2024-03-29 03:40 (금)
박종섭 광장 전문위원 "최근 해킹, 사람해킹부터 시작...사회공학 기법으로 최초 침입"
상태바
박종섭 광장 전문위원 "최근 해킹, 사람해킹부터 시작...사회공학 기법으로 최초 침입"
  • 길민권 기자
  • 승인 2018.11.18 19:18
이 기사를 공유합니다

"조직의 가장 큰 보안위협은 바로 당신이다"

▲ K-CYBER SAFETY 2018에서 박종섭 법무법인 광장 전문위원이 '정보보호의 약한 고리-사람해킹'을 주제로 강연을 진행하고 있다.
▲ K-CYBER SAFETY 2018에서 박종섭 법무법인 광장 전문위원이 '정보보호의 약한 고리-사람해킹'을 주제로 강연을 진행하고 있다.
행정안전부, 산업통상자원부, 경기도 주최 K-SAFETY EXPO 2018이 지난 11월 14~16일까지 킨텍스 제1전시장에서 개최됐다. 이 가운데 15일 킨텍스 제1전시장 3층 그랜드볼룸에서 개인정보보호 및 정보보안 등 사이버안전을 중심으로 실무자 대상 '대한민국 정부, 공공, 지자체 사이버안전 컨퍼런스' <K-CYBER SAFETY 2018>이 200여 명의 실무자가 참석한 가운데 개최됐다.

이 자리에서 박종섭 법무법인 광장 전문위원은 '정보보호의 약한 고리-사람해킹'을 주제로 강연을 진행했다.

A사 직원 B씨는 동생으로부터 한 통의 이메일을 받는다. 가족 사진을 이용해 스크린세이버(화면보호기) 파일을 제작해 보낸 것이다. 아무런 의심없이 이를 실행하자 원격조정 기능을 가진 악성코드가 실행된다. 물론 B씨는 이 사실을 알리 없다. 해커는 B씨 컴퓨터에 접속해 원격조종을 한다. 해커는 그 후 회사 내 다른 PC 10대와 서버 2대에 접근 한 후 그 중 개인정보취급자의 PC로부터 데이터베이스 서버에 접근해 개인정보 약 1,400만건을 탈취해 간다. 바로 지난 2016년 5월에 한국에서 발생한 대규모 개인정보 유출 사건이다.

사건 이후 방송통신위원회는 A사에 정보통신망법 상 개인정보의 기술적, 관리적 보호조치 등을 소홀히 한 점을 들어 과징금 44억8천만원, 과태료 2천5백만원을 부과했다.

박종섭 전문위원은 "과거의 해킹방법은 기술 의존형 정공법 위주였다. 하지만 최근 해킹방법은 인간의 심리를 악용하는 사회공학적 방법이 대세를 이루고 있다. 바로 A사와 같은 경우다"라며 "해커로 유명한 케빈 미트닉은 기업 정보보안에 있어 가장 큰 위협은 바이러스나 패치가 적용되지 않은 중요한 프로그램, 잘못된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다라고 말한 바 있다"고 강연을 시작했다.

그는 예를 들며 최근 해커들이 주로 사용하는 공격 방법 몇가지를 예로들었다.

로드애플(Road Apple)은 정상적인 프로그램으로 위장해 피해자에게 전달한 후 악의적 목적의 코드를 실행하는 해킹 수법이다.

스피어피싱은 사전에 알아낸 내부 정보를 이용해 매우 정교하게 작성된 가짜 메일 또는 업무지시를 내리는 방식의 해킹 수법이다.

베이팅(Baiting)은 무료영화, 음원 등의 미끼를 이용해 악성코드를 설치하도록 유도한 후, 개인정보를 탈취하거나 해킹 프로그램을 이식하는 해킹 수법이다.

드라이브 바이 다운로드는 사용자의 의도와 무관하게 악성코드가 유포되고 있는 웹사이트를 방문하는 것만으로 사용자 컴퓨터에 악성 프로그램을 설치하는 해킹 수법이다.

박 위원은 "랜섬웨어, APT 공격, 스마트폰 해킹 등 상당수 공격들이 사회공학적 기법을 활용해 이루어지고 있다. 사내 PC에서 검증되지 않은 웹사이트 방문이나 발신자가 불분명한 메일의 첨부 링크는 클릭하지 말아야 한다"며 "또 공격자들은 사전에 SNS 등에서 입수한 임직원 개인정보와 다양한 기업정보 공개 사이트를 이용해 해킹에 활용할 정보를 수집한 후 대부분 사회공학적 기법으로 최초 침입을 시도한다. 따라서 온라인상에서 회사 정보를 노출시키는 행위를 자제하고 의심스러운 전화나 메일에 대해 추가적인 확인이 필요하다"고 강조했다.

또 "스마트폰 해킹도 문자메시지에 포함된 링크를 주의해야 하고 신뢰할 수 없는 무선 AP(와이파이) 접속을 자제해야 한다. 링크 클릭시 악성코드가 설치될 수 있고 해커가 만들어 놓은 무료 와이파이에 접속시 스마트폰이 해커에 의해 원격조정당할 수 있다"고 당부했다.

끝으로 그는 "개인 계정에도 강력한 패스워드를 사용해야 한다. 또 온라인에서 의심스러운 링크를 클릭하지 말아야 하며 온라인에서 회사 정보를 노출하는 것을 자제해야 한다. 사내에서는 PC의 보안설정을 임의로 변경하지 말아야 하고 임의의 소프트웨어를 다운로드 하지 않아야 한다. 문제 발생시 정보보호팀과 상의해야 한다"고 강조했다.

박종섭 법무법인 광장 전문위원의 K-CYBER SAFETY 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★