속고 또 속고...반복되는 소셜 엔지니어링 공격을 부탁해

피싱 테스트 해보면, 늘 속는 사람 나와...교육만이 근본적인 답
교육 콘텐츠 고민 더해야...단순 반복 및 기계식 주입은 효과 없어

[보안뉴스 문가용 기자] 이런 상황을 상상해보자. 은행의 부회장이 하루는 일을 하다가 모의 침투 테스트가 계획된 사실을 뒤늦게 기억했다. 마침 전화기가 울리기 시작했다. 물론 은행 부회장 자리에 있으면 하루에도 수십 번씩 전화가 온다. 그래서 그는 여느 때처럼 전화를 받았다. 이메일 설정이 잘못 되었으니 자기를 따라서 수정하라는, 기술자 같은 사람이 수화기 건너편에 있었다. 그는 그 말에 따라 이메일 설정을 고쳤는데, 그 과정에 민감한 정보를 많이 알려줬다. 공격을 실행하기에 충분한 내용이었다.

[이미지 = iclickart]

당연히 그 부회장은 침투 테스터들에게 걸려든 것이었다. 그리고 피플섹(PeopleSec)이라는 보안 업체의 실제 침투 테스트 시 발생했던 일이다. 피플섹의 창립자인 조슈아 크럼보(Joshua Crumbaugh)는 “이런 일은 거의 매일처럼 수도 없이 발생한다”고 말한다. 크럼보는 연말에 열리는 블랙햇 유럽에서, 수년 간 쌓아온 소셜 엔지니어링 침투 테스트 노하우와 다양한 에피소드를 들려줄 예정이다.

그가 가장 놀라는 건 “침투 테스트 스케줄이 있다는 걸 아는데도 사람들이 걸려든다는 사실”이다. “제가 처음 업계 들어왔을 때도 사람들은 속았고, 지금도 속습니다. 물론 어느 정도 조사를 해서 거짓말을 맞춤형으로 그럴 듯하게 했기 때문입니다만, 그래도 의심을 안 해도 너무 안 하는 수준이에요. 공격자들은 저보다 더 치밀하고 교활한데 말입니다.”

위 부회장이 근무하는 은행을 공격하기 위해서도 크럼보는 사전 조사를 실시했다고 한다. 그러다가 이메일용 ISP 서드파티가 중소 규모라는 걸 알아냈다. 그 기업의 고객들은 이미 수차례 서비스 품질 때문에 불만을 표현한 바 있었다. “이거다 싶었습니다. 그래서 해당 ISP 업체의 대표인 것처럼 해서 은행에 전화를 걸었습니다. 그리고 이메일을 조금 고쳐보자고 했더니 부회장이 한 번에 걸려들더군요.”

크럼보는 “인간은 정말 눈이 먼 상태로 있을 때가 많다”며 “이 점을 절대 간과하면 안 된다”고 강조한다. 은행은 이 테스트를 거친 후 “문제를 반드시 고치고 싶다”는 뜻을 전달했다. 그래서 크럼보는 다양한 어드바이스를 제공했고, 효과가 높은 백신 업체와 관리 서비스 업체를 소개해줬다. “어떤 표적이건 내부 사정만 알게 된다면 침투하기가 쉬워집니다.”

크럼보는 소셜 엔지니어링 기술을 통한 침투 테스트를 수년 간 실시해왔다. 특히 지난 3년은 피싱 공격에 주력했다고 한다. 그리고 그런 경험을 바탕으로 HumanSAMM이라는 프로젝트를 구축하고 있다. “HumanSAMM은 인간이 가지고 있는 보안 문제들을 다루기 위한 프레임워크입니다. 아무리 철저하게 보안 시스템을 갖춰도 거기에 사람이 있는 이상 반드시 뚫릴 가능성은 존재합니다.”

솔직히 처음에는 “마음만 먹으면 어떤 조직에서건 높은 권한을 취득할 수 있다는 사실이 재미있었다”는 크럼보는 “그러나 같은 문제가 전혀 고쳐지지 않는다는 걸 깨닫고는 조치를 취해야만 하겠다는 마음이 들었다”고 말한다. “아무도 고치려고 마음조차 먹지 않는 것처럼 보였습니다.”

여러 해 침투 테스트를 진행해 온 그는 여러 가지 놀라운 점들을 공개한다. “기업 내 가장 취약한 곳은 보통 영업부서입니다. 영업부 직원들은 다른 부서 직원들보다 400%나 더 높은 확률로 피싱 공격에 걸려듭니다.” 그 이유는 “다른 부서보다 클릭을 많이 하는 업무상 특징 때문”이라고 크럼보는 설명한다. “판매와 시장 소식에 관한 것이라면 반사적으로 클릭을 하더군요.”

두 번째로 피싱 공격에 많이 걸려드는 건 개발자들이다. “이 두 부류는 사실 가장 피싱에 걸려들면 안 되는 사람들이죠. 영업부는 기업의 영업과 관련된 정보를 많이 가지고 있는 곳이고, 개발자들은 네트워크 권한이 가장 높은 사람들이니까요.”

이는 교육과 훈련으로밖에 해결할 방법이 없다고 크럼보는 말한다. “하지만 교육 프로그램들 대부분 재미도 없고, 효율도 없죠. 어쩌다 한 번 프린트물 나눠주는 것만으로 교육이 끝났다고 생각하거나 보안이 해결된다고 생각하거든요. 이런 식의 교육만 진행되니 사람들이 속고 또 속는 겁니다.”

크럼보는 맞춤형 교육이 진행되어야 한다고 강조한다. “보안 실천력이 강한 사람이 있고 적은 사람이 있는데, 둘 다 동일하게 교육을 받습니다. 보안 정책을 잘 따르든 안 따르든 대우가 똑같아요. 부서별이나 개인별로 맞춤형 보안 교육을 할 여력이 되지 않는다면 최소한 보안 정책을 얼마나 지키느냐에 따라 상벌 제도라도 갖추어야 사람들이 조금이라도 귀를 기울입니다.”

또한 가짜 피싱 테스트를 했을 때 누가 클릭을 했고 안 했고만 따지는 것도 좋은 훈련이라고 볼 수 없다고 그는 말한다. “어떤 종류의 피싱 공격에 사람들이 주로 속았는지, 어떤 시간대, 어떤 상황에서 피싱 공격의 효과가 줄거나 늘었는지도 분석해야 합니다. 여기서부터 맞춤형 조언이나 교육이 들어갈 수 있거든요. 또한 조직 전체적으로도 보안을 강화해야 할 방법이 생기고요.”
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)