Offcanvas

리더십|조직관리 / 보안

보안에 대한 FBI 수사관의 결론 “문제는 사람이다”

2011.05.19 George V. Hume  |  CSO

여러 위협으로부터 기업 기밀을 방어하려는 일을 해본 사람들은 기술만으로는 부족하다는 사실을 잘 알고 있다.

그리고 이런 사실에 누구보다 정통한 사람이 에릭 오닐이다. 오닐은 과거 러시아 스파이였던 FBI 수사관 로버트 핸슨의 체포에 절대적인 역할은 했었던 전직 FBI 요원이다. 오닐이 한센을 수사한 과정을 담은 영화까지 나왔다. 2007년 개봉해 전세계적으로 많은 관객을 불러들인 바 있는 '브리치(Breach)'다.

오닐은 지난 5월 16일 '2011 CEIC(Computer Enterprise and Investigation Conference)' 행사에서 "가장 취약한 부분은 대개 사람과 관련된 부분이다"라고 단언했다.

IT 측면에서의 보안이 중요하지 않다는 이야기는 아니다. 중요하다. 실제 팜 파일롯에 대한 디지털 포렌식(Forensic: 증거) 분석이 핸슨의 체포에 중요한 역할을 하기도 했다. 러시아에 기밀을 넘겨주는 장소와 시간대를 분석할 수 있었기 때문이다. 또 각종 전자 장치들이 국가와 기업을 대상으로 하는 스파이 활동에 맞서 싸우는데 중요하게 쓰이고 있다.

오닐은 "과거의 스파이들은 기밀 정보를 복사하거나 사진을 찍은 후, 이를 넘겨주고 돈을 받을 장소를 약속해 만나는 방식을 썼다. 그러나 현대에 들어서는 휴대폰을 이용해 정보를 담아 전세계 어디이든 이메일로 보내주기만 하면 된다"라고 설명했다.

이어 "오늘 날 웹 브라우저를 이용해 공격을 시작하는 경우가 많다. 해커들을 예로 들자면 이들은 해킹 자체 보다는 소셜 도구를 이용해 자신들의 타깃을 공격할 준비를 갖추는 데 시간을 더 많이 투자하곤 한다. 만약 내가 여러분 중 누군가의 정보를 훔치려고 마음 먹었다면, 트위터나 페이스북을 통해 개인정보를 수집하고, 지인들과의 관계를 살필 것이다. 상사에 불만이 있는 이라면 특히 적당할 것이다. 그런 후, 이들이 어디에서 시간을 보내는지 파악하고, 이들이 어떤 말들을 털어 놓을 수 있는지 시도해 볼 것이다"라고 덧붙였다.

해커들은 공공 웹사이트를 샅샅이 뒤지거나, FOIA(Freedom of Information Act)에 따라 정보를 요청하거나, 공항 터미널에서 일하는 직원들을 염탐하는 식으로 공격을 시작할 수 있다. 오닐은 이 밖에도 "해외 출장 중에는 호텔 방에 노트북 컴퓨터를 방치해서는 안 된다. 또 누군가에 대한 정보를 가장 쉽게 찾을 수 있는 방법은 쓰레기통을 뒤지는 것이다"라고 충고했다.

경쟁자가 갖고 있을지도 모르는 정보의 깊이를 과소평가해서도 안 된다. 오닐은 가짜 자선 재단을 설립하고, 목표로 정한 기업으로부터 오래된 컴퓨터를 기증해달라고 요청한 한 단체의 사례를 들려줬다.

그는 "이 회사는 말 그대로 자선 활동이라고 생각하고 컴퓨터를 기증했다. 하지만 이들 컴퓨터에 장착되어 있는 하드 드라이브에는 너무나도 많은 정보가 들어 있었다. 이와 같이 위장 기업을 설립해 정보를 빼내는 일은 아주 흔하다"라고 말했다.

미국 기업으로부터 기밀 정보를 훔치려고 한 또 다른 기업의 사례도 나왔다. 오닐에 따르면 이 회사는 제휴관계를 수립하고 싶어하는 것처럼 위장을 했다. 그리고 회사의 이미지 재고 차원에서 다큐멘터리를 촬영하고 있는데, 관련 직원들을 보내 회사를 돌아봐도 되겠냐고 요청을 했다.

오닐은 "목표가 된 회사는 영화를 촬영할 사람을 보내도 좋다고 승낙을 했다. 실제로는 10명이나 되는 사람들이 카메라와 장비를 들고 나타났다. 그리고는 건물 구석구석을 누비며 자신들이 원하는 모든걸 훔쳐냈다"라고 말했다.

큰 기업들만 목표가 된다고 생각해서도 안 된다. 오닐은 이와 관련, "미국 국무부를 목표로 삼았다고 생각해보자. 국무부를 직접 노리는 게 좋을까, 아니면 아무래도 경비가 느슨한 국무부와 계약을 맺고 있는 하도급 회사를 노리는 게 좋을까?"고 반문했다. 고민할 필요도 없다. 방어가 느슨한 곳을 목표로 삼는 게 일반적이다. 이는 대기업들과 제휴관계를 맺고 있는 중소기업에도 똑같이 적용된다.

오닐은 "오늘날 정보는 경쟁력과 주도권을 확보하는데 열쇠가 된다. 해커나 스파이들은 태양 에너지 기술에서 차세대 백신까지 무엇이든 목표로 삼는다"라고 말했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.