2020-03-29 03:05 (일)
내부자를 이용한 사이버 범죄에 노출된 통신사, 분석보고서
상태바
내부자를 이용한 사이버 범죄에 노출된 통신사, 분석보고서
  • 길민권 기자
  • 승인 2016.08.24 15:12
이 기사를 공유합니다

통신사 관련 범죄 계획에 내부자 연루시키는 데 많이 사용되는 방법 등 공개

통신산업과 관련된 보안위협에 대한 카스퍼스키랩의 인텔리전스 보고서에 따르면, 사이버 범죄자들이 지하 경로를 통해 회사에 반감을 가진 직원을 모집하거나 오픈소스에서 수집한 불리한 정보로 직원을 협박하는 등의 방법으로 내부자를 이용해 통신 네트워크와 가입자 데이터에 접근하고 있는 것으로 나타났다.

통신사는 사이버 범죄자들이 가장 많이 노리는 표적 중 하나다. 통신사는 전 세계의 네트워크, 음성, 데이터 전송을 운영 및 관리할 뿐 아니라 방대한 양의 민감한 데이터를 저장하고 있기 때문에 금전적 이득을 노리는 사이버 범죄자와 국가 차원의 지원을 받아 표적형 공격을 실행하려는 해커는 물론, 통신 경쟁 업체의 매력적인 표적이 된다.

사이버 범죄자들은 목표를 달성하기 위해, 통신사의 방어벽을 뚫고 공격을 실행하기 위한 도구로 종종 내부자를 이용한다. 카스퍼스키랩과 B2B International의 새로운 연구에 의하면, 오늘날 전체 사이버 공격의 28%, 표적형 공격의 38%에 내부자의 악의적인 행위가 관련되어 있는 것으로 밝혀졌다. 이 인텔리전스 보고서에서는 통신사 관련 범죄 계획에 내부자를 연루시키는 데 많이 사용되는 방법을 살펴보고 내부자가 주로 어떤 역할을 하는지 그 예를 제시하고 있다. 

◇내부자를 끌어들이는 방법
카스퍼스키랩 연구진에 따르면 공격자들은 다음과 같은 방법으로 통신사 직원을 범죄에 끌어들이거나 함정에 빠뜨려 연루시키는 것으로 나타났다.

-공개적으로 이용 가능하거나 이전에 훔친 데이터 출처를 이용해서 공격 대상 회사의 직원에 관한 불리한 정보를 찾아낸다. 그런 다음 표적이 된 직원을 협박해, 기업 인증서를 넘기거나 내부 시스템 관련 정보를 제공하거나 스피어 피싱 공격을 대신 배포하도록 압력을 가한다.

-지하 경로의 게시판을 통해 또는 범죄자 모집인의 도움을 받아 자발적인 내부자를 모집한다. 이러한 자발적 내부자들은 대가를 받고 범죄자의 지시를 이행하거나 협박해서 끌어들일 수 있는 다른 동료 직원을 찾는 일 등을 한다.

내부자를 협박하는 방법은 애슐리 매디슨 사이트의 개인정보 유출과 같은 온라인 데이터 보안 침해 사건 이후 점점 늘어나는 추세다. 공격자들이 이러한 사건을 통해 개인을 위협하거나 망신을 주는 데 사용할 수 있는 자료를 손쉽게 구할 수 있기 때문이다. 실제로 데이터 유출과 관련한 공갈 범죄가 너무나 만연해서 지난 6월 1일 FBI에서는 소비자에게 이러한 범죄의 위험과 그 잠재적 영향에 대해 경고하는 안내문을 발표한 바 있다.

◇범죄자들이 가장 많이 노리는 내부자
카스퍼스키랩 연구진에 따르면, 이동통신사 공격을 계획한 범죄자들은 우선 가입자 및 회사 데이터에 빠르게 접근하고 SIM 카드 복제/불법 재발행에 도움을 줄 직원을 모색하기 시작한다. 공격의 표적이 인터넷 서비스 제공업체인 경우에는 네트워크 매핑 및 중간자 공격(MITM)을 가능하게 해줄 직원을 찾으려 할 것이다.

그러나 사실 내부자 위협은 그 형태를 가리지 않다. 카스퍼스키랩 보고서에서는 두 가지 일반적이지 않는 내부자 범죄 예를 제시했는데, 그 중 하나는 악의적인 한 통신사 직원이 7천만 건의 교도소 수감자 통화 정보를 유출해 변호사 비밀유지특권을 침해한 사건이었다. 또 다른 예에서는 SMS 센터 지원 엔지니어가 유명 다크넷 포럼에서 한 핀테크 기업의 고객 계정에 로그인하는 데 필요한 2단계 인증 과정 중 OTP(일회용 암호)가 포함된 메시지를 가로채는 자신의 능력을 광고하는 것이 포착되기도 했다.

이창훈 카스퍼스키랩코리아 지사장은 "인적 요소는 종종 기업 IT 보안에서 가장 취약한 지점이 되곤 한다. 공격자들이 내부자의 취약점을 거리낌 없이 이용할 수 있는 현 상황에서는 보호 기술 자체만으로 기업을 완벽하게 보호할 수 있는 경우는 거의 없다. 기업은 공격자의 입장에서 스스로를 살펴보는 것부터 시작해야 할 것이다. 회사 이름과 관련된 일자리 또는 관련 데이터의 일부가 지하 경로의 게시판에 나타나기 시작한다면 누군가 어디에서 그 회사를 노리고 있다는 뜻이다. 이를 빠르게 파악할수록 더 현명하게 대처할 수 있다”고 말했다.

카스퍼스키랩은 내부자 위협으로부터 조직을 보호할 수 있도록 다음 사항을 지킬 것을 조언한다.

-책임감 있는 사이버 보안 행동 및 조심해야 할 위험에 대해 직원을 교육하고, 직원 이메일 주소 사용과 관련된 강력한 정책을 도입한다.

-‘위협 인텔리전스 서비스’를 이용해 사이버 범죄자들이 회사를 노릴 수 있는 이유를 파악하고 누군가 내부자 '서비스'를 제공하고 있는지 여부를 확인한다.

-가장 민감한 정보 및 시스템에 대한 접근을 제한한다.

-정기적으로 회사 IT 인프라에 대한 보안 감사를 실시한다.

이번 상세 리포트는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 & IT 대표 미디어 데일리시큐!★