Home > 전체기사
[주말판] 설레는 여름 휴가철에 맞는 디지털 안전 가이드
  |  입력 : 2019-06-15 12:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여행사에 대한 공격 특히 늘어날 것 예상돼...휴가철 아르바이트 공고도 위험
공항과 휴가지에서의 무료 와이파이도 위험...데이터가 돈이라는 것 인지해야


[보안뉴스 문가용 기자] 여름 휴가의 시즌이 코앞으로 다가왔다. 이미 휴가 계획을 다 세운 사람들은 실행 날짜만 손꼽아 기다리고 있겠고, 계획을 짜고 있는 사람들의 마음은 이미 지구본 위를 거닐고 있을 것이다. 해마다 찾아오는 더위에 대한 설렘이 가득한 지금, 사이버 범죄자들도 뭔가를 열심히 준비 중이다.

[이미지 = iclickart]


사이버 범죄자들이 시즌 별로 전략과 활동량을 바꾸는 건 어제 오늘 일이 아니다. 휴가철에는 가짜 여행 패키지 상품을 테마로 한 피싱 메일을 보내고, 발렌타인데이나 각종 쇼핑 시즌에는 상품권을 가지고 피해자들을 속이려 든다. 지금은 슬슬 가짜 비행기 표나 호텔 할인권 등이 등장할 때다. 그 외에 올 여름 사이버 범죄자들은 어떤 식으로 우리를 노리려 할까? 전문가들에게 물었다.

여행에서의 보안, 지나친 자신감이 문제
지난 달 IBM이 연구 보고서를 하나 발표했다. 보안에 있어서 사람들이 가지고 있는 자신감과 실제 상황이나 보안 실천 습관 사이에 심각한 차이가 있다는 내용이다. 연구에 참여한 사람들의 1/4이 “여행을 가더라도 사이버 범죄에 당하지 않을 자신감이 매우 높다”고 답했고, 37%는 “어느 정도 자신이 있다”고 했다. 자신감이 거의 없다는 응답자는 16%, 전혀 없다는 응답자는 9%에 불과했다.

그래서 IBM은 질문을 바꿨다. 여행과 관련된 습관에 대해 물었다. 이에 보안 자신감을 표현한 응답자의 24%가 “출장 중에라도 무료 공공 와이파이에 연결한다”고 답했고, 22%는 “개인적인 여행 중에 무료 공공 와이파이에 연결한다”고 답했다. 25%는 업무용 데이터 혹은 민감한 데이터가 저장된 장비를 출장 중에 가지고 다니며, 16%는 개인 여행 중에도 그렇게 한다고 했다. 보안에 대해 잘 아는 듯한 응답자의 20%는 출장 중 공공 USB 포트로 장비를 충전하고, 17%는 개인 휴가 중에 그렇게 한다고도 했다.

그 외에도 일반 사용자들의 70%(미국인 기준)가 여행 중 꽤나 위험한 행동을 취한다는 연구 결과도 있다. IBM의 글로벌 총괄인 찰스 헨더슨(Charles Henderson)은 “자신의 개인정보를 보호하는 것과, 회사의 업무 데이터를 보호하는 것 사이에 온도 차이가 존재한다”고 지적하기도 한다. 그렇기 때문에 출장 시에 더 위험한 행동을 하고, 개인여행 때는 덜하다는 것이다. “그런 차이가 존재한다는 것 자체가 인식에 구멍이 있다는 걸 뜻합니다. 그러니 여행 중에 위험한 행동을 하는 것이고요.”

계절 별로 유행 달라지는 사기꾼들, 정치적 사건도 활용
사이버 범죄자들의 주력 침투 기법은 피싱 캠페인이고, 그렇기에 어떻게든 사람들을 속이기 위해 각종 시사들을 피싱 메일에 엮어내는 건 우리가 흔히 봐온 일이다. 평창올림픽 때는 ‘올림픽 디스트로이어(Olympic Destroyer)’가 등장했고 월드컵이 열릴 때에도 사이버 공격 소식이 수반된다. 그러므로 ‘현재 가장 이슈가 되는 일’이 무엇인지 알아두는 게 피싱 공격을 막는 데에 도움이 된다. 올해 가장 큰 피싱 테마는 2020년 미국 대선일 것이라고 많은 전문가들은 예측하고 있다.

보안 업체 멀웨어바이츠(Malwarebytes)의 연구 책임자인 아담 쿠자와(Adam Kujawa)는 “정치적 사안은 늘 피싱 공격자들에게 도움이 된다”며 “사람들이 정치 얘기에 민감하고, 쉽게 이성을 잃을 뿐 아니라, 한쪽으로 치우쳐있는 경우가 많아 냉정한 판단을 못할 때가 많기 때문”이라고 설명한다.

2020년 미국 대선과 관련된 피싱 캠페인은 미국 내에서만이 아니라 미국과 밀접한 관계를 맺고 있는 모든 나라들에서 등장할 것으로 보인다. 비슷하게 우려해야 할 것은 이와 관련한 가짜뉴스와 허위 정보 유출 캠페인이다. “최근 SNS가 가짜뉴스와 허위 정보 유포를 단속하기 위해 강력한 수단들을 마련하고 있죠. 그래서 2016년과 같은 일이 더 크게 벌어지진 않을 거라고 봅니다. 그래서 정치적 공격을 시도하는 해커들도 전부 피싱이라는 방법을 사용할 거라고 봅니다.”

주요 표적은 여행사, 그리고 로열티 프로그램
이맘때 사이버 공격자들은 여행사를 표적으로 많은 공격을 실시한다. 작년 휴가철에는 매리어트 스타우드(Marriott Starwood), 캐세이퍼시픽(Cathay Pacific), 영국항공(British Airways)이 공격을 받고 정보가 대규모로 유출됐다. “여행 산업 전체가 당분간 주요 공격 대상이 될 겁니다. 석 달 안으로 또 누군가는 크게 당할 거라고 장담합니다”

여행사가 사이버 공격자들의 좋은 표적이 될 수밖에 없는 건, 여행사에 개인 식별 정보가 그득하기 때문이다. 이름, 여권번호, 운전면허 번호, 생년월일, 지불카드 정보, 로열티 번호 등 얼른 이름을 댈 수 있는 것도 여러 개다. 헨더슨은 “로열티 프로그램에 대한 사기가 특히 급증한다”고 경고한다. “고객들에게 무료로 주는 혜택이 로열티 프로그램인데, 이와 관련된 정보가 비행기 표나 가방 태그에 그대로 노출되어 있을 때가 있습니다. 이걸 사이버 범죄자들이 모아서 자신들의 무료 비행이나 무료 숙박에 활용하는 겁니다.”

게다가 이런 로열티 프로그램으로 혜택을 받는 고객들은 VIP들일 때가 많다. 여행사도 그렇게 대우한다. 그래서 이들의 신원을 꼬치꼬치 확인하지 않는다. 인증을 위한 추가 정보를 묻는 경우가 거의 없다. “사이버 범죄자들도 이런 사실을 압니다. 로열티 프로그램 번호만 대면 통과한다는 걸 말이죠.”

헨더슨은 “VIP는 절대 불편하게 해서는 안 된다는 인식이 보안 구멍이고, 사실 쉽게 메울 수 없는 경우가 많다”고 말한다. “인증 과정이 절대 불편한 것이 아니라, 안전과 사기 방지를 위해 반드시 필요한 절차라는 인식의 수준 자체가 올라가야 합니다. 로열티 프로그램과 관련해서도 마찬가지고요.” 그러면서 헨더슨은 “로열티 프로그램 사기를 여행사가 직접 실험해본다면 그 심각성을 알 수 있을 것”이라고 제안하기도 했다.

여름철 아르바이트 관련 사기
여름이면 휴가를 다니느라 바쁜 사람들도 있지만, 각종 단기 직업을 찾으려고 노력하는 사람들도 많다. 보안 업체 베이드 시큐어(Vade Secure)의 수석 솔루션 아키텍트인 아드리엔 젠더(Adrien Gendre)는 “일을 구하는 급박한 마음에 조금의 냉정을 더할 필요가 있다”고 제안한다. “사이버 공격자들이 가짜 회사를 만들어 사람 구한다는 공고를 낸 뒤 정보를 수집합니다. 물론 이런 일은 1년 내내 일어나긴 하지만, 여름 휴가철과 연말에 가장 왕성하게 나타납니다.”

대범하게도 꽤나 크고 유명한 기업에서 사람을 모집하는 것처럼 사기를 치는 일당들도 있다. 이런 회사들은 지원 양식이 별도로 정해진 경우가 많은데, 사기꾼들은 이를 통해 지원자들이 가짜 지원서 양식을 다운로드 받도록 유도한다. 물론 멀웨어가 가득한 지원서다. 또한 지원자를 모집한다는 내용의 스팸 이메일을 뿌려대는 경우도 있다. 여기에 혹해 사용자들이 메일을 열고 악성 링크를 클릭하는 순간 피싱 페이지로 안내된다.

“그래서 이런 때에는 링크드인과 관련된 피싱 공격이 많이 발생하죠. 링크드인 플랫폼에서 자주 이슈가 되는 주제들을 피싱 이메일 제목에 섞어 넣기도 하고, 유명인의 링크드인 프로필로 보이는 것을 내용 속에 삽입하기도 합니다. 이런 여러 방식으로 사용자들로부터 얻어내는 건 각종 민감한 정보입니다.”

젠더는 “스스로 논리적이고 비평적으로 생각하는 습관을 키워야 한다”고 주장한다. “사람을 모집한다는 내용으로 사기를 치려는 자들의 공통점은, 굉장히 좋은 조건을 제시한다는 겁니다. 수당이 너무 높다거나, 할 일이 너무 쉽다거나, 하는 식이죠. 그런데 정상적인 고용주라면 사람들에게 쉽게 돈을 줄 리가 없어요. 돈을 벌어본 사람들은 돈을 쉽게 안 써요. 그걸 생각하고 직업을 구했으면 합니다. 너무 좋은 조건이면 의심부터 해보세요.”

또한 젠더는 “사람을 즉시 구한다거나 빠르게 회신하기를 바라는 공고도 조심하라”고 주의를 준다. “물론 경쟁자가 많으니까 발 빠르게 움직여야 하는 건 맞습니다만, 피싱 공격자들이 구직자들의 이런 급한 심리를 노린다는 것도 잊지 마셔야 합니다.”

와이파이를 주의하라
원래 사용하던 통신 기지국과 통신망에서 멀리 떠날 수밖에 없는 여행객들은 와이파이에 항상 목이 마르다. 그렇기 때문에 무료로 연결만 할 수 있다면 그 기회를 놓치지 않는다. 공격자들은 이런 심리를 잘 알고 있다. IBM의 헨더슨은 “최근 공격자들은 자신들이 직접 마련한 와이파이 핫스팟이나 스팅레이(sting ray : 데이터 가로채기를 목적으로 한 가짜 기지국)를 공항이나 여행지에 가져와 사용자들을 유혹하기도 한다”고 말한다.

“난민들도 와이파이를 제일 먼저 찾는 시대니 말 다했죠. 범죄자들이 와이파이를 찾아 헤매는 여행자들을 노리지 않을 이유가 없습니다. 공항이 특히 범죄자들이 눈을 번뜩이는 곳입니다. 비행기를 기다리는 사람들이 선택하는 것도 와이파이, 비행기에서 막 내린 사람들이 먼저 찾는 것도 와이파이입니다. 스마트폰 배터리 충전도 늘 급박한 문제죠. 보이는 USB 충전 포트마다 의심없이 꼽고 보는 사람들을 쉽게 찾을 수 있습니다.”

멀웨어바이츠의 쿠자와는 악성 및 가짜 와이파이만이 문제가 아니라고 경고한다. “공공 인터넷도 문제가 될 수 있습니다. 자동으로 와이파이와 연결하는 기능이 켜져 있다면 공공 인터넷과 연결시켜주는 정상 무료 와이파이도 심각한 보안 구멍이 됩니다. 그러니 공항 맥도널드나 스타벅스에 있는 와이파이도 조심해야 합니다. 같은 매장에 앉아 있는 해커에게 귀장한 정보를 넘겨줄 수 있거든요. 여행할 땐 자동 와이파이 연결을 꺼두시는 게 좋습니다. 아니면 에그를 하나 마련해 가지고 다니 거나요.”

이동 중에도 표적이 된다
IBM의 연구에 참여한 사람들 중 절반 이상이 “신용카드 정보나 그 외 민감한 정보가 여행 중에 도난당할 것을 염려하고 있다”고 답했다. 집에 있을 때도 비슷한 걱정을 한다는 비율은 31%였다. 또한 40%는 여행 중 디지털 데이터를 보호하기 위해 많은 노력을 기울인다고 답했고, 32%가 어느 정도 노력한다고 했으며, 19%가 별 다른 조치를 취하지 않는다고 했다.

헨더슨은 이런 결과에 대해 “자신이 가지고 있는 데이터가 가치를 가지고 있다는 것, 즉 돈과 같다는 사실을 사람들이 아직 인지하지 않고 있는 것”이라고 분석한다. “사이버 범죄자들이 왜 돈을 그렇게 벌겠어요? 데이터가 돈이니까 그런 겁니다. 정부 기관의 최고 기밀 정보도 돈이 되지만, 평범한 일반인의 생년월일도 돈이 된다는 겁니다. 그걸 사용자들이 알고 그 돈을 지키기 위해 애써야 합니다. 이동 중에만 갑자기 데이터가 귀하게 느껴지는 것으로는 충분치 않습니다.”

쿠자와는 “그래서 여행길에서는 선불 신용카드를 사용하는 게 좋다”고 권장한다. “심지어 보안과 프라이버시에 민감하거나 신원을 반드시 숨겨야 하는 사람들은 여행지에서 선불 핸드폰을 사용하기도 합니다. 여행자가 다 그렇게 해야 하는 건 물론 아닙니다만, 정말 걱정이 된다면 할 수 있는 일들이 있다는 겁니다.”

멀웨어바이츠는 “여행에 들고 갈 장비를 미리 집에서 검사하고, 데이터를 다 지워내고 가져갈 것”을 권장한다. “어차피 여행 기간 동안 사진과 영상도 많이 찍을 거잖아요. 그러니 장비를 가볍게 해서 가져가는 게 좋습니다. 또한 여행객의 모바일 장비를 노리는 소매치기도 많이 활동한다는 걸 기억해야 합니다. 데이터를 집에 두고 갔을 때 장비를 소매치기 당한다고 하더라도 데이터는 안전할 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제