Offcanvas

CSO / 랜섬웨어 / 리더십|조직관리 / 보안 / 악성코드 / 훈련|교육

직원 '교육'과 '통제' 사이... 오늘날 사이버보안의 딜레마

2022.12.06 Deb Radcliff  |  CSO
오늘날 사이버 공격은 기업의 온갖 영역으로 침투한다. 이제는 직원들이 매일 애용하는 협업 도구의 기능 하나하나에 보안 취약점이 도사리고 있다. 이런 상황에서 기업은 직원 교육을 확대해야 할까, 아니면 기술적 통제를 강화해야 할까? 
 
ⓒGetty Images Bank

헬스케어 디지털 교육 솔루션 업체 엘리베이트 헬스(Health)에서 IT, 보안 및 규정 준수 책임자를 맡고 있는 아론 드 몽모랑시는 산전수전을 다 겪은 보안 전문가다. 소셜 미디어, 이메일, 문자 등 여러 채널에서 보안 공격을 받은 경험이 있다. 사기꾼이 CEO를 사칭해 신입사원을 속이려고 하거나 CFO를 사칭해 HR 책임자에게 회자의 예금 계좌 정보를 바꾸라고 요구한 적도 있다. 

다행히도 그의 커리어에서 위험에 빠진 직원은 속아 넘어가지 않았다. 단번에 알아차리진 못했지만, 무언가 의심쩍어 사기꾼이 사칭한 임원에게 직접 전화를 걸어 확인하는 절차를 거쳤다. 몽모랑시는 이런 직원에게 무척 고마움을 느낀다. 

하지만 그는 보안책임자로서 그저 직원이 이런 위협에 알아서 대처하리라 기대하지 않는다고 강조했다. 피싱, 파밍(pharming), 웨일링(whaling) 등 자격증명 정보를 노리는 수많은 공격이 도사리는 오늘날의 보안 환경에서 직원을 보안 최전선에 세워두면 무너지는 건 한순간이라고 그는 설명했다. 

몽모랑시는 “물론 직원에게 보안 교육을 해야 한다. 사람이 항상 가장 취약하기 때문이다. 그러나 사람에만 의존하면 안 된다. 기술도 필요하지만, 똑같이 기술에만 의존해서도 안 된다. 균형이 가장 중요하다”라고 말했다. 
 

협업 도구, 편리함의 함정 

이메일이나 소셜 미디어를 넘어 요즘 회사의 직원들은 다양한 채널(줌, 슬랙, 팀즈 등)로 소통한다. 이에 맞게 직원 교육과 기술적 통제가 따라야 하며, 기업은 직원의 개인 정보를 존중하면서도 수많은 협업 및 소통 도구에서 이루어지는 활동에 대한 가시성을 확보하려 노력하지만 수많은 보안 취약점에 대비하기엔 역부족이다.

매디슨 대학의 최근 한 연구진은 기업용 협업 플랫폼(Business Collaboration Platform, BCP)의 애플리케이션 보안 취약점을 자세히 분석했다. 연구에 따르면 BCP에는 크게 3가지 취약점이 있다:

1. 앱 간 권한 위임 공격 (app to app delegation attack)
2. 사용자-앱 간 상호작용 탈취(user to app interaction hijacking)
3. 앱-사용자 간 기밀성 위반(confidentiality violation)

앱 간 권한 위임 공격은 앱 간 연동 기능을 겨냥하는 공격 수법이다. BCP 앱은 사용자 편의를 위해 다른 앱이나 서비스의 기능을 연동하는 경우가 많다. 예컨대 드롭박스는 슬랙으로 바로 파일을 공유하는 기능을 제공한다. 이는 곧 슬랙이 드롭박스에 슬랙 메시지를 보낼 권한을 일시적으로 위임하는 것이다. 공격자는 중간에서 위임되는 권한을 가로채 악용할 수 있다. 
 
ⓒUniversity of Wisconsin–Madison


사용자-앱 간 상호작용 탈취는 대표적으로 슬랙의 슬래시(slash) 기능을 악용한다. 슬래시 기능으로 슬랙 사용자는 슬랙 앱 안에서 다른 앱을 실행할 수 있다. 흔히 ‘/zoom’을 입력해 줌 화상회의를 슬랙에서 시작한다. 잠재적 공격자는 이런 앱을 사칭해 악성 앱이 실행되도록 할 수 있다. 

앱-사용자 간 기밀성 위반 또한 슬랙의 링크 미리보기 기능을 악용한다. 오늘날 많은 앱과 마찬가지로 BCP 도구는 URL이 포함된 메시지에 해당 페이지의 미리보기를 미리 제공한다. 이 기능을 구현하기 위해 BCP는 앱에서 오가는 모든 URL의 내용에 접근할 수 있다. 
 
ⓒSlack

하지만 문제는 이 URL이 꼭 웹사이트에만 해당하지 않는다는 데 있다. 슬랙은 워크스페이스 채팅에서 오가는 모든 메시지를 URL로 공유할 수 있는 기능을 제공한다. 일부 슬랙 사용자는 중요한 메시지를 기억하기 위해 특정 워크스페이스 메시지의 URL을 ‘나와의 채팅방’과 같은 개인 채널에 입력한다. 그럼 앱은 해당 링크의 미리보기를 제공하기 위해 워크스페이스 채팅 내용에 접근 권한을 갖게 된다. 연구진에 따르면 이 과정에서 해당 메시지를 작성한 워크스페이스 동료는 반대로 개인 메시지의 생성자가 된다. 즉 동료 사용자는 다른 동료의 개인 메시지를 읽을 기술적 권한을 부여받는다. 이를 악용한다면 큰 위협이 될 수 있다. 

연구진은 실험을 통해 BCP에서 피해자 사칭 이메일, 코드 병합 요청, 보안 설정이 취약한 가짜 영상통화 회의, 개인 간 문자 탈취, 앱 삭제 후 악성코드 유지 등의 공격을 모두 할 수 있었다. 연구진은 직접 만든 스크래핑(scraping) 도구로 BCP별 취약도를 파악했다. 그 결과 2,460개의 컴퓨터에 설치된 슬랙(Slack) 앱 중 61%와 1,304개의 컴퓨터에 설치된 MS 팀즈 앱 중 33%가 권함 위임 공격에 노출된 것으로 드러났다. 특히 슬랙의 61%가 사용자-앱 간, 앱-사용자 간 취약점에 모두 노출됐다고 보고서는 밝혔다. 

그저 편한 줄로만 알았단 협업 도구의 기능에 이렇게 수많은 취약점이 있다는 것은 곧 소셜 엔지니어링 공격이 직원들이 쓰는 앱까지 침투할 수 있다는 점을 보여준다. 직원들이 이런 취약점을 스스로 인지하고 대처하기를 바라는 것은 무리다. 또한 협업 도구에 취약점이 많다고 해서 아예 사용을 금지해서는 안 된다.
 

금지하지 말고 지도하라 

넛지 시큐리티(Nudge Security)의 공동설립자 러셀 스피틀러는 “이제 더 이상 직원들에게 이래라 저래라 명령하는 식으로 사이버보안을 챙길 수 없다. 특정 애플리케이션을 쓰지 말라고 아무리 강조해도 결국 직원들의 1순위는 일을 완수하는 것이다. 그래서 어떤 식으로든 보안 수칙을 우회할 방법을 찾는다”라고 말했다. 
 
ⓒNudge Security

넛지 시큐리티는 최근 900명의 직원을 대상으로 벌인 ‘오직 사용자의 잘못이라는 착각(Debunking the Stupid User Myth)’ 조사에서 68%의 응답자가 회사의 사용금지 규칙을 따르지 않고 우회할 방법을 찾을 것이라는 의사를 밝혔다. 반대로 이 조사는 기업이 사용을 금지하는 대신 특정 도구나 앱을 더 안전하게 사용할 방법을 안내한다면 사용금지 조치보다 2~3배 더 많은 직원이 보안 수칙을 지킬 것이라고 주장했다. 

재무 성과 관리 플랫폼 프로픽스(Prophix)의 CISO 크리스토페르 락스달 또한 오늘날 소셜 엔지니어링 공격이 득세하는 환경에서 특정 애플리케이션이나 도구를 금지하는 방식은 밑 빠진 독에 물 붓기와 다름없다고 말했다. 

락스달은 제로 트러스트, 패스워드리스 접근 같이 최대한 직원들의 노력을 최소화할 수 있는 방식을 대안으로 제시했다. 

그는 이에 비해 화면 시간제나 타임아웃제는 오히려 역효과를 나타낸다고 말했다. 실제로 직원들은 마우스 지글러(mouse jiggler)나 가상 키 입력기(keypress generator) 같은 도구로 이 같은 시스템을 쉽게 속인다. 시스템의 특성상 자주 로그인해야 하는데, 이가 무척 성가시기 때문이다. 
 

직원 신뢰와 기술적 울타리 사이 

락스달은 시대에 맞는 사이버보안 교육을 시행하려면 곧 직원의 역할, 자원, 업무 방식 및 습관을 진심으로 이해하는 것부터 시작해야 한다고 말했다. 예컨대 금융권 종사자는 BEC 스캠 같은 소셜 엔지니어링 수법을 인지하고 있어야 한다. 개발팀은 퍼블릭 오픈소스 라이브러리에 맬웨어가 숨어 있을지도 모른다는 점을 염두에 둬야 하며, HR 팀은 PII(재무, 회계 및 직원 개인 정보) 데이터를 공개 채널로 공유해서는 안 된다는 기본 보안 수칙을 반드시 따라야 한다. 언제 어떤 공격자가 임원을 사칭해 파일을 요구할지 알 수 없다. 

락스달은 “오늘날 대부분 사이버 공격의 목적은 자격 증명을 탈취하는 것이다. 그래서 사이버 보안 담장자는 직원들과 직접 대화하며 정확히 모두가 각자 어떤 영역에서 사용자/직원 인증을 거치는지 파악해야 한다”라고 말했다. 그는 “직원들이 보안 수칙을 따르도록 권장하려면 일단 직원 신뢰를 바탕으로 왜 이런 보안 수칙들이 중요한지 차근차근 설명해야 한다”라고 말했다. 

개인 정보 보호 및 정보 전쟁(infowar)의 개념을 초창기부터 주창해온 컴퓨터 보안 분석가 윈 슈바르타우는 신뢰가 매우 변덕스러운 기준이라고 주장했다. 그는 “어떻게 직원이 보안 수칙을 따르리라고 신뢰할 수 있겠는가? 어떤 방식으로 해도 직원 교육의 한계는 분명하다”라고 말했다. 

그는 직원 교육이 더 큰 보안 전략의 일부여야 한다고 말했다. 심리전과 지상전을 병행해야 한다는 뜻이다. 그가 말하는 지상전이란 물리적, 기술적 제약이다. 슈바르타우는 직원마다 접근할 수 있는 정보를 엄격하고 세밀하게 나눠야 하며, 남용를 방지하기 위해 ‘심층 탐지(detection-in-depth)’ 모니터링 기술을 활용할 수 있다고 전했다. 

이런 제약은 특히 초반에 회사의 보안 수준을 신속히 끌어올리는 데 큰 도움이 된다고 그는 말했다. 하지만 결국 공격 수법과 사기 행각은 날이 갈수록 교묘해질 것이다. CISO는 이에 맞게 직원 교육과 기술적 관리를 잘 저울질하려고 노력하는 수밖에 없다고 슈바르타우는 조언했다. 엔트로피의 법칙처럼 외부의 힘이 없으면 시간이 지날수록 조직의 신뢰는 떨어지고 위험 요소는 증가하기 때문이다. 

그는 “역설적으로 직원은 사이버보안에서 가장 위대한 자산이자 가장 나약한 지점이다”라고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.