[기고] 기업이 추석연휴 사이버 공격을 경계해야 하는 이유


한준형 아카마이코리아 상무

# "설날에 사촌에게서 깜짝 선물을 보냈다는 내용과 함께 송장번호 확인 링크 문자를 받았어요. 그래서 아무런 의심 없이 링크를 열어 로그인 정보를 입력했습니다. 하지만 해당 문자와 사이트는 가짜였고, 나중에 제 은행 계좌에서 5만원이 빠져나간 것을 뒤늦게 확인했습니다."

# "추석을 맞아 가족에게 선물하기 위해 온라인에서 한 판매자로부터 상품권을 구매했는데, 알고 보니 사기 범죄자였습니다. 저는 구매와 동시에 100만원을 잃게 됐어요. 돈을 잃었다는 것을 떠나서 제 개인정보를 가짜 판매자에게 전달했다는 사실과, 그 판매자가 제 개인정보를 남용할 수 있다는 사실에 매우 불쾌합니다."

우리는 구정이나 추석 연휴에 이러한 피해를 입은 사례들을 자주 듣게 된다. 사이버 범죄자들은 추석 연휴에 맞춰 정교한 수법을 고안해 희생자들을 유혹하기 때문에, 다가오는 연휴에는 보안 경계를 늦추지 않고 피해를 입지 않도록 주의해야 한다.

피싱(Phishing) 공격은 사이버 공격과 스캠(scam)을 행하는 가장 일반적인 방법 중 하나다. 2020년에서 2022년 사이 약 50%의 미국 시민이 어떠한 형태로의 사이버 공격으로 개인정보 도용을 당했다는 점을 보면, 사이버 공격이 얼마나 빠르게 진화하고 있는지 알 수 있다.

특히 온라인 스캠에 대한 사회의 전반적인 인식이 높아지고 이에 대응하기 위한 신뢰기반의 소셜 엔지니어링이 발전했음에도 불구하고, 피해는 지속적으로 증가하고 있다. 지난해 미국에서 개인정보 남용으로 인한 피해는 520억 달러(한화 약 68조)에 달하며, 개인 일상에 큰 영향을 미치고 있다.

경찰청은 매년 대중에게 알 수 없는 발신자가 보낸 문자의 링크를 열지 않도록 당부하며, 원치 않은 애플리케이션이 다운로드 되지 않도록 개인 전자기기의 보안을 강화할 것을 권장한다.

하지만 범죄자들은 가족이나 가까운 친구로부터 택배가 도착했다는 메시지를 보내는 등 보다 교활한 피싱 공격으로 경계를 늦춘 사용자들이 로그인 정보를 제공하도록 유도한다. 범죄자들은 이렇게 탈취한 로그인 정보를 서로 공유하거나 판매하며 악용한다. 이러한 수법은 범죄자 입장에서 여전히 '잘 통하는' 기법인데, 그 이유는 많은 사람들이 똑같은 로그인 정보를 여러 플랫폼에서 활용하기 때문이다.

범죄자들은 탈취한 로그인 정보로 자동화된 봇넷(botnet)을 활용해 여러 사이트에 로그인을 시도하고, 정상 접속이 확인된 정보를 사용해 은행 웹사이트에서 사기 대출을 신청하거나 돈을 빼내려고 한다.

결국 로그인 정보 자체는 합법적이기 때문에 이러한 '크리덴셜 스터핑(credential stuffing)' 공격을 사전에 차단하는 것은 쉽지 않다. 중요한 것은 합법적인 인증을 시도하는 불법적인 엔티티(entity)라는 점을 잊지 말아야 한다.

아카마이는 단일 봇넷에서 시간당 최대 30만 건의 부정 로그인 시도를 한다는 점을 탐지했다. 이는 잠재적으로 금전적 손실과 사생활 침해로 이어지며, 특히 기업에게 가장 중요한 요소인 소비자 신뢰도 하락을 확인할 수 있었다.

더 심각한 문제는 이러한 피해가 개인의 수준에서 멈추지 않는다는 점이다. 코로나 팬데믹 이후, 점점 더 많은 사람들이 회사 업무와 개인 생활을 위해 동일한 기기나 컴퓨터를 사용하면서 범죄자들에게 매력적인 타깃이 되고 있다. 왜냐하면 사생활 영역에서의 피싱 공격을 미끼로 업무용 컴퓨터를 손상시킬 수 있기 때문이다.

버라이즌(Verizon)의 최신 데이터 유출 보고서에 따르면, 데이터 유출 사고의 약 80%는 훔쳤거나 노출된 임직원 아이디·비밀번호 사용이나 무차별 암호 대입과 연관됐다. 기업 기밀 데이터 유출과 그로 인한 재정적 손실 및 평판 훼손은 물론, 랜섬웨어와 멀웨어를 퍼트리기 위한 초기 네트워크 거점을 만들기 위해 직원 계정을 목표로 삼는 경우가 점점 더 늘고 있다.

따라서 기업이 멀티팩터인증(Multi-Factor Authentication, MFA)을 구축해 직원 계정을 보호해야 할 필요성이 그 어느 때보다 커졌다. MFA는 인증 과정에서 기기, 네트워크, 위치, 접속 시간 등을 종합적으로 분석해 인증 단계를 조정하는 솔루션이다.

MFA가 제로 트러스트(Zero Trust)나 보안 접속(Secure Access)에도 포함된다는 점도 자주 듣는다. 기업이 애플리케이션의 안전한 접속을 위해 제로 트러스트(Zero Trust)를 구축했다면 자연스레 MFA로 강력한 사용자 인증을 하는 것이 일반적이라고 볼 수 있다.

크리덴셜 스터핑 공격을 막을 수 있는 것은 적절한 도구 선택에 좌우된다. 대부분의 솔루션은 봇을 정상적인 행위자와 구별하기 위해 설계됐지만 업계 내의 현재 봇 환경과 사용 가능한 봇 탐지 기술에 대해 자세히 파악하는 것이 중요하다. 적절한 솔루션은 가장 정교한 봇을 감지할 수 있는 솔루션이 될 것이다.

정교한 봇은 변이를 일으킬 수 있다. 다시 말해, 봇 관리 솔루션도 똑같이 정교해야 하며, 봇이 변이해도 효과를 유지하는 사용자 행동 분석과 같은 봇 탐지 기술을 활용해야 한다.

또 기업은 보안에 실패했을 때를 대비해 기업 내부에 침투한 공격자가 중요한 자산에 도달할 위험을 최소화할 수 있는 전략이 필요하다. 마이크로세그멘테이션(microsegmentation) 기술이 필요한 이유다.

해당 기술은 기업을 개별 소프트웨어 및 워크로드 수준까지 별개의 보안 영역으로 논리적으로 나누고 각 영역에 맞게 잘 정의된 보안 제어를 제공하며, 데이터 이동에 대한 가시성을 확보하도록 한다. 선체에 균열이 발생할 경우 방수 차단벽이 인접 격실의 침수를 방지하는 것과 마찬가지로, 멀웨어 공격의 '폭발 반경'을 억제하여 측면 확산을 방지한다.

무엇보다 중요한 것은 많은 사용자들이 개인 업무와 회사 업무 계정에 같은 비밀번호를 사용하는 경향이 있다는 점이다. 직원들이 두 영역에서 다른 비밀번호를 사용하도록 권장하는 것만으로도 사이버 공격 위험을 크게 줄일 수 있다.

범죄자들이 공격을 위해 직원 계정을 이용하는 데 집중하고 있다는 점을 고려하면, 기업들이 공격면을 줄이기 위한 여러 방법을 모색하기 시작한 것은 놀라운 일이 아니다. 보안 솔루션이 강화되면 이에 맞게 공격자들의 기법도 발전하게 되며 그들이 수집할 수 있는 개인 정보의 양도 증가한다.

따라서 기업들은 다가오는 추석 동안 사이버 공격으로 인한 원치 않는 피해를 예방하기 위해 적절한 보안 솔루션을 구축했는지 점검할 것을 권장한다. 정부의 사이버 보안 위험 경고에 주의를 기울이고, 개인적인 차원에서도 각별히 경계해야 한다. 이번 추석 연휴에는 모두가 주의를 기울여 가족, 친구, 이웃, 직장에서 또 다시 사이버 공격으로 인한 피해가 발생했다는 소식을 듣지 않기를 바란다. 또 이러한 개인의 보안을 통해 기업들 또한 피해를 막을 수 있기를 기대한다.

/한준형 아카마이코리아 상무

한준형 아카마이코리아 상무. [사진=아카마이]








포토뉴스