피싱 공격에 넘어가고, 멀웨어를 퍼뜨리고, 안전하지 않은 패스워드를 사용하기 때문이다 패스워드의 반복 사용이 가장 큰 위험이다. 하나의 계정이 뚫리면 다른 계정들도 위태로워질 수 있기 때문이다.기업과 단체들이 사이버 보안 대책에 대한 투자를 갈수록 늘리고 있다. 특정인을 겨냥한 해킹과 광범위한 멀웨어(시스템 파괴 소프트웨어)의 확산을 모두 막으려는 노력이다. 희소식은 보안대책에 대한 집중 투자가 효과를 보는 듯하다는 사실이다. 최근 보고서에서 소매유통업체들은 사이버 보안 대책 지출을 늘려 해킹 피해를 줄였다. 나쁜 소식은 완벽하게 틀어막기가 불가능한 한 가지 약점이 있다는 사실이다. 바로 인간들이다.
시스템의 취약점은 보완하고 보안 프로그램은 업데이트하면 되지만 사람에게는 항상 특정 위험이 따른다. 일정 부분 불가피한 인간의 오류 탓도 있고 함정에 빠지지 않도록 보안 규정 교육을 받지 않았기 때문이기도 하다. 조직들은 이런 문제들을 참작해 방어대책을 마련해야 한다.
━
피싱 공격에 넘어갈 때
피싱(phishing, 개인 금융정보 ‘낚시’) 공격이 갈수록 보편화하며 광범위한 공격 또는 스피어 피싱(spear phishing)으로 불리는 특정 표적을 겨냥한 해킹의 형태를 띠기도 한다. 흔히 악성 파일이나 링크가 따르는 이메일 형태를 띤 공격이다. 링크를 클릭하거나 파일을 열면 이용자 계정에서 정보가 유출될 수 있다.
이런 공격은 여러 가지 방식을 취할 수 있지만 이메일을 통한 공격이 가장 일반적이다. 가끔씩 스팸 같은 피싱 공격이 이메일 필터를 뚫고 개인 수신함으로 파고들기도 한다. 하지만 믿을 만한 연락처에서 보내는 진짜 이메일처럼 위장하는 경우가 더 일반적이다.
올해 초 있었던 광범위한 피싱 공격의 경우 해커들은 구글 앱의 약점을 이용해 구글 닥스 위장 버전으로 G메일 이용자들을 공격했다. 이를 위해 해커들은 종종 ‘d’ 대신 ‘cl’을 넣는 것처럼 언뜻 보면 비슷하지만 다른 철자가 담긴 도메인을 이용하는 방법으로 이메일 주소를 스푸핑(위장 도용)했다. 또는 다른 이용자의 계정을 가로채 그들의 연락처로 이메일 공격을 퍼뜨리는 방법을 썼다.
이 같은 광범위한 공격이 크게 성공하는 경우는 많지 않다. 최대한 많은 사람을 표적으로 삼아 최소한 일부라도 걸려들기를 바라는 방식에 의존한다. 그보다는 특정 표적을 겨냥한 스피어 피싱 공격이 훨씬 더 큰 위협을 제기한다. 종종 한두 개 표적만 골라 잠재적인 피해자와 관련된 내밀한 정보로 무장하기 때문이다.
요즘엔 입수할 수 있는 개인 정보(소셜미디어 계정의 데이터든 개인이 통제 불가능한 과거의 데이터 유출을 통해서든)가 많아 해커들이 공격을 맞춤 설계하기가 쉬워질 수 있다. 사이버 보안 솔루션 업체 라스트라인 소속 마크 코바 선임 보안연구원의 경고다. 그는 “해커들은 여러 정보원의 데이터를 통합해 스피어 피싱 표적을 포함해 잠재적인 피해자에 관한 자료를 축적한다”고 말했다. “그들이 수집하는 정보가 일급 기밀이 아니라도 해킹에는 문제가 없다. 데이터 유출이 앞으로 수년간 멀웨어의 유통 허브 역할을 하게 된다.”
이 같은 유형의 위협은 특히 자동화 시스템에 걸리지 않을 때 방어하기 어려울 수 있다. 국제 위험·안전관리연구소(IIRSM)의 마이크 길레스피 특별 고문은 기업들이 “관련 교육을 정례화”해 경계를 게을리해선 안 된다고 말했다. “위협 환경이 급변한다. 고위 경영진을 포함해 전 직원을 대상으로 철저한 교육을 실시해 조직 안전을 위협하는 이메일·파일 또는 활동에 의문을 제기할 수 있도록 해야 한다.”
━
네트워크 전반으로 확산되는 감염
사람들은 같은 패스워드를 여러 곳에 사용해 복잡한 로그인이 지닌 안전성을 무용지물로 만드는 또 다른 실수를 범한다.최근 몇 달 사이 기업과 조직에 멀웨어가 널리 퍼져나가 많은 피해를 초래했다. 워너크라이 랜섬웨어(사용자 파일을 인질로 잡는 악성 프로그램)와 페트야 악성코드는 중요한 정보를 인질로 잡아 조직들의 일상 업무 수행에 지장을 초래했다.
해킹이 컴퓨터 네트워크 전반으로 급속히 확산된 것은 시스템을 업데이트하지 않은 조직이 많았기 때문이다. 그러나 해커가 시스템을 뚫는 데 취약한 액세스 포인트(access point, 네트워크 접속 중계점) 하나로 충분했다.
이런 유형의 공격이 확산되는 길은 여러 가지다. 종종 PDF나 마이크로소프트 오피스 파일로 위장한 이메일 첨부파일의 형태를 띤다. 이런 파일을 열면 파일에 깔린 악성코드가 배경에서 작동하기 시작해 멀웨어를 설치하고 기기에 침입한다. 그 뒤 조직 네트워크에 연결된 다른 기기들로 퍼져나갈 수 있다.
출처를 추적하기 더 어려운 색다른 접근법을 취하는 공격도 가능하다. 올해 초 내부고발 전문 사이트 위키리크스가 대량 공개한 기밀문서는 미 중앙정보국(CIA)이 보안 시스템을 뚫고 컴퓨터 네트워크에 어떻게 침입할 수 있었는지를 보여줬다. 먼저 인터넷에 연결된 기기를 감염시킨 뒤 그 컴퓨터에 USB 드라이브가 삽입되기를 기다리는 식이다. 멀웨어가 그 USB로 옮겨탄 뒤 인터넷에 연결되지 않은 다른 컴퓨터에 그것을 꽂아 넣을 경우 널리 퍼져나가게 된다.
악의를 가진 주체가 어떤 조직의 네트워크를 노출시킬 목적으로 비슷한 공격을 감행할 수도 있다. 잠재적으로 막대한 가치의 정보가 저장된 내부 시스템에 중대한 피해를 초래할 수 있다.
길레스피 고문은 “피해를 당한 거의 모든 조직에서 철저한 사고 조사를 실시해 보면 직원이 허가 없이 파일을 내려 받았거나 또는 피싱 이메일을 클릭하거나 감염된 USB 드라이브를 네트워크에 연결했음이 드러난다”며 “이 같은 인간의 개입이 없을 경우 멀웨어가 어떤 위력을 발휘하는 경우는 극히 드물다”고 말했다.
이런 공격의 확산으로 종종 중요한 파일이 삭제되거나 데이터를 인질로 삼아 대가를 요구 받는 상황에 처했을 때 피해 조직의 입장에서 최상의 방어 수단은 백업이다. 백업이 있으면 시스템을 신속히 감염 이전 상태로 복구하고 최대한 빨리 작업을 재개할 수 있다.
━
안전하지 않은 패스워드 관행
패스워드는 낡은 보안 형식이지만 여전히 필요하다. 기업과 조직 내 모든 직원이 사용하는 시스템을 더 안전한 인증형식(이 같은 업무방식의 혁신에는 시간이 걸린다)으로 개편할 준비가 될 때까지는 불행히도 패스워드가 계속 요구되며 사람들은 보안원칙을 충실히 따르지 않을 수도 있다.
이는 전적으로 개인의 잘못은 아니다. 복잡한 문자의 혼합(대·소문자, 기호, 숫자)으로 이뤄진 안전한 패스워드는 일반인이 기억하기가 어렵다는 게 대다수 사람이 갖고 있는 인식이다. 그런 인식에 따라 사람들은 같은 패스워드를 여러 곳에 사용해 복잡한 로그인이 지닌 안전성을 무용지물로 만드는 또 다른 실수를 종종 범한다.
암호관리 서비스 라스트패스의 매트 캐플런 본부장은 “사람은 천성적으로 패스워드 작성에 서툴며 뻔한 위험에도 불구하고 같은 패스워드를 되풀이 사용한다”고 IB타임스에 말했다. 모든 온라인 계정마다 고유의 패스워드를 사용하지 않는다면 “잘못된 행동”이라고 그는 말했다.
대다수가 이를 알면서도 그런 원칙을 따르지 않는 사람이 많다. 결과적으로 이용자는 패스워드가 안전하다고 생각하는 동안 그들의 계정은 위험에 노출되는 경우가 많다. 패스워드의 반복 사용이 가장 큰 위험이다. 하나의 계정이 뚫리면 다른 계정들도 위태로워질 수 있기 때문이다. 해커가 링크드인이나 야후 개인정보 유출 같은 대형 해킹에서 계정 인증정보를 추출해 기업이나 조직과 연관된 이메일 주소를 알아낼 수 있다. 그 뒤 유출된 계정의 패스워드를 이용해 피해자의 다른 계정을 해킹할 수 있다.
그런 공격들이 음악 소셜네트워크 8트랙스, 음식점 검색·발견 사이트 조마토 해킹 같은 정보 유출로 이어졌다. 내부 데이터에 접근할 수 있는 직원 계정을 공략하는 그런 해킹이 회사 내부 시스템뿐 아니라 사이트 이용자들에게도 피해를 준 정보유출을 초래했다.
패스워드 안전을 위한 더 효과적인 관행을 도입하고 몇몇 경우 더 안전한 인증방식을 채택하는 방법으로 이 같은 정보 유출의 최소화가 가능하다. 올해 초 미국 국립표준기술연구소(NIST)는 최선의 패스워드 관행을 위한 권장안 일부를 변경했다.
그 정부기구가 정한 보안기준과 모범관행은 기업조직을 포함한 많은 민간부문 조직에서 채택됐다. 패스워드 정보가 유출됐다는 증거가 나오지 않는 한 패스워드 변경을 강요하지 말라고 기업들에 권고했다. 인증정보의 변경을 요구하면 이용자가 안전성이 떨어지는 패스워드를 사용하는 경우가 많기 때문이다.
이는 90일마다 패스워드 변경을 요구해 외부 침입을 막도록 기업들에 권고한 과거의 권장사항에서 개정된 부분이다. 그런 관행은 직원들이 이전 패스워드에서 약간만 바꾼 버전을 사용해 안전성이 떨어지는 것으로 나타났다.
NIST는 또한 기억하기 어려운 문자를 많이 사용하는 패스워드 대신 암호문구(passphrases, 여러 단어를 활용하는 더 긴 패스워드)의 이용을 권장하도록 했다. 어구가 길수록 해커들이 해독하기가 더 어렵고 이용자는 기억하기가 더 쉽다.
라스트패스의 카플란 본부장은 이용자 ID와 패스워드 외에 신원을 증명하는 제2의 방법을 요구하는 2중 또는 다중 인증 방식의 사용을 권장한다. 그는 “그렇게 하면 패스워드를 알아내더라도 이메일 계정에 접근할 수 없다”고 말했다.
- A.J. 델린저 아이비타임즈 기자
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
