Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드

블로그ㅣ 피싱 공격 막는 법은? 현관문을 닫아라

2022.10.27 Rick Grinnell  |  CIO
데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다. 

2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다. 
 
ⓒGetty Images Bank

사회 공학
다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다. 

해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다. 

따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다. 

우버, 트윌리오, 메일침프 해킹 사건
모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발생했다. 

또 2022년 초 보안업체 그룹-IB(Group-IB)는 트윌리오(Twilio), 메일침프(MailChimp), 클라비요(Klavioyo)의 직원들이 (자신도 모르게) 대규모 피싱 캠페인의 피해자가 됐다는 사실을 밝혀낸 바 있다. 해당 공격은 130개 이상의 조직에서 약 9,400개 계정을 손상시켰다. 직원 중 다수는 미국에 거주했으며, 옥타(Okta)의 ID 및 액세스 관리 서비스를 사용하고 있었다. 올해 초에도 공격이 있었다. 예를 들어 랩서스(Lapsus$) 해킹 사건에는 시스코, 엔비디아, 삼성, T-모바일, 보다폰 등 주목할 만한 기업들이 관련됐다. 

심지어 CSO 그리고 직원들을 보호하기 위해 설계된 플랫폼조차 해킹당하고 있다. 지난 8월 암호 관리 업체 라스트패스(LastPass)는 시스템이 침해됐다고 발표했다. CSO와 시스템 관리자는 MFA 또는 2FA가 이상적인 솔루션이라고 생각했다. 하지만 이제는 이러한 프로세스조차 해킹당하고 있으며, 악의적인 행위자가 사용자 데이터 및 정보에 무단으로 액세스하고 있다. 

새로운 법
피싱/사기 공격의 피해자가 늘면서 입법기관에서도 이를 주목하고 있다. 이를테면 영국에서는 은행 및 기타 금융기관이 온라인 사기 피해자에게 보상하도록 하는 주장이 제기됐다. 영국의 NGO인 PSR(Payment Systems Regulator)은 지난 9월 지불 업계가 APP(Authorised Push Payment) 사기를 관리하는 방식을 변경해야 한다고 주장했다. 이는 은행이 사기 피해자에게 100파운드가 넘는 도난 금액을 배상하도록 요구한다. PSR에 따르면 영국에 기반을 둔 은행은 고객의 무지에서 비롯된 피싱 공격일지라도 고객에게 보상해야 할 의무가 있다. 은행은 여전히 잃어버린 돈을 환불하는 데 도움을 줄 의무가 있다. 미국에서는 매사추세츠 상원의원 엘리자베스 워렌이 유사한 입법을 추진하고 있다. 

금융기관은 고객을 더욱더 잘 보호하기 위해 사기 수법에 세심한 주의를 기울여야 한다. 은행은 고객을 보호하면서 수익까지 보호할 수 있다. 이제 사이버 보안 문제는 더 이상 보안이나 브랜드 문제가 아니다. 징벌적 재무 문제이기도 하다. 

CSO가 반격할 수 있는 방법
CSO는 내부 시스템 안팎에서 피싱 시도를 방지하는 데 힘써야 한다. 이는 해결해야 할 중요한 사안 중 하나다. 고객이 해킹당하고 정보가 노출될 뿐만 아니라, 자격증명 및 액세스 제어를 관리하는 업체(듀오, 옥타, 라스트패스)도 침해되고 있다. 

현관문을 잠그는 것은 이러한 위협에 맞서는 가장 좋은 방법이다. 직원, 파트너, 고객의 ID를 보호하기 위해 다층적인 접근 방식을 취하는 것도 좋은 출발점이다. 아직 고려하고 있지 않다면 시장에 출시되는 차세대 ID 관리 및 액세스 제어 제품을 살펴보라. 이러한 혁신적인 시스템은 로그인하는 기기의 신원뿐만 아니라 기기를 사용하는 개인의 신원을 확실하게 할 수 있다. 또 하루의 시작, 교대 또는 온라인 세션 때마다 뜨는 ID 인증은 지속적인 문제로 언급돼 왔다. 최신 AI 기반 시스템은 실시간으로 여러 행동 및 생체 인식 신호를 결합해 성가시게 뜨는 재인증 팝업을 생성하지 않고 이를 수행할 수 있다.  

제로 트러스트는 업계에서 남용되는 표현이 됐다. 이제 CSO는 네트워크와 데이터에 액세스하는 개인을 진정으로 신뢰할 수 있는 솔루션 구축을 시작할 때다. 

* Rick Grinnell은 CIO닷컴의 기고자다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.