Offcanvas

CSO / How To / 라이프 / 랜섬웨어 / 리더십|조직관리 / 보안 / 악성코드

칼럼 | 친애하는 먹잇감들에게, 부디 ‘패닉’에 빠질지라!

2020.03.30 J.M. Porup  |  CSO
공포에 사로잡힐지라, 나의 예쁜이들. 탄약과 화장지 더미 아래 모서리에 몸을 숙이고 있거라. 그래서 내가 당신의 모든 것을 손쉽게 해킹할 수 있도록 하라.

집에서 일하라고 말한다. 스스로 격리하라고 말한다. 전염병을 피하라고 말한다. 이러한 가운데 ‘사이버 병균’인 나는 잠시 잊혀졌다. 이제 다시 활개칠 기회가 왔다.

당신이 생물학적 감염을 피하고 있는 동안 나는 조용히 당신의 조직 전반에 디지털 전염병을 확산시키고 적절한 순간에 스위치를 켤 준비를 하고 있다. 몸값을 받아낼 때가 다가오고 있다. 

나는 아침의 랜섬웨어 냄새가 너무 좋다. 약간의 공갈 후 맡는 비트코인의 달콤한 향기는 그 무엇과도 비교할 수 없다. 내가 바로 공갈 사이버 전염병이다. 좀 어색한 메타포로 들릴지라도 상관없다. 왜냐하면 결국 불법적인 비트코인 수익을 계산한 후 스쿠루지 맥덕처럼 금화로 거대한 사일로를 채울 때면 행복을 느낄 것이기 때문이다. 

어떻게 지금의 명성을 얻고 전리품을 얻을 수 있을 거냐고? 간단하다. 나는 당신이 실수하기를 그저 기다리면 된다. 상사가 “그냥 되게 하라고!”라고 말했기 때문에 기회가 생길 것이다.

당신은 24시간 안에 재택근무 환경을 구성해야 할 것이다. 파자마 노동력 착취에 익숙하지 않은 초짜들이 그렇게 지시할 것이기 때문이다. 쉽게 해결할 수 있는 실수를 저지름으로써 내게는 큰 기회가 열리고야 말 것이다!
 
ⓒ Image Credit : Getty Images Bank

VPN을 사용하지 말라
따뜻한 욕조 속에서 나는 범죄의 수익금으로 요트를 구매할 시나리오를 세우고 있다. 당신의 상사는 생산성이 가장 중요하다고 말했다. 따라서 VPN을 배치하면 안 된다. 당신이 이제 막 연결한 온라인으로 직원들이 수많은 새로운 인터넷 서비스에 직접 접속하도록 하라.

내가 네트워크 전체에 대한 몸값을 요구할 때 당신의 상사가 생산성을 얼마나 중시했는지 판명날 것이다. 계속 그렇게 하자. 기업 방화벽에 구멍을 내고 여러 직원들 그리고 인터넷 전체에 RDP 액세스를 제공하자!

내가 범죄를 제대로 저지르고 있음을 확인하기 위해 사이버 보안 R&D 기업 그림(GRIMM)의 수석연구원 조니 크리스마스(가명)와 대화를 나누었다. 그는 내 사업이 위태로울 수 있는 정보를 제공해왔다. 

크리스마스는 “인터넷에 표시되는 원격 데스크톱 서버(RDP)의 수가 매일 엄청나게 증가하고 있다. 모두 MFA가 있을까? 아마도 그렇지는 않을 것이다. 직원들은 VPN을 이용해 기업 네트워크에 접속하고 이후 RDP를 이용해야 한다”라고 말했다.

아마도 IT부서는 먼지 속의 패치 되지 않은 윈도우 XP 기기를 어딘가에 방치해뒀을 것이다. 나는 사실 다른 공격자들이 내 먹잇감에 손을 대지 않도록 하기만 하면 된다. 다른 공격자들은 지능형 지속성(advanced persistency)으로 다른 사람이나 위협해라!

나는 범죄를 저지를 때 영역에 매우 민감하다. 이것은 직업 윤리의 문제이다. 한 번에 하나의 공갈만 해야 한다. 이 윈도우 기기는 우리 둘이 노릴 만큼 크지 않다.

다행히도 내 먹거리는 이것뿐만이 아니다. 

개인용 노트북으로 업무를 처리하라
저기를 보라. 직원이 개인용 기기를 사용하고 있다!  서드파티 소프트웨어  맬웨어가 가득한 안전하지 못한 개인용 노트북으로 기업의 기밀 정보에 액세스하는 이들이다. 너무 쉽다. 짠, 나는 랜섬웨어이다! 짜-잔!

그래서 CEO인척하면서 이메일을 보낸다. ‘직원 건강 및 안전’이라는 긴급한 제목으로 새롭게 등록한 Covid19MedicalAdvice.com 같은 웹 사이트에 연결된 피싱 메일을 보내면 내 예쁜이들이 당신의 소비자용 바이러스 퇴치 프로그램을 차단할 것이다.

피싱하기에 이보다 좋은 시절은 없었다. 넷스카우트의 CSO 데비 브릭스는 “사람들이 겁에 질리면 이런 링크와 이메일 주소를 보면서 필요 이상으로 집중하게 된다. 내가 침입자라면 이메일을 이용하고 가짜 웹 사이트를 만들 것이다”라고 말했다

패닉에 빠진 뇌가 마우스를 클릭하는 손가락으로 전기 신호를 보내면 내 맬웨어가 노출된 거대한 디지털 재채기처럼 광섬유를 타고 들어올 것이다.

코로나19의 감염력은 정말이지 존경스러울 정도다. 나는 잠에서 깨어난 휴면기의 사이버 병원체일 따름이다. 코로나19의 감염력과 비교하면 아마추어에 불과하다. 하지만 이제 코로나19와 나 사이에 약간의 브로맨스를 만들자. 생물학적 죽음의 대리인인 그대, 디지털 죽음의 대리인인 나, 우리는 절대 함께할 수 없다고 하지만 우리는 공통점이 너무 많다. 우리는 모두 죽음의 대리인이다!

생각해 보자. 그대가 나를 부른다. 그렇다. 내가 만들지 않은 바이러스에 홀릴 것이라고는 생각도 하지 못했지만 이건 사랑이라고 부르기에 부족함이 없다. 

직원을 이중 인증(2FA)에 등록하지 말라
내가 깔끔하게 약탈하기 위해 절대로, 절대로 직원을 그 어떤 이중 인증 프로그램에도 등록하지 말자. 적절히 구성된 2FA만 아니면 디지털 죽음의 대리인인 나를 막을 존재는 없다. 특히, 유비키(Yubikey) 같은 U2F 토큰을 사용하는 끔찍한 것들만 없어지면 된다. 만화처럼 내 양쪽 귀에서 가로로 흘러나오는 만화 스팀이 보이나? 이것이 2FA에 대한 나의 느낌이다. 

직원 교육을 멈추라
따라하라. “교육이 보안 문제의 해결책이라면 당신은 이미 졌다.” 모든 것을 잃었다! 패닉에 굴복하라! 절망에 굴복하라! 

패닉 상황에서 교육이 꽤 효과적일 수 있다. 따라서 우리는 그런 일을 원치 않는다. 크리스마스는 “2주 또는 훨씬 짧은 24시간 안에 정책 실행 및 모니터링을 위한 완전한 모바일 기기 관리(Mobile Device Management) 솔루션을 제공하는 것은 불가능하다. 그래서 구두 정책을 발표하고 직원들에게 안전한 사례를 교육하는 것이 중요하다”라고 말했다.

그는 이어 “보안은 결코 ‘모 아니면 도’가 아니다. 가능한 할 수 있는 일을 하고 조금씩이나마 해결책을 구축하기 위해 노력해야 한다”라고 덧붙였다

그의 말에 반박하고 싶다. ‘좋음’(good)은 ‘완벽’(perfect)의 적이다. 조금씩 좋아지는 걸로는 부족하며, 진정한 혁신을 위해 노력하라! 그 동안, 나는 당신의 네트워크를 장악하고 몸값을 요구할 것이다.

나는 이만 사일로의 금화 속에서 수영하러 가보겠다.

* J.M. Porup는 CSO 선임 기자다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.