기업 계정 탈취 공격을 막기 위한 6가지 베스트 프랙티스

악의적 행위자가 비즈니스 또는 기업 계정을 장악하는 경우 개인 또는 소비자 계정 침해보다 더 위험한 상황이 발생할 수 있다.둘 사이에는 비슷한 점도 있지만 기업 계정 탈취(Corporate Account Takeover, CATO)는 개인 계정 탈취보다 더 큰 영향을 미쳐 상당한 재무적 손실, 평판 훼손, 민감한 비즈니스 정보 유출로 이어지는 경우가 대부분이다. 이를 차단하기 위한 방법을 알아보자.
 

가트너의 사이버보안 애널리스트 아키프 칸은 “기업 환경에서 중요한 부분은 공격자가 직원의 자격 증명을 획득하지 못하도록 하는 것”이라면서 “공격 벡터는 여러 가지다. 전통적인 소셜 엔지니어링 공격 벡터, 디바이스에 침투해서 키보드 입력을 로깅하고 디바이스에 저장된 자격 증명을 탐색하는 맬웨어가 포함된 공격 벡터도 있다”라고 말했다.

2023년 1분기 엑스펠(Expel) 분기별 위협 보고서에 따르면, 2023년 1분기에 파악된 전체 사고에서 ID 기반 공격(계정 침해, 기업 계정 탈취, 장기 액세스 키 도용)의 비중은 57%에 이른다.

CATO 공격으로 이어질 수 있는 일반적인 공격

런치 컨설팅(Launch Consulting)의 금융 및 보험 부문 전무이사인 마이클 할스테드는 사이버 범죄자가 사용하는 툴과 기법은 소비자 계정 공격이나 기업 계정 공격이나 비슷하지만, 공격이 미치는 영향은 기업 계정 탈취가 훨씬 더 클 수 있다고 말했다.

할스테드에 따르면 악의적 행위자가 사용하는 공격 벡터에는 다음이 포함된다.
 

• 피싱 : 여전히 인기 있는 공격 방법이며, 일반적인 방어 툴을 회피하기 위한 테스팅과 같은 회피 전략을 통해 훨씬 더 정교해졌다. AI를 통한 완벽에 가까운 피싱 이메일이라는 새로운 문제도 있다. SMS 문자 메시지 역시 널리 사용되는 수법이다. 이메일과 달리 휴대폰에는 스팸 또는 스미싱 시도가 포함된 문자 메시지를 차단하기 위한 강력한 필터가 없기 때문이다.
• 프리텍스팅(Pretexting): 공격자가 예를 들어 권한 있는 사람을 가장하는 가짜 구실(pretext)을 만들어 직원들을 속여서 민감한 정보를 공개하거나 특정 작업을 수행하도록 하는 수법.
• 비즈니스 이메일 침해(Business Email Compromise, BEC) : 기업 이메일 계정을 표적으로 한다. 공격자는 경영진 또는 직원 이메일 계정을 침해하거나 스푸핑해서 기업 내외부의 다른 사람을 속여 사기 행위에 이용한다. 이 행위에는 송금, 지불 정보 변경 또는 민감한 정보 공개가 포함된다. 2022년 FBI IC3(Internet Crimes Complaint Unit))은 2만 1,832건의 BEC 신고를 접수했으며, 신고의 조정 손실액은 27억 달러를 넘는다.
• 소셜 엔지니어링 : 심리와 신뢰를 이용해서 개인(대부분 직원)을 조종해 민감한 정보를 알려주거나 무단 액세스 권한을 부여하도록 한다. 피싱과 마찬가지로 소셜 엔지니어링 공격 역시 AI를 사용하면서 전화 또는 영상을 통해 훨씬 더 정교하게 합법적인 주체를 가장할 수 있게 됐다.
• 합법적인 주체를 가장한 전화 통화 : 공격자는 기업 임원, 파트너 또는 금융 기관을 표적으로 해서 직원이 로그인 자격 증명, 계정 세부 정보 또는 민감한 정보를 노출하도록 속인 다음 이런 정보를 사용해서 기업 계정에 대한 무단 액세스 권한을 획득한다.
• 딥페이크 : AI를 사용해서 고위 임원이나 동료의 영상 또는 음성 기록을 만들어 직원을 속이는 방법으로 돈을 송금하거나 민감한 데이터를 공유하거나 공격자에게 기업 계정에 대한 제어 권한을 넘겨주도록 유도한다. AI가 발전하고 성공적인 공격에 대한 뉴스가 증가함에 다라 딥페이크는 앞으로 더 확산될 가능성이 높다.
• 내부자 이용 : 악의적 행위자들은 기업 계정 탈취에 직원을 이용한다. 직원을 움직이는 동기는 금전적 이유, 특정 명분에 대한 동질감, 또는 협박 등이다. 높은 액세스 권한이 있는 직원 또는 개인을 설득해서 개인적 이익이나 악의적인 목적을 위해 악용하도록 유도할 수 있다.

센티넬랩스(SentinelLabs)의 선임 위협 연구원 톰 헤젤은 “기업 계정 탈취 공격은 공격 표적이 누구인지 외에 공격자의 구체적인 관심사나 목표에 따라 다양한 목적으로 발생할 수 있다”라고 말했다.

헤젤은 “예를 들어 일반적인 기업 직원의 계정 자격 증명을 훔치는 등의 더 큰 범죄 행위와 관련된 기회적(opportunistic) 절도 맬웨어 캠페인을 흔히 볼 수 있다”라고 말했다. 이런 기회적 공격에서 공격자는 직원이 사용하는 자격 증명을 손쉽게 훔쳐 회사 은행 계좌와 같은 서드파티 웹사이트에 액세스하는 데 사용한다.

헤젤은 “더 우려되는 부분은 공격자가 이메일, 메신저와 같은 기업 네트워크 또는 커뮤니케이션 플랫폼에 대한 직원의 로그인 세부 정보를 수집할 수 있다는 점이다. 공격자는 이렇게 확보한 정보를 다양한 방법으로 사용해서 금전적 이득을 취할 수 있다. 직접적인 금전 절도, 데이터 절도, 관심 집단에 액세스 권한 판매하기 등 모두 현재 발생 가능성이 높은 시나리오”라고 말했다.

공격의 표적이 되는 기업 조직 유형

보안 컨설팅 업체 NCC 그룹의 위험 관리 및 거버넌스 부문 기술 이사인 수리야 비스와스는 온라인으로 비즈니스를 하는 모든 조직이 CATO 공격의 표적이 될 수 있지만, 주 공격 대상은 온라인으로 금융 거래를 수행하는 기업 주체라고 말했다.

할스테드도 이에 동의하며, 모든 기업이 기업 계정 탈취 위험에 노출돼 있지만 악의적 행위자는 규모, 가용 자금, 귀중한 데이터 및 기밀의 유형에 따라 특정 기업을 표적으로 삼는 경우가 많다고 말했다. 지속적으로 공격 표적이 되는 곳은 금융 기관, 의료 조직, 정부 기관이다.

빔 소프트웨어(Veeam Software)의 최고 정보 보안 책임자 질 베가는 빔 직원들을 대상으로 많은 공격 시도가 있었다며, “일반적인 진행 과정은 이렇다. 자금력을 갖춘 해외 범죄 조직에 속한 공격자가 누군가에게 그럴듯한 문자 메시지 또는 이메일을 보내거나 피싱 링크를 보내 클릭하기를 기다린다. 링크가 클릭되면 일종의 악성 소프트웨어가 실행되어 공격자와 피해자 간에 직접 연결이 가능해진다”라고 말했다.

베가는 그러나 빔을 대상으로 한 이런 공격은 아직 성공한 적이 없다면서 “이를 차단하기 위해 할 수 있는 가장 중요한 일은 직원의 인식을 높이는 것이다. 빔은 시뮬레이션, 필수 교육, 정책 증명을 통해 직원이 이런 위협을 이해하도록 하기 위해 많은 노력을 기울인다. 매 분기 다양한 캠페인으로 이런 종류의 공격 시도에 대항할 수 있는 역량을 테스트하면서 직원에게 지속적으로 정보를 제공한다”라고 말했다.

금융 기관은 CATO 공격의 단골 표적

베가는 악의적 행위자가 금융 기관을 표적으로 삼는 경우가 많다는 데 동의하며 2021년 11월에 발생한 로빈후드(Robinhood) 중개 플랫폼에 대한 성공적인 CATO 공격을 지적했다. 공격을 받은 로빈후드는 “전화를 통해 고객 지원 직원을 대상으로 소셜 엔지니어링 공격을 가해 특정 고객 지원 시스템에 대한 액세스 권한을 획득했다”라고 말했다.

회사 측에 따르면 공격자는 약 500만 명의 이메일 주소, 그리고 추가로 200만 명의 이름 목록을 훔쳤다. 또한 로빈후드는 해커가 로빈후드 고객 310명의 이름, 생년월일, 우편번호, 그리고 고객 10명에 대한 더욱 광범위한 계정 세부 정보를 획득했지만, 고객의 사회보장번호, 은행 계좌번호 또는 직불 카드 번호는 유출되지 않았으며 금전적 손실을 입은 고객도 없다는 점을 강조했다.

그러나 로빈후드가 침입을 진압한 후 공격자는 돈을 요구했다. 로빈후드는 즉시 사법 기관에 이를 알리고 외부 보안 업체인 맨디언트(Mandiant)의 도움을 받아 조사를 계속했다. 이 조사의 결과는 확실치 않다.

X(구 트위터)도 대표적인 사례다. 할스테드는 “2020년에 공격자들이 직원들을 대상으로 한 소셜 엔지니어링과 피싱 사기를 통해 트위터의 내부 시스템 액세스 권한을 획득했다. 이들은 계정 관리에 사용되는 내부 IT 관리자 툴을 점유하고, 유명인과 코인베이스와 같은 기업의 계정 등 눈에 띄는 계정을 암호화폐 사기에 동원했다”라고 말했다. 이 해커들은 시가 11만 8,000달러 이상의 비트코인을 훔쳤다.

기업 계정 탈취 공격에 대처하는 6가지 베스트 프랙티스

한 가지 보안 방식이나 컨트롤로는 CATO 공격을 차단할 수는 없지만 여러 방법을 조합해서 사용하면(심층 방어) 위험을 크게 줄일 수 있다고 말했다. 기업 계정 탈취 공격을 막기 위한 6가지 권장 사항을 소개한다.

심층 방어

할스테드는 기업이 반드시 심층 방어 접근 방법을 구현해야 한다고 말했다. 다른 사이버 공격 중에서도 기업 계정 탈취를 막기 위해서는 건강한 보안 태세를 유지하는 것이 무엇보다 중요하다.

“조직은 취약성 관리, 네트워크 세그먼트화, 이메일/웹 필터링, 칩임 탐지 및 모니터링, 서드파티 위험 관리, 사고 대응을 포함한 여러 계층의 방어를 구현해야 한다.”

다중 요소 인증(MFA) 외

렉스마크(Lexmark)의 CISO 브라이언 윌렛은 “모든 기업 계정에 대해 강력한 다중 요소 인증을 두는 것이 중요하다”고 말했다. 

윌렛은 “이블프록시(EvilProxy)와 같은 최근 피싱 서비스에서 볼 수 있는 특징은 로그인 화면 모방 수준이 매우 높아져서 기업 로그인 화면 및 기업 MFA 요청과 똑같이 만든다는 점”이라며 “사용자가 여기에 넘어가 MFA를 공유하게 될 가능성이 있다”고 말했다. 

윌렛은 기업이 계속해서 MFA를 강화하는 동시에 피도(Fido) 키와 같이 더 발전된 MFA 방법에도 관심을 기울여야 한다고 말했다. 다만 이와 같은 발전된 방법에는 투자가 필요하므로 조직은 투자를 할지 여부를 결정해야 한다.

강력한 액세스 관리 전략

할스테드에 따르면 특히 특권 액세스 관리 툴을 활용해서 강력한 액세스 관리 수단을 구현하는 것이 필수적이다. 그는 “제3자가 참여하는 정기적인 액세스 검토도 매우 중요하다. 최소 권한 원칙을 유지하기 위해 입사 또는 퇴사하는 사람들에 대한 절차를 반드시 수립해야 한다”라고 말했다.

맥락에 따른 액세스 관리 수단

할스테드에 따르면 조직은 사용자의 현재 위치, 사용 중인 디바이스, 액세스 시간, 네트워크 환경, 행동 패턴을 비롯한 기타 맥락 정보를 고려하는 맥락에 따른 액세스 관리도 구현해야 한다. 할스테드는 “이를 통해 기업 계정 탈취에 자주 이용되는 무단 액세스의 위험을 최소화할 수 있다”라고 덧붙였다. 

견고한 보안 모니터링

렉스마크의 경우 보안 운영팀이 보안 모니터링을 수행한다. 윌렛은 “하루 24시간, 연중무휴 기능을 수행하며 툴셋에서 나오는 모든 알림을 모니터링한다”라고 말했다.

윌렛은 “툴셋에는 엔드포인트 탐지 및 대응부터 ID 시스템에 이르는 모든 것이 포함된다. 예를 들어 누군가가 비즈니스 이메일 침해를 시도할 때 자주 나타나는 트리거 중 하나는 일종의 이동 유형 알림이다. 즉, 누군가가 한 위치에서 로그인했는데 갑자기 멀리 떨어진 지역에서 나타나는 경우 경보가 발령된다”라고 말했다.

직원 교육 및 훈련

할스테드는 직원 교육과 인식이 중요하다고 강조했다. 이 “인간 방화벽”은 기업 계정 탈취 차단에 있어 여전히 매우 중요한 방어선이다.

할스테드는 “특히 높은 액세스 권한을 가진 사람 또는 결제 및 금융과 같이 빈번하게 표적이 되는 분야에 속한 사람들을 대상으로 기업 계정 탈취와 관련된 위험에 대해 정기적으로 직원 교육 및 훈련을 실시해야 한다”라고 말했다.

윌렛은 여기에는 직원들이 이메일이 악성 이메일인지, 악의적인 의도가 있는지 여부를 파악하기 위해 이메일에서 눈여겨봐야 할 핵심 요소를 인식하도록 하는 것이 포함된다고 말했다.이어 “발신자 확인, 수신자의 방문을 유도하는 URL 확인 등 모든 것이 포함된다. 어쩌다 URL을 클릭했는데 로그인 화면이 표시된다면 이 로그인 화면이 정상적인 도메인 또는 URL로 이동하는지를 확인해야 한다. 엉뚱한 사이트에 로그인하는 일이 일어나서는 안 된다”라고 덧붙였다.
editor@itwold.co.kr