출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=110081&kind= 

우버에서 다시 한 번 대형 정보 유출 사고가 발생했다. ‘그럴 줄 알았어’나 ‘우리 기업이 아니라 다행이야’와 같은 생각이 들었다면, 다음 유출 사고의 피해자가 될 확률이 높아졌다. 오히려 가슴을 쓸어내리며 우리 회사 일로 대입하는 게 더 현명하다.

[보안뉴스 문정후 기자] 9월 19일 카풀 서비스 전문 업체인 우버(Uber)에서 보안 사고가 발생했다. 배후에 있는 공격자들은 랩서스(Lapsus$)라는 공격 단체와 관련이 있는 것으로 보이며, 침투에 직접적으로 사용된 크리덴셜들의 출처는 다크웹인 것으로 보인다.  

이 공격을 실시한 자들은 록스타게임즈(Rockstar Games)도 해킹한 것으로 의심되고 있다. 아직까지 록스타 해킹 사고의 세부 내용은 공개되지 않았지만 우버와 마찬가지로 소셜엔지니어링 기법이 주요하게 사용된 것으로 보인다. 

우버나 록스타게임즈나 IT 기술을 한껏 사용하여 사업을 펼치는 거대한 기업들이다. 그런데도 기술적으로 수준이 낮다고 하는 소셜엔지니어링 공격을 허용했다는 건 꽤나 많은 점들을 시사한다. 그 중 몇 가지를 추려서 정리하면 다음과 같다.

1. 다중인증에 대하여 다시 생각해야 할 때
보안 업체 사이버에지그룹(CyberEdge Group)이 얼마 전 조사해 발표한 ‘2022 사이버 위협 방어 보고서(2022 Cyberthreat Defense Report)’에 의하면 다중인증을 도입한 회사가 절반을 넘는다고 한다. 아주 긍정적인 변화임에는 틀림없다. 하지만 다중인증을 도입했다고 해서 침투 가능성이 ‘0’이 되는 것은 아니다. 그랬다면 우버 침해 사건은 일어나지 않았을 것이다. 다중인증을 구축하되, 약점과 한계를 분명히 이해하고, 그것을 보충하기 위한 다른 방법들을 찾아 도입해야 한다. 

보안 업체 엑시거(Exiger)의 부회장 밥 콜라스키(Bob Kolasky)는 “같은 다중인증이라도 더 안전하고 온전하게 구축하는 방법이 있고, 다중인증을 취약하게 만드는 구축 방법이 있다”고 강조한다. “제대로 다중인증을 도입하려면 사업 활동의 유연성이 좀 떨어지거나 임직원 개개인이 짊어져야 할 짐을 좀 더 무겁게 만들어야 할 수도 있습니다. 필요하다면 그렇게라도 해야 다중인증을 다중인증답게 만들 수 있습니다.”

2. 소셜엔지니어링 공격은 근절되지 않는다
해킹 공격을 성공시키기 위해 해커들은 피해자의 네트워크나 OS에 접근해 취약점을 찾아내고 익스플로잇 할 수도 있지만 이번 우버 사건처럼 소셜엔지니어링이라는 기법을 활용할 수도 있다. 소셜엔지니어링 공격은 간단히 말해 사이버 공간을 통해 실시되는 사기술이다. 해킹 공격을 기술적으로 행할 수도 있지만 교묘한 속임수를 써도 비슷한 효과를 낼 수 있다는 것이다. 

역사 내내 사기꾼들이 사라진 시기가 단 한 번도 없었던 것을 생각하면, 소셜엔지니어링 공격이 사라질 거라고 기대하는 것도 무리다. 그러니 사기꾼에게 당하지 않으려고 여러 각도로 교육을 하는 것처럼 소셜엔지니어링 공격에 대한 교육과 장치 마련도 꾸준히 진행되어야 한다. 그렇다 해도 한 순간의 실수나 현혹에 의해 피해가 생기는 것까지 막을 수는 없겠지만 말이다. 

컨설팅 기업인 스트라이브컨설팅(Strive Consulting)의 사이버 보안 분야 수석 국장인 커트 알레이베요글루(Kurt Alaybeyoglu)는 “소셜엔지니어링 공격에 당하는 사람들에게서 잘못을 찾으면 안 된다”는 입장이다. “당한 한 사람에게 책임을 물을 만큼 보안의 방어막이 얇았던 것을 탓해야죠. 보안 장치들을 겹겹이 마련해 놓으면 단순 실수 한 번으로 네트워크가 침해되지 않습니다.”

또 다른 컨설팅 업체인 아이즈너앰퍼(EisnerAmper)의 국장인 라훌 마나(Rahul Mahna)는 “인간의 실수나 오류가 차세대 보안의 해결 과제가 될 것”이라는 의견이다. “앞으로 ‘인간을 보호한다’는 게 정보 보안의 목표가 될 것입니다. 예를 들어 모두가 로그인을 위해 물리 키를 들고 다니게 된다면 인증을 제3자가 뚫어내기란 매우 어려운 일이 될 것입니다. 그에 준하는 더 스마트한 보안 기술이 나오기를 기대하고 있습니다.”

3. 조직이 가지고 있는 리스크를 알아야 한다
알레이베요글루는 “우버는 사건이 이 정도로 끝난 것에 무척 감사해야 한다”고 말한다. “사업 운영이 길게 중단된 것도 아니고, 각종 고소가 시작된 것도 아니며, 막대한 벌금을 물어야 되는 것도 아직은 아니거든요. 해킹 사고에 자주 연루된다는 느낌을 주면서 브랜드 신용도에 약간의 손상 정도는 있었을 수 있습니다. 물론 아직 사건이 종결된 것은 아니고, 앞으로 사건이 더 극적으로 발전해도 이상할 것이 없다고 봅니다.” 

알레이베오글루는 “다른 기업들의 IT 담당자들은 이번 우버 사건을 자신의 기업에 대입해 볼 필요가 있다”고 설명한다. “우리 회사라면 어떻게 대응을 했을까? 우리 회사에 똑같은 일이 벌어졌다면 어떠한 손해가 발생했을까? 이와 비슷한 사건을 허용할 만한 취약점이 어딘가에 있지는 않을까? 이런 질문을 스스로에게 해가면서, 우버 해킹 사고가 일어나지 않도록 위험을 완화하고 보안을 강화화는 작업의 로드맵을 그려내야 합니다.”

콜라스키는 “사이버 보안이 아직까지 IT 분야의 일이기 때문에 CIO 등이 앞장서서 이러한 고민을 하는 게 지금은 맞지만, 그렇다고 IT 부서에만 모든 책임을 돌릴 수는 없다”고 강조한다. “이제 사이버 보안은 사업 리스크입니다. 사업에 관여된 모든 사람들이 책임을 공유한다는 뜻입니다.”

4. 사이버 보안은 최고 임원들부터 시작해야 한다
사실 IT 지도자들이 얼마나 많은 밤을 새며 노력하든 우버에서 일어난 해킹 사고를 100% 막기는 힘들다. 특히 보안을 IT 담당자가 전담해야 하는 환경에서는 더더욱 그렇다. C레벨에서 진두지휘해야 보다 의미 있는 변화가 생겨난다. C레벨이 보안에 대해 별 관심이 없고, 심지어 보안 사고도 일으키고 다닌다면 IT 담당자가 아무리 능력이 출중해도 소용이 없다. 

“솔직히 말하면 CEO부터 보안 강화에 대한 의견을 적극 피력하고 기업 문화를 바꿔야 합니다. 그렇게 하지 않고 보안을 그저 추가 비용으로만 본다면 누가 보안 실천 사항을 지킬까요. 누가 보안 교육에 성심성의껏 임할까요. 누가 기존 업무 프로세스를 굳이 바꾸려 들까요. 보안이 있어 사업 활동을 보다 안전한 선에서 활발하게 할 수 있다는 인식을 CEO부터 가져야 합니다. 그게 가장 빠른 변화의 지름길입니다.” 알레이베오글루의 설명이다.