Offcanvas

비즈니스|경제 / 악성코드

“위협 행위자, ‘휴먼팩터’ 악용해 더 창의적으로 변하고 있다”

2022.06.14 John P. Mello Jr.  |  CSO
‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다. 

프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다. 
 
ⓒGetty Images Bank

지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다). 

이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다. 

보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다. 

내부자 위협에 따른 위험이 증가하다
보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절한 프로토콜이 무엇인지, 어떤 데이터가 접근 가능한지(또는 접근할 수 없는지), 어떤 채널을 사용해야 적절한지 불확실성이 컸다”라고 설명했다. 

공급업체 위험에는 가짜 요청과 피싱이 포함된다 
공급망 공격은 작년 한 해 동안 또 다른 이슈였다. 프루프포인트는 (자사) 고객의 80%가 공급업체 중 한 곳에서 온 것처럼 보이는 위협을 받았다고 밝혔다. 보고서에 의하면 공급망 위협은 대부분 피싱 또는 위장 공격이며, 악성코드와 관련될 가능성이 훨씬 적기 때문에 다른 종류의 위협과는 다르다. SASE 제공업체 디스퍼시브 홀딩스(Dispersive Holdings)의 CEO 라지브 핌플라스카는 “소프트웨어 또는 하드웨어 공급업체와 서드파티 공급업체를 통한 공급망 공격이 급증하고 있다. 기업의 80%가 ‘월 단위로’ 손상된 공급업체 계정의 공격을 받는 건 놀라운 일이 아니다”라고 언급했다. 

권한 수준이 높은 사용자를 타깃으로 하다
당연할 일이지만 보고서는 기업에서 가장 높은 권한을 가진 사용자가 공격자의 가장 큰 타깃이라는 사실을 발견했다. 경영진과 관리자는 기업 내 전체 사용자의 10%에 불과했지만 가장 심각한 공격 위험의 약 50%를 차지했다. 

클라우드 업체를 활용하다
보고서는 또한 위협 행위자가 상업용 클라우드 업체를 악의적인 계획에 활용하고 있다고 언급했다. 프루프포인트가 추적한 ‘TA571’이라는 그룹은 원드라이브 또는 구글 드라이브에서 호스팅하는 ZIP 파일 링크가 포함된 이메일을 배포한다. 엑셀 파일이 포함된 압축 폴더를 열면 엑셀에서 매크로가 활성화된 경우 시스템에 UNSNIF 맬웨어가 다운로드된다. 대부분의 사례에서 휴먼팩터가 공격의 기술적 세부 사항보다 더 중요하다고 보고서는 말했다. 사이버 범죄자는 활용할 수 있는 관계, 남용할 수 있는 신뢰, 악용할 수 있는 액세스를 찾고 있다는 게 보고서의 설명이다.  

휴먼팩터 공격 완화하기 
보고서는 누가 공격받는지, 어떻게 공격받는지, 악의적인 것을 클릭했는지 등에 관한 가시성을 제공하는 솔루션을 배포하라고 권고했다. 아울러 타깃이 되는 방법, 액세스할 수 있는 데이터, 공격의 희생양이 되는 경향 등 각 사용자가 나타내는 개별 위험도 고려하라고 덧붙였다. “기업은 사용자(사람)가 최전선에 놓이기 전에 이러한 문제를 대규모로 해결하기 위해 기술을 활용하는 방법을 찾아야 한다. 조직적인 위협 행위자 집단의 공격을 개인이 막아낼 순 없다”라고 드그리포는 말했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.