현재는 보안 업체의 CEO...보안 컨퍼런스서 실제 고객 사례 들어가며 기조 연설
센서 부착된 전구...“엔지니어들은 극찬했지만, 보안 전문가로서는 기분 나쁜 일”
BEC 공격 막기 위해서는 비공개 도메인과 주요 거래 관계자만 아는 암호 필요해
[보안뉴스 문가용 기자] 전 백악관 CIO인 테레사 페이턴(Theresa Payton)이 최근 열린 ‘인포시큐리티 ISACA 컨퍼런스 및 엑스포(Infosecurity ISACA Conference and Expo) 보안 컨퍼런스에 참가해 ‘신기술의 안전한 도입’에 관한 자신의 경험을 발표했다. 첫 백악관 여성 CIO로서 관심을 받았던 페이턴은 현재 포털리스(Fortalice)라는 보안 업체의 CEO로서 활동하고 있다.
[이미지 = iclickart]
컨퍼런스 기조연설자로 나선 그는 “미국 대통령 집무실을 지원하는 스태프들은 약 3000명”이라며, “당연하지만 백악관에서 상주할 수 없는 숫자”라고 발표를 이어갔다. “대신 이들은 거의 항상 비행기를 타고 세계 어딘가로 출장을 갑니다. 즉, 이 3000명이 유동 인구라고도 볼 수 있어요. CIO로서 저의 역할은 이 3000명이 세계 어디에 있든 백악관의 사무실에 있는 것처럼 일할 수 있게 해주는 것이었습니다.”
하지만 국가 최고의 요원들인 그들의 기대치는 매우 높았다고 한다. “스마트폰의 앱을 터치하는 것처럼 간단한 조작으로 모든 일 처리가 되기를 바랐습니다. 그러면서 최신 기술을 앞장서서 사용하고 싶어했고 동시에 그 어떤 경우에라도 안전해야 한다는 걸 강조했죠. 편리, 최첨단, 안전이라는 세 가지 토끼를 다 잡아야 했던 겁니다.”
그러면서 페이턴은 “어느 조직에 있든, 보안 담당자라면 다 같이 겪는 일 아닌가”라고 연설을 이어갔다. “편리하고 빠르며, 최첨단 기술이 안전하게 탑재되어 있는 모바일 근무 환경은 백악관 스태프들이 아니더라도 누구나 원하는 것이죠. 그 책임은 IT와 보안 부서가 전부 떠안고 있기도 하고요. 하지만 그렇기 때문에 보안을 사람 중심으로 생각하는 걸 잊어버렸습니다. 그러니 기억하기도 힘들 정도로 어려운 비밀번호를 설정하라고 매번 설교하는 것이죠. 누가 이 말을 새겨 들을까요?”
페이턴은 “보안 업계가 늘 힐난조로 ‘사람이 가장 큰 구멍’이라고 말하는 것도 현명하지 않다”고 말을 이어갔다. “사람이 늘 실수할 거라고 우리는 말합니다. 맞는 말이지만 현상 향상에 도움이 되는 말일까요? 마찬가지로 기술도 늘 바른 답만 주는 건 아닙니다. 누가 더 잘못했는가, 누가 더 옳은가 소모적인 비판만 해서는 앞으로 나아갈 수가 없습니다. 지금 보안은 실제적인 안전망을 만들고 치는 작업을 해야 하는데, 그 점을 잊고 있는 건 아닌지 염려됩니다.”
페이턴은 신기술의 빠른 등장을 언급하기도 했다. 특히 사물인터넷이 요주의 기술이라고 지목했다. “운송 시설을 운영하는 클라이언트가 있었습니다. 이 클라이언트가 최근 디지털 변혁을 결정하며 여러 가지 시도를 했어요. 그러면서 사업장을 오가는 사람들과 물건 등의 빅데이터를 수집한다며 센서가 있는 전구로 전부 교체했습니다. 여기서 수집되는 데이터를 모바일 장비로 늘 확인할 수 있고, 그에 따라 사업 방향을 유연하게 바꿀 수 있었죠. 엔지니어들은 놀라운 변화라고 했는데요, 제가 느끼기엔 기분 나쁜 변화였습니다.”
페이턴이 기분 나쁘다고 한 건, 그 공간을 오가는 수많은 사람들의 프라이버시가 침해될 우려가 있어서만은 아니었다. “2016년의 미라이(Mirai) 멀웨어 사태가 또 터지면 어떻게 하나요? 그래서 그 많은 센서들이 한 번에 먹통이 된다면요? 사업에 엄청난 차질이 있겠죠. 그런 쪽으로는 전혀 고려를 하지 않고 ‘혁신’을 외치는 모습을 보며, 안 좋은 예감이 들었습니다.” 그러면서 페이턴은 “변혁이 나쁘다는 게 아니고, 여러 가지 공격과 사고의 시나리오를 충분히 고려하라는 것”이라고 정리했다.
한국에서도 점점 악명이 높아지고 있는 다크웹도 주제로 등장했다. “해킹 당했다는 사실을 모르고 있던 기업 입장에서 정말 황당하고 위험한 건, 다크웹에 회사에 데이터가 거래되기 시작하는 것입니다. 한 클라이언트의 경우, 지불카드 산업에 종사하던 회사였는데, 어느 날 이 회사의 고유 소스코드가 다크웹에서 거래되기 시작했습니다. 그게 레딧(Reddit)에 뜰 때까지 그 회사의 어느 누구도 해킹된 사실과 정보가 거래되고 있다는 사실을 몰랐습니다.”
당시 공격자는 해당 코드를 손에 들고 회사를 협박하기도 했다고 한다. 그런 경우 회사는 돈을 내야 하는가 말아야 하는가? “이게 사안마다 심각성이 달라서 칼 같이 정확한 답을 정론화시키기 어렵긴 합니다. 랜섬웨어도 비슷하죠. 하지만 대체적으로 범죄자들에게 돈이라는 먹이를 주지 않는 게 가장 좋은 답이긴 합니다. 적어도 사회 전체적으로는 그 편이 유익하다는 것이죠.” 페이턴이 예로 든 고객사의 경우 범인에게 얼른 돈을 주고 소스코드를 사들였다고 한다. “대신 그 코드를 다른 누구와도 거래하지 않겠다고 합의를 봤어요. 실제로 범인은 돈을 받고 약속을 이행한 것으로 알고 있습니다.”
페이턴은 계속해서 “이런 경우를 귀사가 당했다면 어떻게 해결해야 할 것인가?”라고 좌중에게 물었다. 외부 보안 업체나 전문가와 상담을 할 것인가? 혼자 해결해보려고 할 것인가? 다크웹을 통해 직접 범인과 소통하는 게 안전한가, 아니면 전문가를 통해야 할까? 법적으로 걸리는 부분이 있을까? “이런 모든 상황들에 대해 기업들이 진지하게 생각하고 미리 대비해야 합니다. 그런 시대가 왔다는 거, 아무도 부인하지 못할 겁니다.”
위험한 신기술로는 ‘딥페이크’도 있다. 페이턴은 딥페이크가 요즘 BEC 공격에 활용되고 있다고 경고했다. “실제로 가장 큰 피해를 일으키는 공격은 바로 BEC입니다. 딥페이크 기술 덕분에 피해자들이 송금 요청의 진위 여부를 가려내는 게 더 힘든 일이 됐습니다. 조직들은 어떻게 대항해야 할까요? 저는 고객들에게 송금이나 금전 업무에 사용되는 도메인과 계정, 이메일 주소는 따로 만들어 비공개로 전환하라고 조언합니다.”
페이턴에 의하면 BEC 공격을 실시하는 자들은 이미 인터넷 공간에 공개된 정보들을 수집해 연구한다고 한다. 홈페이지에 들어가기만 하면 CEO가 누군지, 이메일 주소가 뭔지, CFO가 누구며 부서가 어떻게 구성되어 있는지, 연락처가 어떻게 되는지 다 알 수 있다는 것.
“인터넷 검색만으로도 소셜 엔지니어링과 BEC 공격을 할 정도로 충분한 정보를 얻어낼 수 있는 게 현재 거의 모든 기업의 상황입니다. 그러니 이렇게 대중에게 공개된 것과 전혀 다른 도메인과, 그 도메인을 바탕으로 한 이메일 주소를 만들어 일부 금전 거래 관계자들에게만 공개하는 게 좋습니다. CEO의 송금 요청이 들어올만한 이메일 주소를 따로 마련하라는 것이죠. 그러면 홈페이지에 노출된 이메일로 CEO가 송금 지시를 내릴 때 뭔가 수상하다는 걸 알게 될 것입니다.”
여기에 더해 소셜 미디어 등에 전혀 공개되지 않을 암호문이나 키워드를 설정해 송금 업무를 처리할 때 사용하는 것도 도움이 된다고 그는 강조했다. “이런 시스템을 갖춰 놓으면, 공격자들 입장에서 조사해야 할 것이 더 많아집니다. 더 많은 돈과 시간을 투자해야 하죠. 즉 공격 비용이 올라간다는 겁니다. 그것만으로도 공격자들은 공격을 망설이게 됩니다. 어쨌건 그들이 가장 추구하는 건 비용 대비 공격 효율성이니까요. 디지털 변혁을 꾀할 때 이런 사업 운영과 관련된 설계도 추가하시는 걸 권합니다.”
그러면서 암호를 구두 지시에도 적용할 것을 추가로 권고하기도 했다. 왜냐하면 최근 딥페이크로 만든 가짜 음성을 활용해 직원을 속이고 돈을 훔친 사건이 발생했기 때문이다. “CEO들은 외부로 많이 노출된 사람들입니다. 목소리 샘플을 구하기가 쉽고, 따라서 딥페이크 기술의 먹잇감이 되기 좋죠. 실제 사례도 이미 나온 바 있고요. 중요한 업무 지시에만 사용될 비밀 사인을 마련하시는 게 BEC로부터 조직을 지킬 수 있는 길입니다.”
3줄 요약
1. 최초의 백악관 CIO였던 페이턴, 기조 연설 통해 “사람 중심 보안” 강조.
2. 또한 보안을 고려치 않은 디지털 변혁의 위험성도 강조.
3. 성행하는 BEC 공격 막기 위해 비공개 도메인과 암호문 마련하라고 권고.
[국제부 문가용 기자(globoan@boannews.com)]
센서 부착된 전구...“엔지니어들은 극찬했지만, 보안 전문가로서는 기분 나쁜 일”
BEC 공격 막기 위해서는 비공개 도메인과 주요 거래 관계자만 아는 암호 필요해
[보안뉴스 문가용 기자] 전 백악관 CIO인 테레사 페이턴(Theresa Payton)이 최근 열린 ‘인포시큐리티 ISACA 컨퍼런스 및 엑스포(Infosecurity ISACA Conference and Expo) 보안 컨퍼런스에 참가해 ‘신기술의 안전한 도입’에 관한 자신의 경험을 발표했다. 첫 백악관 여성 CIO로서 관심을 받았던 페이턴은 현재 포털리스(Fortalice)라는 보안 업체의 CEO로서 활동하고 있다.
[이미지 = iclickart]
컨퍼런스 기조연설자로 나선 그는 “미국 대통령 집무실을 지원하는 스태프들은 약 3000명”이라며, “당연하지만 백악관에서 상주할 수 없는 숫자”라고 발표를 이어갔다. “대신 이들은 거의 항상 비행기를 타고 세계 어딘가로 출장을 갑니다. 즉, 이 3000명이 유동 인구라고도 볼 수 있어요. CIO로서 저의 역할은 이 3000명이 세계 어디에 있든 백악관의 사무실에 있는 것처럼 일할 수 있게 해주는 것이었습니다.”
하지만 국가 최고의 요원들인 그들의 기대치는 매우 높았다고 한다. “스마트폰의 앱을 터치하는 것처럼 간단한 조작으로 모든 일 처리가 되기를 바랐습니다. 그러면서 최신 기술을 앞장서서 사용하고 싶어했고 동시에 그 어떤 경우에라도 안전해야 한다는 걸 강조했죠. 편리, 최첨단, 안전이라는 세 가지 토끼를 다 잡아야 했던 겁니다.”
그러면서 페이턴은 “어느 조직에 있든, 보안 담당자라면 다 같이 겪는 일 아닌가”라고 연설을 이어갔다. “편리하고 빠르며, 최첨단 기술이 안전하게 탑재되어 있는 모바일 근무 환경은 백악관 스태프들이 아니더라도 누구나 원하는 것이죠. 그 책임은 IT와 보안 부서가 전부 떠안고 있기도 하고요. 하지만 그렇기 때문에 보안을 사람 중심으로 생각하는 걸 잊어버렸습니다. 그러니 기억하기도 힘들 정도로 어려운 비밀번호를 설정하라고 매번 설교하는 것이죠. 누가 이 말을 새겨 들을까요?”
페이턴은 “보안 업계가 늘 힐난조로 ‘사람이 가장 큰 구멍’이라고 말하는 것도 현명하지 않다”고 말을 이어갔다. “사람이 늘 실수할 거라고 우리는 말합니다. 맞는 말이지만 현상 향상에 도움이 되는 말일까요? 마찬가지로 기술도 늘 바른 답만 주는 건 아닙니다. 누가 더 잘못했는가, 누가 더 옳은가 소모적인 비판만 해서는 앞으로 나아갈 수가 없습니다. 지금 보안은 실제적인 안전망을 만들고 치는 작업을 해야 하는데, 그 점을 잊고 있는 건 아닌지 염려됩니다.”
페이턴은 신기술의 빠른 등장을 언급하기도 했다. 특히 사물인터넷이 요주의 기술이라고 지목했다. “운송 시설을 운영하는 클라이언트가 있었습니다. 이 클라이언트가 최근 디지털 변혁을 결정하며 여러 가지 시도를 했어요. 그러면서 사업장을 오가는 사람들과 물건 등의 빅데이터를 수집한다며 센서가 있는 전구로 전부 교체했습니다. 여기서 수집되는 데이터를 모바일 장비로 늘 확인할 수 있고, 그에 따라 사업 방향을 유연하게 바꿀 수 있었죠. 엔지니어들은 놀라운 변화라고 했는데요, 제가 느끼기엔 기분 나쁜 변화였습니다.”
페이턴이 기분 나쁘다고 한 건, 그 공간을 오가는 수많은 사람들의 프라이버시가 침해될 우려가 있어서만은 아니었다. “2016년의 미라이(Mirai) 멀웨어 사태가 또 터지면 어떻게 하나요? 그래서 그 많은 센서들이 한 번에 먹통이 된다면요? 사업에 엄청난 차질이 있겠죠. 그런 쪽으로는 전혀 고려를 하지 않고 ‘혁신’을 외치는 모습을 보며, 안 좋은 예감이 들었습니다.” 그러면서 페이턴은 “변혁이 나쁘다는 게 아니고, 여러 가지 공격과 사고의 시나리오를 충분히 고려하라는 것”이라고 정리했다.
한국에서도 점점 악명이 높아지고 있는 다크웹도 주제로 등장했다. “해킹 당했다는 사실을 모르고 있던 기업 입장에서 정말 황당하고 위험한 건, 다크웹에 회사에 데이터가 거래되기 시작하는 것입니다. 한 클라이언트의 경우, 지불카드 산업에 종사하던 회사였는데, 어느 날 이 회사의 고유 소스코드가 다크웹에서 거래되기 시작했습니다. 그게 레딧(Reddit)에 뜰 때까지 그 회사의 어느 누구도 해킹된 사실과 정보가 거래되고 있다는 사실을 몰랐습니다.”
당시 공격자는 해당 코드를 손에 들고 회사를 협박하기도 했다고 한다. 그런 경우 회사는 돈을 내야 하는가 말아야 하는가? “이게 사안마다 심각성이 달라서 칼 같이 정확한 답을 정론화시키기 어렵긴 합니다. 랜섬웨어도 비슷하죠. 하지만 대체적으로 범죄자들에게 돈이라는 먹이를 주지 않는 게 가장 좋은 답이긴 합니다. 적어도 사회 전체적으로는 그 편이 유익하다는 것이죠.” 페이턴이 예로 든 고객사의 경우 범인에게 얼른 돈을 주고 소스코드를 사들였다고 한다. “대신 그 코드를 다른 누구와도 거래하지 않겠다고 합의를 봤어요. 실제로 범인은 돈을 받고 약속을 이행한 것으로 알고 있습니다.”
페이턴은 계속해서 “이런 경우를 귀사가 당했다면 어떻게 해결해야 할 것인가?”라고 좌중에게 물었다. 외부 보안 업체나 전문가와 상담을 할 것인가? 혼자 해결해보려고 할 것인가? 다크웹을 통해 직접 범인과 소통하는 게 안전한가, 아니면 전문가를 통해야 할까? 법적으로 걸리는 부분이 있을까? “이런 모든 상황들에 대해 기업들이 진지하게 생각하고 미리 대비해야 합니다. 그런 시대가 왔다는 거, 아무도 부인하지 못할 겁니다.”
위험한 신기술로는 ‘딥페이크’도 있다. 페이턴은 딥페이크가 요즘 BEC 공격에 활용되고 있다고 경고했다. “실제로 가장 큰 피해를 일으키는 공격은 바로 BEC입니다. 딥페이크 기술 덕분에 피해자들이 송금 요청의 진위 여부를 가려내는 게 더 힘든 일이 됐습니다. 조직들은 어떻게 대항해야 할까요? 저는 고객들에게 송금이나 금전 업무에 사용되는 도메인과 계정, 이메일 주소는 따로 만들어 비공개로 전환하라고 조언합니다.”
페이턴에 의하면 BEC 공격을 실시하는 자들은 이미 인터넷 공간에 공개된 정보들을 수집해 연구한다고 한다. 홈페이지에 들어가기만 하면 CEO가 누군지, 이메일 주소가 뭔지, CFO가 누구며 부서가 어떻게 구성되어 있는지, 연락처가 어떻게 되는지 다 알 수 있다는 것.
“인터넷 검색만으로도 소셜 엔지니어링과 BEC 공격을 할 정도로 충분한 정보를 얻어낼 수 있는 게 현재 거의 모든 기업의 상황입니다. 그러니 이렇게 대중에게 공개된 것과 전혀 다른 도메인과, 그 도메인을 바탕으로 한 이메일 주소를 만들어 일부 금전 거래 관계자들에게만 공개하는 게 좋습니다. CEO의 송금 요청이 들어올만한 이메일 주소를 따로 마련하라는 것이죠. 그러면 홈페이지에 노출된 이메일로 CEO가 송금 지시를 내릴 때 뭔가 수상하다는 걸 알게 될 것입니다.”
여기에 더해 소셜 미디어 등에 전혀 공개되지 않을 암호문이나 키워드를 설정해 송금 업무를 처리할 때 사용하는 것도 도움이 된다고 그는 강조했다. “이런 시스템을 갖춰 놓으면, 공격자들 입장에서 조사해야 할 것이 더 많아집니다. 더 많은 돈과 시간을 투자해야 하죠. 즉 공격 비용이 올라간다는 겁니다. 그것만으로도 공격자들은 공격을 망설이게 됩니다. 어쨌건 그들이 가장 추구하는 건 비용 대비 공격 효율성이니까요. 디지털 변혁을 꾀할 때 이런 사업 운영과 관련된 설계도 추가하시는 걸 권합니다.”
그러면서 암호를 구두 지시에도 적용할 것을 추가로 권고하기도 했다. 왜냐하면 최근 딥페이크로 만든 가짜 음성을 활용해 직원을 속이고 돈을 훔친 사건이 발생했기 때문이다. “CEO들은 외부로 많이 노출된 사람들입니다. 목소리 샘플을 구하기가 쉽고, 따라서 딥페이크 기술의 먹잇감이 되기 좋죠. 실제 사례도 이미 나온 바 있고요. 중요한 업무 지시에만 사용될 비밀 사인을 마련하시는 게 BEC로부터 조직을 지킬 수 있는 길입니다.”
3줄 요약
1. 최초의 백악관 CIO였던 페이턴, 기조 연설 통해 “사람 중심 보안” 강조.
2. 또한 보안을 고려치 않은 디지털 변혁의 위험성도 강조.
3. 성행하는 BEC 공격 막기 위해 비공개 도메인과 암호문 마련하라고 권고.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
