Offcanvas

CSO / 보안

칼럼 | 애플, 메타도 정부기관 사칭에 속았다… CISO가 배울 점은?

2022.04.13 Christopher Burgess  |  CSO
사이버 범죄자들이 사법 당국으로 위장하여 보낸 허위 요청으로 대기업의 민감한 고객 데이터를 탈취했다. 이 사건을 교훈 삼아 CISO는 정부 기관의 데이터 요청을 승인하는 절차를 재검토해야 한다. 
 
ⓒGerd Altmann

사법 당국임을 사칭한 해커들의 긴급 정보 공유 요청에 애플과 메타(페이스북 모회사)가 속아 넘어가 고객 데이터를 넘겨줬다고 최근 블룸버그가 보도했다. 소셜 엔지니어링 수법에 당한 것이다. 고객 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있다. 영장, 소환장 혹은 국가 안보 서신의 형태일 것이다. 기업들은 이러한 정부 요청을 처리하는 업무 프로세스가 존재하는지 확인할 필요가 있다.

특히, 대기업은 매일 수많은 정보 공유 요청을 받기 때문에 이를 모두 상세하게 검토하기 어려울 것이다. 따라서 해커들의 위장 정보 요청에 더 취약했을 수 있다. 메타와 애플은 정부 기관이 기업에 정보를 요청할 때 따라야 하는 가이드라인을 제공한다. 하지만 이 과정은 온라인 폼이나 이메일로만 이뤄져, 관계자들이 직접 만나서 소통할 기회가 없다. 이 두 기업이 정부 기관의 정보 요청을 처리하는 방식을 살펴본다.  

메타/페이스북의 긴급 정보 요청 프로세스 
메타/페이스북 정보 요청 가이드라인은 다양한 시나리오를 다룬다. 미국법 및 국제법, 계정 진위 및 정보 보존, 아동 안전, 데이터 보존 및 포맷, 사용자 동의 및 개인 통보, 그리고 긴급 요청 등을 포함한다. 메타가 속아 넘어간 ‘긴급 요청’ 가이드라인에는 데이터 이용 규칙 및 부당한 요청의 기소 가능성에 대한 경고문이 기재돼 있다. 다음은 온라인 요청서의 원문이다.
 
당사는 서비스 약관 및 해당 법률에 따라 계정 기록을 공개합니다. 
심각한 신체적 상해 또는 사망의 위험이 있는 긴급 공식 상황을 조사하는 경우에만 증거를 수집할 권한이 있는 법 집행 기관 또는 긴급 구조원이 이 시스템을 통해 페이스북에 기록을 요청할 수 있습니다. 
본 신청은 공인된 법 집행 기관에 소속되어 있는 법조인 혹은 긴급 상황을 조사하는 공무원으로서 집행하는 공식 요청입니다.

여기서 동의 확인 체크박스에 표시해야 하며 다음의 정보를 입력해야 한다. 
 
발급 기관 및 대리인의 이름, 법 집행 기관의 이메일 주소 및 직접 연락할 수 있는 전화번호가 필요합니다. 

이메일 주소, 전화번호(+XXXXXXXXX), 페이스북 프로일의 주소 (http://www.facebook.com/profile.php?id=1000000XXXXXXXX) 또는 사용자 이름(http://www.facebook.com/username)을 입력하십시오. 

애플의 긴급 정보 요청 프로세스 
애플은 메타와 조금 다르게 자체적으로 PDF 형식의 법 집행 요청 가이드라인(Guideline for Law Enforcement Requests)을 제공한다. 이 가이드는 메타/페이스북 못지않게 포괄적이며, 긴급 요청에 대한 부분은 더 상세하게 기재돼 있다. 이 가이드라인에는 별도 PDF 형식의 '긴급 정부/법률 집행 정보 요청서'를 통해 비상사태가 '개인의 생활 및 안전, 국가 보안 또는 중요 인프라 보안에 심각한 위협이나 상황을 초래할 수 있음을 요청자가 증명해야 한다'라고 명시돼 있다. 그다음 요청자는 지정된 전자 메일 주소로 '긴급 요청'이라는 제목과 함께 메일을 전송해야 한다. 

소셜 엔지니어링과 긴급 데이터 요청
소셜 엔지니어링은 보통 타깃이 원하는 가이드라인을 따르면서 특정한 정보나 행동이 다급하게 필요하다는 식으로 정보를 요청한다. 두 기업을 속인 해커도 비슷했다. 이를 알아채지 못했던 두 기업은 절차에 따라 정보 요청의 근거, 사실관계 확인, 그리고 담당자의 연락처를 요구했다. 

“자사에서는 법적 정당성을 검토하기 위해 모든 데이터 요청을 검토한다. 법 집행 요청을 검증하고 남용을 방지하도록 복잡한 절차가 적용된다”라고 메타 대변인 앤디 스톤이 블룸버그에 전했다. 그는 "알려진 허위 계정의 정보 요청을 차단하고 법 집행 기관과 협력하여 의심되는 허위 요청에 대응한다"라고 덧붙였다. 

그런데도 어떻게 해커들의 허위 정보 요청이 승인됐을까? 

해커들은 법 집행 기관의 유출된 이메일 계정을 이용했을 수 있다. 특정 메일 계정이 유출됐을 시 해야 할 기본 대응 방식이 있다. 먼저 계정 정보를 바꿔야 하며, 모든 사전 인증 과정에서 해당 이메일을 삭제하고, 유출된 계정에서 발송한 모든 메일이 더는 유효하지 않다고 모두에게 통지해야 한다. 하지만 미국의 법 집행 기관은 이렇게 하지 않은 것으로 추정된다. 

유출된 이메일 계정만 있으면 기업의 정보 요청 가이드라인만 따라서 위장 요청을 하는 것은 빈칸을 채우는 것만큼 쉬워진다. 요청자가 승인에 필요한 모든 연락처를 직접 입력하도록 돼 있어 정보를 쉽게 조작할 수 있다. 

긴급 데이터 요청 과정을 재검토하라 
CISO는 소속 기업이 허위 요청에 당하지 않도록 법무 및 HR 팀과 함께 데이터 요청 과정을 다시 검토해야 한다.  국가사이버보안동맹(National Cybersecurity Alliance)의 임시 이사 리사 플랙게미어는 "조직 내 '비즈니스 보안 담당자’(Business Security Officer)가 있어야 한다”라고 조언했다. 비즈니스 보안 담당자는 정보 보안팀의 지원을 받아 사업 운영 전반의 보안을 책임진다. 

아울러 그는 기업에서 내부 보안 위협을 감시하는 팀에 현업 직원들이 포함되지 않은 경우를 자주 목격했다고 지적했다. 현장에서 비즈니스를 운영하는 직원들이 내규와 절차 위주로 운영되는 보안 시스템에 가장 효과적인 조치를 취할 수 있다는 게 플랙게미어의 설명이다. 

그의 조언은 정확하다. 현장에서 매일 정보 요청을 처리하는 직원들이야말로 해커들의 사기 행태를 가장 잘 파악하고 이에 따른 조치를 취할 수 있다. 물론 기업은 기관의 요청을 수락하기 전에 사전 등록이나 제3자 진위 확인 요구등의 절차부터 간단하게 도입할 수 있다. 그러나 정보 요청의 신뢰성과 타당성을 검증할 수 있는 자체적인 역량을 갖춰 가는 것이 더 중요할 것이다.

* Christopher Burgess는 CIA에서 30년 이상 근무한 보안 전문가다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.