2017.04.07

'언제 어디서 뚫릴 지 모른다' 스피어피싱 대응 팁

Ryan Francis | CSO
스피어피싱 표적 공격에는 소셜 엔지니어링 기법이 쓰인다.

문제 : 스피어피싱


스피어피싱은 오늘날 사이버 범죄자들이 사용하는 최고의 공격 벡터로, 정보 시스템에 접근하기 위해 특정 조직, 그룹 또는 개인을 대상에 맞춘 사기성 전자 메일로 이뤄진다. 스피어피싱 표적 공격에는 특정 관심 대상에 관한 조사가 포함된 소셜 엔지니어링 기법이 활용된다. 범죄집단은 외부와 전자메일을 연결해 소셜 엔지니어링 기법을 실행하고 기존 보안 스택을 우회해 표적의 환경에 진입한다.

티콘(Tychon)의 CTO인 트라비스 로시에크는 미래 공격에 대한 방어력을 높이기 위해 과거 피싱 공격을 어떻게 분석하고, 포착된 피싱 이메일의 데이터베이스를 만들며, 누가 공격 대상이고, 어떤 정보가 소셜 엔지니어링에 쓰였는지 등을 설명했다.

사용자 인식 교육


사용자 인식 교육은 중요하다. 하지만 스피어피싱의 영향을 완화하는 것은 아니다. 결과를 조직에 공개하는 일상적인 스피어피싱 훈련은 조직 문화에 효과적인 방법이며, 인바운드 이메일로 사용자가 위협을 더 잘 인지하게 한다.

가장 가능성이 높은 표적(희생자)


역할(CXO, 법무, 연구팀 등)이나 접근 권한(시스템 관리자 등)을 기반으로 스피어피싱 가능성이 높은 대상을 식별해야 한다. 직원 데이터 접근을 기반으로 엄격한 역할 기반 접근 제어를 구현하고 신뢰할 수 없는 전자메일, 웹사이트, 시스템에 대한 노출을 제한하라. 공격자들은 HR, 고객 불만 처리 등 외부와 정보를 공유하고 상호작용이 빈번한 직원들을 목표로 한다.

항상 경계한다


이메일은 밤낮을 가리지 않고 언제든지, 악의적인 페이로드나 URL이 있는 발신자로부터 올 수 있다. 사용자는 절대 경계를 늦춰서는 안 되며, 수신하는 모든 이메일에 신중히 해야 한다. 기업의 보안 수준은 가장 취약한 링크와 가장 취약한 사용자와 같다고 봐야 한다.

모든 사용자에게 스피어피싱을 피하는 방법을 끊임없이 전달하라. 스팸 필터가 최신 상태인지 확인하라. 재무, 은행, HR, 전력회사에서 온 전자메일의 민감한 정보를 확인하라. 이메일 발신 주소와 해당 조직의 도메인이 일치하는지 다시 확인하라. 링크에 마우스를 대면, 도메인을 확인할 수 있다. 링크의 안전성에 의심이 간다면, 링크를 조사하고 링크를 클릭하지 말고 이메일에서 언급된 주제를 직접 찾아보라.
 
고급 분석 기능을 활용한 보호


업계 선도적인 기술을 활용하면 전자메일을 차단하고 완화할 수 있다. 사용 기간이 정해져 있고 복잡한 암호보안 정책을 개발하라. 고급 바이러스 백신이 설치돼 있고 최신 상태인지 확인하라. 고급 스팸 필터를 배포하고 유지 관리하라.

전자메일에 포함된 악의적인 URL을 클릭하는 사용자를 줄이려면 웹 보안 플랫폼을 설치하라. 민감한 회사 정보가 암호화돼 있는지 확인하라. 패치와 업데이트가 최신인지 확인하라. 전자메일용 HTML을 비활성화하라.

목표 : 모든 사용자가 클릭한다고 가정한다
아무리 많은 교육을 받더라도 직원들이 악의적인 전자메일을 자주 열거나 클릭한다는 사실을 인정해야 한다. 공격자들은 클릭할만한 이메일을 만드는 데 매우 숙련돼 있다. 이러한 가정을 바탕으로 기업은 클릭한 악성 전자메일에 대한 대처 방안을 마련해야 한다. 누가 이메일을 보냈는지, 어디로 갔는지, 누가 전달했는지, 페이로드나 URL이 무엇인지, 누가 페이로드를 열거나 URL을 방문했는지 신속하게 식별해야 한다.

활동 범위를 신속하게 진단하고 결정할 수 있으면 조직에 미치는 영향을 최소화하고 대응 시간을 단축할 수 있다.

신속한 분류와 대응

시스템과 전자메일 전반에서 신속하게 검색할 수 있는 기능을 활용해 스피어피싱 캠페인의 깊이와 폭을 신속하게 파악하고 영향을 받는 시스템, 사용자 및 정보를 파악하는 것이 스피어피싱 공격의 범위를 결정하는 데 중요하다.

악성 페이로드가 외부 조직으로 전송됐는지를 확인하는 것도 또 다른 주요 관심사다. 침입의 영향 및 비용을 낮추려면 공격 범위에 따라 정확하고 신속하게 시정 조처를 하는 기능을 활용하는 것이 중요하다. ciokr@idg.co.kr



2017.04.07

'언제 어디서 뚫릴 지 모른다' 스피어피싱 대응 팁

Ryan Francis | CSO
스피어피싱 표적 공격에는 소셜 엔지니어링 기법이 쓰인다.

문제 : 스피어피싱


스피어피싱은 오늘날 사이버 범죄자들이 사용하는 최고의 공격 벡터로, 정보 시스템에 접근하기 위해 특정 조직, 그룹 또는 개인을 대상에 맞춘 사기성 전자 메일로 이뤄진다. 스피어피싱 표적 공격에는 특정 관심 대상에 관한 조사가 포함된 소셜 엔지니어링 기법이 활용된다. 범죄집단은 외부와 전자메일을 연결해 소셜 엔지니어링 기법을 실행하고 기존 보안 스택을 우회해 표적의 환경에 진입한다.

티콘(Tychon)의 CTO인 트라비스 로시에크는 미래 공격에 대한 방어력을 높이기 위해 과거 피싱 공격을 어떻게 분석하고, 포착된 피싱 이메일의 데이터베이스를 만들며, 누가 공격 대상이고, 어떤 정보가 소셜 엔지니어링에 쓰였는지 등을 설명했다.

사용자 인식 교육


사용자 인식 교육은 중요하다. 하지만 스피어피싱의 영향을 완화하는 것은 아니다. 결과를 조직에 공개하는 일상적인 스피어피싱 훈련은 조직 문화에 효과적인 방법이며, 인바운드 이메일로 사용자가 위협을 더 잘 인지하게 한다.

가장 가능성이 높은 표적(희생자)


역할(CXO, 법무, 연구팀 등)이나 접근 권한(시스템 관리자 등)을 기반으로 스피어피싱 가능성이 높은 대상을 식별해야 한다. 직원 데이터 접근을 기반으로 엄격한 역할 기반 접근 제어를 구현하고 신뢰할 수 없는 전자메일, 웹사이트, 시스템에 대한 노출을 제한하라. 공격자들은 HR, 고객 불만 처리 등 외부와 정보를 공유하고 상호작용이 빈번한 직원들을 목표로 한다.

항상 경계한다


이메일은 밤낮을 가리지 않고 언제든지, 악의적인 페이로드나 URL이 있는 발신자로부터 올 수 있다. 사용자는 절대 경계를 늦춰서는 안 되며, 수신하는 모든 이메일에 신중히 해야 한다. 기업의 보안 수준은 가장 취약한 링크와 가장 취약한 사용자와 같다고 봐야 한다.

모든 사용자에게 스피어피싱을 피하는 방법을 끊임없이 전달하라. 스팸 필터가 최신 상태인지 확인하라. 재무, 은행, HR, 전력회사에서 온 전자메일의 민감한 정보를 확인하라. 이메일 발신 주소와 해당 조직의 도메인이 일치하는지 다시 확인하라. 링크에 마우스를 대면, 도메인을 확인할 수 있다. 링크의 안전성에 의심이 간다면, 링크를 조사하고 링크를 클릭하지 말고 이메일에서 언급된 주제를 직접 찾아보라.
 
고급 분석 기능을 활용한 보호


업계 선도적인 기술을 활용하면 전자메일을 차단하고 완화할 수 있다. 사용 기간이 정해져 있고 복잡한 암호보안 정책을 개발하라. 고급 바이러스 백신이 설치돼 있고 최신 상태인지 확인하라. 고급 스팸 필터를 배포하고 유지 관리하라.

전자메일에 포함된 악의적인 URL을 클릭하는 사용자를 줄이려면 웹 보안 플랫폼을 설치하라. 민감한 회사 정보가 암호화돼 있는지 확인하라. 패치와 업데이트가 최신인지 확인하라. 전자메일용 HTML을 비활성화하라.

목표 : 모든 사용자가 클릭한다고 가정한다
아무리 많은 교육을 받더라도 직원들이 악의적인 전자메일을 자주 열거나 클릭한다는 사실을 인정해야 한다. 공격자들은 클릭할만한 이메일을 만드는 데 매우 숙련돼 있다. 이러한 가정을 바탕으로 기업은 클릭한 악성 전자메일에 대한 대처 방안을 마련해야 한다. 누가 이메일을 보냈는지, 어디로 갔는지, 누가 전달했는지, 페이로드나 URL이 무엇인지, 누가 페이로드를 열거나 URL을 방문했는지 신속하게 식별해야 한다.

활동 범위를 신속하게 진단하고 결정할 수 있으면 조직에 미치는 영향을 최소화하고 대응 시간을 단축할 수 있다.

신속한 분류와 대응

시스템과 전자메일 전반에서 신속하게 검색할 수 있는 기능을 활용해 스피어피싱 캠페인의 깊이와 폭을 신속하게 파악하고 영향을 받는 시스템, 사용자 및 정보를 파악하는 것이 스피어피싱 공격의 범위를 결정하는 데 중요하다.

악성 페이로드가 외부 조직으로 전송됐는지를 확인하는 것도 또 다른 주요 관심사다. 침입의 영향 및 비용을 낮추려면 공격 범위에 따라 정확하고 신속하게 시정 조처를 하는 기능을 활용하는 것이 중요하다. ciokr@idg.co.kr

X