Offcanvas

How To / 데이터센터 / 보안 / 애플리케이션 / 오픈소스 / 통신|네트워크

모의해킹 전문가 "소셜 엔지니어링 공격 성공률은 150%"

2016.08.17 John Dix  |  Network World
화이트햇 소속 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 하는 일은 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 자세히 설명했다.

Q. 화이트햇 팀에 대한 간략한 소개를 부탁한다.
A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다.

대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다.

Q. 고객은 누구인가?
A. 통상 정보보안팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객이 목적과 목표를 인식하고 있어 많은 설명이 필요없다.

Q. 침해 사고 후 의뢰를 받기도 하는가?
A. 그런 경우도 있다. 침해 사고를 당한 경우 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다.

예를 들어, 한 은행권 기업은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했다. 테스트를 통해 취약점 하나를 발견했다. 테스트 없이 애플리케이션이 배포됐다면, 고객의 은행 계좌 또는 신용카드에서 해커가 돈을 빼갈 수 있는 취약점이었다. 모든 고객이 위험에 노출되었을 것이다. 우리는 시스템 배포에 앞서, 공격자가 이런 기회를 악용하기 전에 문제를 발견할 수 있도록 한다.

Q. 고객의 규모는?
A.
컴플라이언스 요건에 따라 달라진다. 예를 들어, 제품과 서비스에 대한 결제 수단으로 신용카드를 이용하고 있다면, 규모와 상관없는 요건이다. 그러나 대부분은 중견 기업 또는 대기업이다.

Q. 은밀하게 침투 테스트를 하는가? 아니면 공개적으로 침투 테스트를 하는가?
A.
의뢰 기업과 기관의 보안 성숙도에 달려있다. 침투 테스트로 얻을 수 있는 것이 많다. 보안 성숙도가 낮은 기업이나 기관은 시스템이나 데이터 액세스에 악용할 수 있는 취약점을 찾는다. 그러나 성숙도가 높은 기업과 기관은 침입 탐지와 대응 능력을 테스트하길 원한다. 이 경우 조금 더 은밀한 침투 테스트를 실시한다. 천천히 조용하게 진행하며 의도적으로 경보를 울리지 않는다.

Q. 꽤 오랜 기간 보안이 강조돼왔다. 대기업은 어느 정도 경계가 잘 되어 있는가? 이로 인해, 점차 더 작은 취약점을 찾는 추세인가?
A.
대부분 기업은 외부 경계선의 보안이 잘 돼 있다. 그러나 일단 내부로 침입하면 보안이 취약한 부분을 찾을 수 있다. 소셜 엔지니어링으로 꽤 빨리 누군가의 데스크톱에 침입, 환경을 탐색하고 무엇이든 액세스할 수 있는 관리자 계정까지 탈취할 수 있다.

경계선 보안과 개발된 애플리케이션 보안이 튼튼한 기업도 피싱이나 소셜 엔지니어링 기법으로 공격할 수 있는 클라이언트 패치 관리가 미흡한 경우가 많다. 이들은 환경 전체에서 서드파티 애플리케이션 패치 관리에 어려움을 겪고 있다. 이런 곳에서 취약점을 찾아 내부로 침입해 서드파티 애플리케이션으로 액세스 권한을 높일 수 있다.

또 다른 흔한 침입 방법은 기본 설정된 비밀번호, 취약한 비밀번호를 이용하고 있는 시스템이나 애플리케이션, 장치를 찾는 것이다. 대기업은 기본 설정된 관리자 계정 비밀번호를 변경하는 것을 잊는 경향이 있다.

Q. 지금까지 테스트한 환경을 감안했을 때, 이미 많은 기업이 침입을 당했고, 내부에 악성코드가 있다는 주장에 동의하는가?
A.
동의한다. 침해 사고가 발생하지 않아도, 그 이유는 공격자의 레이더에서 벗어나 있거나, 더 좋은 표적이 있거나 침입에 공을 들일만한 가치가 없기 때문일 수 있다. 모든 기업이 소셜 엔지니어링을 이용한 공격과 침해에 취약하다.

공격 탐지와 대응 측면에서 보면 '일정 시점에 침해를 당할 것이 분명하거나, 이미 침해를 당한 것이 분명하기 때문에 침해 신호를 파악하고, 큰 문제가 되기 전에 이를 막아야 한다'는 생각을 갖는 것이 더 낫다. 우리 또한 단순히 취약점을 노출시키는 대신 이런 것을 점차 더 많이 제공하고 있다.

Q. 최근 가장 흔한 공격이 소셜 엔지니어링인가?
A.
그렇다. 공격자가 합법적인 기업, 또는 소속 기업을 가장한 이메일을 발송해 사용자가 링크를 클릭하도록 유도하는 '이메일 피싱 캠페인' 소셜 엔지니어링 공격이 가장 흔하다. 사용자 이름과 비밀번호를 입력하고 공격의 출발점으로 삼을 데스크톱에 침입하는 문서를 클릭하도록 유도하는 링크를 이용한다. 랜섬웨어 공격에도 많이 사용되는 방법이다.

보안이 가장 어려운 요소 중 하나가 사람이다. 우리 또한 소셜 엔지니어링 테스트를 한다. 예를 들어, 은행권 고객사의 사용자 100명을 대상으로 피싱 공격을 했었다. 시나리오를 기획하고, 웹사이트와 이메일을 만들어 100명에게 발송했다. 그리고 클릭한 사람, 로그인 한 사람을 추적했다. 금방 100명 이상이 클릭 또는 로그인을 했다. 물론 클릭하지 않은 사람도 있다. 하지만 이메일에 흥미를 느낀 일부 직원은 이를 다른 사람에게 포워딩했다. 그 결과 150%의 성공률을 달성했다.

Q. 150% 성공율이라고?
A.
원본 이메일 클릭률은 아마 50% 정도일 것이다. 로그인해서 크리덴셜을 획득할 수 있었던 비율은 25~30%, 전체 프로세스를 거친 비율은 약 20% 정도다. 대기업으로서는 아주 높은 비율이다.

Q. 놀랍다. 추천하는 대응 방법은 무엇인가? 보안 교육이 중요하다는 주장이 있다. 애큐데이터가 권장하는 방법은 무엇인가?
A.
당연히 보안 교육 강화를 주장한다. 침입 신호와 징후를 교육해야 한다. 이 밖에도 교육시킬 내용이 아주 많다. 교육 대상자는 보안 전문가가 아니다. 회계 등 다른 일을 하고 있을 것이다. 따라서 보안 전문가가 될 수 없다. 우리는 이런 종류의 공격을 방지 또는 탐지하는 데 실제 도움을 주는 방법을 활용한다.

예를 들어, 다른 부서 직원을 가장해 이메일을 보내는 경우가 많다. 우리 회사 컨설턴트 가운데 한 명은 전 직원의 급여 내역과 관련된 스프레드시트를 링크로 연결시킨 이메일을 보내 취약점을 찾아냈다. 클릭률이 높은 미끼 가운데 하나다. 이후 우리는 직원에게 회계 부서가 발송하는 진짜 이메일이 어떤 형식인지 교육할 것을 추천했다. 또한 회계 부서에서 보낸 이메일에는 링크가 없다는 점도 분명히 교육하도록 했다. 회계 페이지에 직접 액세스 하는 방식이기 때문이다.

또한 고객사 도메인으로 이메일을 보낼 수 없는 메일 서버가 대부분이다. 이에 조금 다른 도메인을 이용한다. Company.com 대신 company1.com을 이용하는 식이다. 이에 회사 도메인을 자세히 살펴보라고 교육했다.

Q. 기업이 가장 크게 걱정하는 것은 무엇인가?
A.
대부분 기업이 랜섬웨어를 가장 크게 걱정한다. 피해가 아주 클 수 있기 때문이다. 중요한 임원의 데이터가 감염되고, 이것이 암호화됐는데 백업이 안됐다면 전체 기업 경영에 큰 영향을 초래할 수 있다.

Q. 적절한 백업 계획으로 랜섬웨어 공격을 막을 수 있는 기업이 많다고 생각하는가?
A.
많은 기업이 충실한 백업 전략을 갖고 있다. 그러나 파일이 많고 이를 모두 암호화할 경우 백업은 큰 골칫거리이며 기업 운영 속도를 늦출 수 있다. 또한 모든 데이터를 복원, 테스트해야 한다. 이 역시 많은 많은 시간이 걸린다. 사이버 몸값을 실제 지불한 고객이 있는지는 모르겠다. 그러나 돈을 지불하고도 데이터를 찾지 못한 기업이 꽤 될 것이다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.