세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
공격 현장의 최전선에 있는 사용자, 빛나는 방어 자원
  |  입력 : 2018-05-14 15:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국가와 경찰도 국민의 신고 기다리며 사회 안전 도모
보안의 기본기와 소셜 엔지니어링만 꾸준히 훈련시켜도 충분


[보안뉴스 문가용 기자] 공항이나 버스정류장, 지하철역에는 “수상한 것을 보면 즉시 신고하라”는 권고문이 여기 저기 붙어있다. 물리적인 위험요소를 처리하는 데 있어 우리가 할 일은 거기까지다. 나머지는 경찰이나 소방관들에게 맡기면 된다. 사회 시스템이란 것이 어느 새 그렇게 형성돼버렸다. 하지만 최근 테러나 강력 범죄가 심각한 사회 문제가 되면서 경찰과 소방관들에게만 모든 것을 맡길 순 없다는 분위기가 만들어지고 있다.

[이미지 = iclickart]


사이버 보안 세계에서도 비슷한 분위기가 나타나기 시작했다. 보다 정확히 말하면 더 많은 사람들의 첩보를 보안 업계가 구하기 시작했다는 것이다. 지금의 보안 인력만으로는 공격에 죄다 대처할 수가 없어 사용자들의 보다 적극적인 참여를 유도하기 시작했다. 사람을 더해 방어의 그물을 좀 더 촘촘히 짜고자 한 것인데, 드디어 사용자가 방어의 한 ‘레이어’로서 작용해야만 하는 때가 됐다. 이를 위해서 다음과 같은 절차를 밟는 것이 일반적이다.

먼저 기본을 훈련시킨다
많은 회사들이 보안의 기본적인 사안들을 훈련시키는 데 있어, 간헐적 접근법을 사용한다. 신입 직원 교육 때 혹은 가끔 팀장들 중에서 보안이 중요하다는 생각이 들었을 때, 가까운 회사에서 보안 사고가 발생했을 때 등에만 이뤄진다는 것이다. 이는 결코 충분치 못하다. 보안 교육은 ‘늘’, ‘주기적으로’ 행해져야 한다.

요즘과 같은 환경에서 일을 한다는 사람들이라면 자신들에게 전달되는 링크나 첨부파일에 대해 나름의 확인 절차를 먼저 밟는 것이 습관처럼 되어야 한다. 클릭부터 하지 않는 것, 이것이 보안의 가장 기본적인 덕목이다. 이메일을 보낸 사람을 알고 있다? 그렇다면 해당 메일이 올 예정이었는가를 스스로에게 물어야 한다. 아니라면 먼저 보낸 사람에게 연락해서 이메일 보낸 게 맞는지 확인까지 하면 금상첨화다.

또한 컴퓨터와 인터넷을 다루는 사람들이라면 사이버 위생 습관도 가지고 있어야 한다. 제일 먼저는 자신이 사용하는 OS와 소프트웨어를 업데이트하는 것이다. 요즘은 개인 당 보유 기기들도 많은 편인데, 이 기기들에 있는 모든 소프트웨어 요소를 최신화시켜야 한다. 보안 솔루션을 위해 돈 얼마쯤 투자하는 것도 아까워하지 않는 게 현명하다고 보인다.

아직 더 있다. 온라인 쇼핑 사이트를 이용해 뭔가를 구매하기 전에 제일 먼저 브라우저 주소 창에 HTTPS라는 글자가 있는지 확인하는 것이다. 없다면? 이는 트래픽 암호화가 되어 있지 않다는 뜻이므로 로그인이나 회원가입을 하지 말아야 한다. 신뢰할 만한 누군가가 보낸 메일에 결제 관련 URL 주소가 링크되어 있다고 해도 직접 클릭하지 말고, 창을 새로 띄워 수동으로 해당 주소를 기입하는 것이 훨씬 더 안전하다.

공공 와이파이의 사용 역시 자제시켜야 한다. 특히 공공 장소에 비치되어 있는 컴퓨터를 사용해 은행 업무를 본다거나, 지하철에서 제공하는 와이파이를 켜고 민감한 정보를 입력 및 전송하는 행위가 얼마나 위험한지 ‘살벌하게’ 설명해주는 것이 필요하다. 그러면서 이중인증의 중요성에 대해 알리는 것도 괜찮다. 물론 이중인증이라고 해서 완벽한 방어법은 아니지만 말이다.

소셜 엔지니어링이 뭔지 설명하라
위에서 언급한 ‘기본기’들은 보안 전문가 사이에서야 오랜 기간 알려진 것들이지만 일반 사람들에게는 그렇지 않다. 방어의 기본기를 알려줬다면, 그 다음으로 공격의 기본기를 알려줄 차례다. 그것은 바로 소셜 엔지니어링이다. 네트워크 로그인 비밀번호를 훔치려고 누군가 당신 옆에 서서 어깨너머로 화면을 들여다보는 것부터 이야기를 시작하라. 오래된 이야기를 꺼냄으로서 ‘소셜 엔지니어링’이라는 비교적 어려운 단어가 주는 거부감을 많이 상쇄시킬 수 있게 된다.

현대의 소셜 엔지니어링 공격은 대부분 피해자의 이메일 인박스를 통해 들어온다. 이메일은 현대 사이버 공격자들이 가장 선호하는 공격 경로라고 말해도 과언이 아니다. 거의 모든 공격이 악성 이메일로부터 시작한다. 이러한 그들의 성향을 알려주고, 그들이 선호하는 작전을 보여주어 사용자들이 이메일을 열 때 알아보도록 한다.

이 부분에 있어서 훈련 방법은 의외로 간단하다. 그들이 직접 공격에 당하도록 해보는 것이다. 일반 직원들이 클릭하고 싶어지는 이메일을 만들어 모의 공격을 하는 훈련법은 많은 조직들에서 이미 시행하고 있다. 걸리는 직원들에게 “이런 경우 이런 저런 인사조치를 받을 수 있다”는 경고를 주는 것도 잊지 말아야 한다.

잘 훈련된 그들은, 당신의 든든한 전력이 된다
기업의 네트워크를 가장 쉽게 뚫는 방법은, 그 기업의 직원을 노리는 것이라고 한다. 그 말을 거꾸로 하면, 그들이 보안 담당자인 당신의 가장 끝에 있는 마지노선이라는 것이다. 이들이 보안에 대해 어떤 생각을 갖게 되느냐에 따라 사용자로 구성된 층위는 난공불락의 전선이 될 수도 있고, 일명 ‘당나라 부대’의 놀이터가 될 수도 있다.

위에서 언급한 모의 소셜 엔지니어링 공격을 생각해보자. 가짜 이메일 제목에 ‘무료 커피’라는 말을 쓰면 어떨까? 직원들이 클릭할까? 사실 많은 기업들에서 ‘무료 커피’라는 제목은 높은 성공률을 가지고 있다는 게 드러난 바 있다. ‘파티 사진’이라는 제목도 그렇고, ‘택배 도착’과 같은 제목도 마찬가지다. 하지만 직원들이 이러한 제목을 잘 피해간다면, 얼마나 든든해질까?

또한 사건 대응 담당자로서 ‘어떤 직원의 메일함으로 악성 메일이 도착했나’를 파악하고, 그에 대한 적절한 조치를 취하기 전에, 그 직원이 메일을 미리 신고하면 어떨까? 사건의 규모를 크게 축소시킬 수 있고, 그만큼 피해를 줄일 수 있게 된다. 세상 모든 보안 담당자들에게 있어 이는 더 이상적일 수 없는 시나리오다. 위에 두 가지 교육 훈련 과정을 꾸준히 실천하면 이런 날이 분명 올 것이다. 실제 그런 사례가 없지 않고 말이다.

결국 사이버 공격의 모든 기법들을 낱낱이 파헤치는 건 보안 전문가들일지 몰라도, 현장에서 실제 공격을 최전선에서 겪는 건 일반 사용자들이다. 최전선의 병력이 죽게 내버려두는 게 아니라 우리 편으로 만들어 단단한 벽으로 만드는 것이 현명한 일이란 건 모든 병법가들이 알고 있다.

글 : 존 로빈슨(John Robinson), Cofense

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)