‘민감한 기업정보’ 총괄 임원, ‘사이버범죄 집중 타깃’ 돼
소셜 미디어, 프로필, 개인정보 가짜 웹사이트 사칭 많아
‘디지털 임원 보호(DEP)’ 통한 ‘신원 보호’가 사이버보안 핵심
[애플경제 엄정원 기자] 임원들을 사이버범죄자들로부터 보호하는게 사이버보안의 중요한 요소로 떠오르고 있다.
기업을 대상으로 한 사이버공격이 활개를 치는 가운데, 특히 기업 경영정보를 총괄하는 임원들이 첫 번째 표적이 되는 경우가 많다. 이들은 대부분 귀중한 사내 정보나 기밀사항, 재무 정보 등 민감한 회사 데이터에 접근할 수 있다.
이들을 사이버 공격으로부터 안전하게 보호하려면 일반적인 보안 조치 이상의 조치가 필요하다는 지적이다. 국내 보안업체인 시큐레이어 관계자는 “소위 ‘디지털 임원 보호’(DEP)는 오늘날 기업의 사이버 보안의 핵심 사안 중 하나가 되고 있다”고 그 중요성을 강조했다.
여기서 ‘디지털 임원 보호’(DEP)란 “개인적 영역과 업무 등에서 임원의 디지털 신원을 보호하는 관행”을 의미한다 네트워크나 엔드포인트에 초점을 맞춘 기존 사이버 보안 조치와 달리, DEP는 (임원이라는) 개인의 전체 ‘디지털 발자국’에 집중하는 것이다.
임원들, 범죄자들이 ‘군침’ 흘리는 표적돼
그는 최고 경영진은 특히 “회사의 장단기 전략, 고객 DB, 재무 기록과 같은 기업 고유 데이터에 대한 최고 수준의 접근 권한을 갖는 경우가 많다”고 했다. 그 만큼 사이버범죄자들의 집중적인 타깃이 될 수 밖에 없다는 얘기다.
그에 따르면 또 임원들은 업계 혹은 사회적으로 이름과 역할이 널리 알려져 있는 경우가 많다는 점도 약점이다. 공격자들은 이를 이용, 피싱이나 비즈니스 이메일 침해 공격에 악용하기 쉽다. 임원들은 의외로 높은 직책에 걸맞지 않게, 개인 차원에선 사이버 보안 대응이 허술한 경우가 많다. 개인 휴대폰이나 소셜 미디어 보안도 취약하다.
결국 범죄자들은 임원을 공격하기만 하면, 광범위한 회사 네크워크를 침해할 수도 있다.
해커 등 사이버범죄자들은 임원들의 약점을 공격, 매우 효율적으로 목적을 달성한다. 임원의 소셜 미디어를 사칭, 가짜 프로필로 팔로워를 속이거나, 평판을 추락시킨다. 또 집 주소, 전화번호, 가족 데이터와 같은 개인 정보를 온라인으로 판매하기도 한다.
인증 장치를 가로채거나, 계정을 탈취한다. 이를 통해 유출된 크리덴셜을 여러 계정에서 재사용하면 민감한 플랫폼에 접근할 수 있다. 일부 랜섬웨어 그룹은 특정 유명 인사를 표적으로 삼는다.
효과적인 DEP의 핵심 요소
이를 위해 임원 본인은 물론, 회사 차원에서 강력한 DEP 지침을 세우고 실천해야 한다는 주문이다. 웹이나, 소셜 플랫폼, 다크 웹을 지속적으로 검사, 사전에 위협을 방지한다. 브로커들의 사이트에서 개인 식별 정보(PII)를 정기적으로 제거한다.
크리덴셜 유출이나 민감한 정보 유출 위험이나 징후가 보이면 미리 경고하는 ‘알림’장치가필요하다. 또한 소셜 미디어나 웹을 사칭하는 행위에도 신속하게 대응해야 한다.
특히 ‘해크리드’, ‘베니시ID’ 등 보안 전문 사이트에 따르면 “효과적인 DEP 프로그램은 자동화와 전문가의 역량을 결합해야 한다”는 주장이다. 실행 가능한 인사이트를 통해 정기적으로 개인정보보호 보고서를 유포하고, 임원이 배우자나 자녀까지 보호 범위를 확대하는게 바람직하다.
또한 노출된 정보에 담긴 개인 정보를 삭제하고, 소셜 미디어나 가짜 웹사이트 사칭 위협에 대한 신속한 대응이 필요하다. 특히 ‘데이터 브로커 사이트’나, 침해된 DB 검색 엔진 전반의 노출을 추적하는 개인 정보 보호 모니터링도 필요하다. 특히 ‘배니시ID’는 “사고 발생 후 대응하는 것은 의미가 없고, 미리 공격 표면을 최소화하는게 중요하다”고 했다.
“임원 보호, 기업 브랜드 가치 보전과 직결”
국내 보안업체 ㈜하이젠의 박 모 전무는 “임원 보호는 특히 기업의 브랜드 무결성을 유지하는 데 매우 중요한 요소”라며 “유명 인사를 표적으로 삼는 공격이나 랜섬웨어와 같은 위험을 예방하는게 전반적인 보안 대책의 핵심이 되고 있다”고 밝혔다. 이 회사는 클라우드 환경의 비밀 자산 솔루션을 출시하기도 했다.
박 전무는 특히 “임원들은 조직의 보안과 평판에 중요한 역할을 하므로, 개인의 온라인 안전은 어느 누구보다 중요하다”고 강조하면서 “이를 통해 자사와 고객 데이터, 경영 전략, 그리고 장기적인 안정성을 보호할 수 있다”고 강조했다.