세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
나는 포춘 500대 기업을 소셜 엔지니어링했다
  |  입력 : 2017-11-09 16:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
더비콘 해킹 대회에서 주어진 과제, “포춘 500대 기업을 뚫어라”
구글 검색, 소셜 엔지니어링, 직접 전화 통화로 충분한 정보 수집 성공


[보안뉴스 문가용 기자] 나는 한 포춘 500대 기업을 소셜 엔지니어링 기술로만 뚫어냈다. 그 방법을 여기에 공개해보고자 한다.

먼저 배경 설명을 먼저 하자면, 나는 더비콘(DerbyCon)이라는 해킹 방어 대회에서 소셜 엔지니어링 부문의 캡처 더 플래그(CTF) 부문 1위를 차지한 적이 있다. 소셜 엔지니어링 기술만으로 정보를 모아 기업을 침해하는 것이 참가자들에게 주어진 과제였다. 쉽지 않은 과제였지만 우승을 하게 돼 뿌듯했다. 필자가 포춘 500대 기업을 침해한 것도 다 이런 대회 안에서 합법적으로 이루어졌음을 먼저 밝힌다.

[이미지 = iclickart]


과제는 대회가 열리기 전에 통보됐다. 대회 운영자들은 참가자들에게 포춘 500대 기업 중 한 곳을 배정해주고 3주 안에 공개출처정보(OSINT)만을 사용하여 자기에게 할당된 기업에 침해하는 방법을 연구해 보고서로 제출하라고 했다. 여기서 OSINT란 공개된 출처로부터 모은 정보를 말한다. 인터넷 검색, 웹사이트 탐색, 소셜 미디어 등을 통해 모으는 정보들을 말한다.

여기에 더해 참가자들은 더비콘 현장에서 방음 처리가 된 공간을 활용해 전화를 걸 수도 있었다. 홈페이지나 인터넷 어디에도 없는 정보를 전화 통화를 통해 알아내는 건 허용됐다. 어떤 중요한 정보를 어떤 방식을 통해 모을 수 있었는지도 채점 항목에 들어가 있었다. 이 글에서 필자는 회사의 이름을 정확히 밝히지는 않을 것이다.

내가 제일 먼저 한 일은 링크드인과 페이스북에서 그 회사를 찾아내는 것이었다. 이를 통해 회사와 관련된 단체와 인물 등의 이름들까지도 알아낼 수 있었다. 이러한 활동과 성과에도 점수가 일정 부분 매겨진다. OSINT를 수집하고 분석해주는 소프트웨어 툴이 있는데, 나는 recon-ng라는 걸 사용했다. 공개적으로 호스팅된 파일에서 메타데이터를 분석해 가장 핵심이 되는 정보를 뽑아내기 위해서였다. 바로 공문서들에 적혀 있는 전화번호의 형식이었다. 나는 구글에서 “+(123)456-”이라는 키워드로 검색했고, 그 결과 여러 이름, 이메일 주소, 전화번호를 얻어낼 수 있었다.

한 전 직원의 경우 트러블슈팅 및 백업을 목적으로 메일링 리스트를 통째로 이메일로 보내기까지 했다. 덕분에 나는 그 직원의 깃허브 계정을 알아냈고, 그 계정의 활동 내역과 댓글, 포스팅 등을 추적하면서 기업 내부에서 사용되고 있던 기술들(소프트웨어나 장비 등)이 정확히 뭔지 알아낼 수 있었다. 그런 식으로 여러 웹사이트들에서 알아낸 것들을 대략 추리자면 다음과 같다.

1) Indeed.com에서 이력서를 조회한 결과 : 전에 사용됐던 VoIP 시스템이 무엇인지, 어떤 시스템으로 업그레이드 됐는지는 물론 배지 판독기와 배지 종류에 대한 정보도 알아낼 수 있었다. 또한 게이트 출입통제를 담당하는 보안 회사 이름도 알아냈다.

2) 각종 소셜 미디어를 통해 조회한 결과 : PR 팀에서도 소셜 미디어 계정을 보유하고 있었지만, 별 활동은 하고 있지 않았다. 다만 회사의 임원진들 대부분의 계정을 팔로우하고 있었다. C급 임원들은 물론 부회장들도 대부분 연결되어 있었기 때문에 좋은 정보 안내자가 되어주었다. 일부 직원들이 회사 배지를 사진 찍어서 소셜 미디어에 올리기도 했다.

3) 구글 거리뷰를 통해 검색한 결과 : 어떤 운송회사(택배회사)와 거래하고 있는지, 어떤 쓰레기 처리 회사와 거래하고 있는지를 알아낼 수 있었다. 즉 서드파티 기업들 일부를 파악해낼 수 있었다는 것이다.

이러한 내용의 보고서를 더비콘 운영진에 제출하고 결과를 기다렸다. 이제 남은 것은 현장에서의 시합이었다. 앞서 밝혔다시피 현장에서 참가자들은 몇 군데 전화를 할 수 있었다. 나도 통화를 시도했지만 음성사서함으로만 연결됐을 뿐이었다. 그래도 계속 시도했다. 그랬더니 한 ‘인간’ 여성분이 전화를 받았다. 그래서 IT 보안팀이라고 소개하고, 외부 감사를 준비하고 있다고 안내했다. 그러면서 몇 가지 정보를 알려달라고 했다.

하지만 난 사무적으로 접근하지 않았다. 그 여성 직원분과 ‘크래프트 맥주’ 이야기도 하면서 인간적인 관계를 쌓아갔다. 크래프트 맥주 이야기를 꺼낸 것도 의도적이었다. 소셜 미디어 등을 통해 정보를 수집하며 당시 그 동네에서 크래프트 맥주가 뜨거운 관심사라는 것을 알아냈던 것이다. 그러면서 원하는 정보에 대한 질문을 대화에 섞어 넣자, 그분은 친절하게 대답해주었다. 마지막엔 특정 웹사이트에 접속해보라고도 요청했다. 역시나 아무런 의심 없이 접속했다.

전화를 끊고 다른 번호로도 통화를 시도했다. 하지만 역시나 음성 사서함의 연속이었다. 한참을 시도했더니 또 다른 여성분이 전화를 받았다. 방금 전과 비슷한 방법으로 접근했고, 결국에는 IT 부서에서 근무하는 어떤 남성분과 직접 연결됐다. 당시 나는 내부 IT 부서의 전화번호와 흡사한 번호를 사용하고 있었으며, 마이크로소프트 오피스 365로의 이전 문제에 관한 이야기를 시작했다. 그 남성분 역시 내 질문에 꼼꼼하게 답해줬다.

디스크 암호화 기능인 비트로커(Bitlocker)를 언급하자 그는 자신의 컴퓨터에 비트로커가 설치되어 있지만 암호화 및 멀웨어 보호를 위한 솔루션은 다른 걸 쓰고 있다고 설명했다. 어떤 웹사이트에 접속해보라고 요청했더니 그 남자분은 의심을 갖기 시작했고, 내부 직원 ID번호를 요구했다. 그래서 하나 얼른 만들어서 대답했더니 그분은 확인해본다며 잠깐 기다리라고 했다. 하지만 대회장에서 사용할 수 있던 시간이 모두 끝나 난 전화를 끊어야만 했다. 하지만 난 내부 업무용 소프트웨어와 보안용 소프트웨어 정보까지도 알아낼 수 있었다. 우리가 알다시피 이 정도 정보면 충분히 기업 내로 침투하는 게 가능하다.

이러한 침투 행위를 어떤 식으로 기업은 막을 수 있을까? 교육과 시뮬레이션을 통해서다. 네트워크 접근으로 이어질 수 있는 정보를 요구하는 전화는 대답하기 전에 두세 번 이상 확인해야 하는 것이 기업 내 문화로 정착되어야 한다. 또한 자꾸만 상기시켜줘서 ‘깜빡 잊어서’ 사고가 발생하지 않도록 막아야 한다. 1년에 한 번 하는 보안 교육은 없느니만 못하다. 최소 분기별로 한 번씩은 해야 효과가 있다. 보안 위협의 종류와 유행이 바뀌기 때문이다.

출처가 확실하지 않은 전화가 걸려올 경우 “지금 회의가 막 시작해서 그런데, 죄송하지만 몇 분 후 다시 전화해주시겠습니까?”라는 대답만 했어도 나의 침투 시도는 막혔거나 길어졌을 것이다. 내가 통화 중 응용한 건 로버트 치알디니(Robert Cialdini) 박사의 ‘설득의 여섯 가지 원칙’이었으므로, 이를 미리 공부하는 것도 어설픈 설득 시도를 간파하는 데 도움이 될 수 있다.

‘열 번 찍어 안 넘어가는 나무 없다’는 말처럼 정확한 게 없다. 적어도 소셜 엔지니어링 공격에 관해서는 말이다. 그 이유 중 하나는 관련 사내 정책이 너무 너그러워서다. 또한 보안을 너무 전문가들 사이에서만 처리하려는 ‘문화’도 권장할만한 건 아니다. 보안 교육을 더 철저히 받게 하거나 보안의 심각함을 체감하게 하려면 그에 맞는 상벌 제도가 필요하다. 또한 수상한 전화나 접근 시도에 대한 보고를 할 수 있도록 권장해야 한다. 직원들 한 사람 한 사람의 대응이 ‘빠른 조치’로 이어지고 이는 피해가 감소되는 결과를 낳는다.

글 : 조 그레이(Joe Gray), Sword&Shield Enterprise Security

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)