬프데스크의 중요성은 더욱 커질 수 있다. 딥페이크 공격을 차단하는 특수 목적의 고급 기술은 헬프데스크 비용을 절감하고 직원을 불만을 줄이며 고객과 회사의 자산을 보호하는 데 도움이 될 수 있다.
* Aaron Painter는 딥페이크 전문가이자 딥페이크 신원 확인 플랫폼 기업 네임택(Nametag)의 CEO다. ciokr@idg.co.kr