전체메뉴

[애플경제 김향자 기자] 사이버 공격의 패턴이 이젠 대부분 신원 인증을 악용한 수법으로 전환하는 추세다. 문제는 신원인증 기반 사이버 공격은 일단 뚫리기만 하면, 신원 당사자의 신분으로 거침없이 전체 네트워크에 침투할 수 있다는 점이다. 종전의 어떤 사이버공격보다 치명적인 ‘재앙’ 수준의 피해를 입게 되는 것이다.

신원 기반 사이버 공격은 신원 기반 인증에 점점 더 의존하는 세상에서 일할수록 선택의 무기가 되고 있습니다. 즉, 기본적으로 암호 또는 기타 로그인 자격 증명을 도용하거나 위조하는 것입니다. 미국을 대표하는 이동통신사인 버라이즌(Verizon)이 최근 광범위한 조사를 실시한 결과 이같은 추세가 자리잡고 있는 것으로 드러났다.

미 이동통신사 ‘버라이즌’ 광범위한 조사

사이버리즌이나 IT프로포탈 등 전문 매체들을 통해 소개된 이번 조사 결과에 따르면 특히 해커들은 이른바 비밀번호 ‘크래킹’을 위한 10여 개 가량의 수법을 구사하는 것으로 밝혀졌다. 그야말로 ‘지피지기’의 자세로 이런 수법에 철저히 대응하는 보안기술과 메커니즘이 필요하다는 주문인 셈이다.

흔히 많은 기업들이 이런 수법에 대응, 새로운 인증 시스템을 추가하고는 있으나, 역부족이라는 지적이다. 마치 ‘고양이와 쥐’의 게임처럼 사이버 범죄자들은 어떻게든 이를 뚫기 위한 방법을 찾아내곤 한다.

‘버라이즌’이 지적하는 첫 번째 ‘구멍’, 즉 대부분의 데이터 침해 원인이 되는 것은 역시 ‘사람들’이다.

이에 따르면 데이터 침해의 82%가 ‘인간 요인’과 관련이 있다. 이에 대해 ‘버라이즌’은 “그 인간적인 요인은 일종의 사회 공학적 공격의 대상이 될 만한 인간의 ‘순수한 악의’라고 할 수 있다”고 했다. 사용자들이 뿌린 가짜 SMS 메시지의 먹잇감이 되거나, 피싱의 피해자가 되거나, 모든 웹사이트 로그인에서 단일한 공통 암호를 재사용하는 등의 인적 오류가 빌미가 될 수 있다는 지적이다. “그렇기 때문에 ‘제로 트러스트’ 전략이 그 무엇보다 중요하다”는 것이다.

“해커들, 한 번 성공 노려 수백만 개 비번 입력”

해당 조사 보고서에 즈음해 한 보안 전문가는 “적들은 수백만 번의 시도 중 한 번만 성공하면 되므로, 대량으로 가짜 암호를 뿌려대는 ‘암호 스프레이’를 자행하곤 한다”고 했다. 그는 또 “수많은 사람들을 대상으로 퍼부은 대량 피싱 공격의 경우도, 수신인 중 딱 한 사람만이라도 링크를 클릭하고 자격 증명을 제공하기만 하면 된다. 그야말로 ‘남는 장사’라고 할 수 있다”고 IT프로포탈에 밝혔다.

사이버 공격자들은 또 공격 대상인 기업이나 그 업무에 대해서도 잘 알고 있는 경우가 많다. 대상에 대해서 잘 아는 만큼 공격 속도도 매우 빠르다. ‘사이버리즌’이 인용한 ‘마이크로소프트 보고서’(Microsoft Digital Defense Report 2022)에 따르면 신원 증명이나 비밀번호를 악용한 공격이 초당 약 921건 벌어지는 것으로 조사되었다. “이는 불과 1년 만에 74%나 증가한 수치”라는 것이다.

그렇다면 사용자나 기업들은 어떻게 대응해야 할까. 이에 대해 IT프로포탈이 인용한 보안업체의 전문가 사이먼 호킨슨은 “무엇보다 탄력적이고 실용적인 대응이 중요하다”고 했다.

그는 “사이버 위험은 근절될 수 없다.”면서 “기업이나 조직은 자신의 위험 상황에 맞게 리스크를 완화하는 조치를 시행하되, 강력한 대응 계획을 수립해야 한다. 그러나 언젠가는 결국 그런 방어벽도 소용없게 될 것임을 명심해야 할 것”이라고 경고했다.

보안팀, ‘ID중심 접근 방식’으로 바꿔야

그런 맥락에서 경영전략 중에서도 보안을 최우선적으로 고려해야 한다는 주문이다. 특히 “대부분의 기업들이 현재 채택하고 있는 보안 우선 접근 방식을, 이젠 ‘ID 중심 접근 방식’으로 전환하여 강화할 필요가 있다”고 권한다.

즉, 구성원 개인에게는 최소한의 권한을 부여하고, 모니터링 기능을 강화하며, 리스크 분석과 제어, 내부와 외부 엔티티에 대한 통제, 모든 개인들에 대한 통신 지침을 수립토록 한다. 또 내부는 물론, 외부 계약업체나 타사를 포함한 최종 사용자(엔드유저)에 대한 지속적인 검증도 이뤄져야 한다.

앞서 호킨슨은 “또한 아이덴티티나 액세스 관리를 위해 사전 예방적이고 사후 대응적인 리스크 관리 기능을 유지해야 한다”면서 “이를 기업의 업무 관행이나 보안 수칙과 통합하는 것이 리스크 방지의 핵심”이라고 권장했다.

IEEE(미 전기전자공학자협회) 수석 회원이자 얼스터 대학의 사이버 보안 교수인 케빈 쿠란은 특히 “기업이나 조직이 ID 관리와 인증의 차이를 이해하지 못하면 사이버 공격에 무너질 수 있다”고 경고했다.

역시 IT프로포탈과의 인터뷰에서 그는 “조직 시스템에서 역할을 ‘식별’하는 방법과, 개인에게 ‘할당’하는 방법을 구분할 필요가 있다”면서 “즉, 보안 팀은 시스템에서 개인의 역할과 함께 개인을 제거하거나, 추가하고, 그 역할을 업데이트할 때 특히 주의를 기울여야 한다”고 조언했다.

쿠란 교수에 따르면 또 개인 또는 복수의 대상에 대해 액세스 수준을 합리적으로 ‘할당’할 필요가 있다. 그래야만 보안 팀이 시스템 내에서 중요한 데이터를 보호하고, 조직 자체를 보호하는 ‘기반’을 구축할 수 있는 것이다.

“문화적 요인도 큰 영향끼쳐”

전문가들은 문화적, 프로세스적 요인도 고려할 것을 주문한다. 즉, 조직 문화가 사이버 공격에 큰 영향을 끼친다는 얘기다.

"항공사와 석유 및 가스 산업은 '말씀을 높이는' 문화를 수용함으로써 안전성을 극적으로 향상시켰습니다."라고 그는 설명합니다. 상호 간의 소통, 자동화 시스템을 초월한 인간적 신뢰와 ‘인간의 언어’에 의한 활발한 정보 피드백 등이 그런 것들이다.

앞서 쿠란 교수는 “실제로 사고가 나거나 하마터면 실수할 뻔했을 때도, 구성원들끼리 서로 정보를 공유하도록 격려하는 문화가 결국 사이버 공격을 원천적으로 막아내는 힘이 되었다”는 사례도 덧붙였다.

‘버라이즌’ 조사 보고서는 “늘 기업은 최악의 상황을 가정하고, 공격이 반드시 발생할 것이라고 가정해야 할 것”이라고 주의를 환기시키며, “날로 수많은 개인 정보가 온라인에 범람하면서, 기업, 기관, 인프라, 심지어 민주주의까지도 이를 악용하려는 행위자들에 의해 악의적인 표적이 되고 있다”고 지목했다.