사이버보안 생활화 위해 출입증부터 챙기는 지혜가 필요한 시점
[보안뉴스= 배종찬 인사이트케이 연구소장] 오는 21일부터 신청을 받는 ‘민생 소비 쿠폰’과 관련해 벌써부터 피싱이나 스미싱 피해에 대한 우려의 목소리가 높다. SK텔레콤 유심 정보 해킹 사고에서 경험했다시피 해킹을 당했는지조차 모르고 지나가는 경우도 꽤 많다. 해커들이 사이버 방어벽을 뚫고 시스템 안으로 침투할 때 가장 중요한 지점이 바로 출입하는 시점이다.
[자료: gettyimagesbank]
누군가 보안을 요구받는 건물 안으로 들어가는 경우에도 출입증 검증이 되느냐 그렇지 않고 보안이 뚫리는지에 주목하면 된다. 첩보 영화를 보면 삼엄한 정보가 있는 곳으로 잠입할 때 많이 시도되는 방법이 출입증을 위조하거나 출입하는 시점에 보안 기능이 작동하지 않도록 해킹하는 경우다.
출입 관리 시스템(Access Management System, AMS)이 해킹되는 사례를 살펴보자. 출입 관리 시스템(AMS)은 생체인식, ID 카드, 차량 번호판 등을 이용해 건물과 시설의 출입을 제어하는 보안 시스템이다.
하지만 보안 설정이 제대로 적용되지 않은 상태로 인터넷에 노출되면서 해커가 이를 악용할 가능성이 매우 높아졌다.
실제로 연구에 따르면 상당수의 AMS가 안전한 인증 방식을 적용하지 않았으며, 저장된 데이터 또한 암호화되지 않은 상태였다고 한다. 영화에서 보면 건물 밖에서 원격으로 출입 시스템을 통제하는 모습을 보게 되는데 단지 영화의 한 장면에 그치지 않고 실제로 일어날 수 있는 상황이라는 의미다.
보안 연구기관 모닷(Modat)은 수만 개의 AMS가 인터넷에 그대로 노출되어 있다는 사실을 발견했다. 특히, 많은 시스템에서 이름, 이메일 주소, 전화번호 등의 개인 식별 정보뿐만 아니라 지문과 얼굴 인식 정보 같은 생체인식 데이터도 보호되지 않은 상태로 저장되어 있었다. 직원들의 사진과 근무 일정, 출입 기록까지 포함된 경우도 있었다.
AMS가 인터넷에 노출될 경우 발생할 수 있는 위협은 더욱 심각하다. 특히, 발전소, 정수 처리 시설, 공항과 같은 주요 기반 시설의 출입 시스템이 취약할 경우 주요 시설의 접근 통제가 무력화될 수 있다. 또한, 공격자가 노출된 직원 정보를 이용해 표적형 피싱 공격을 시도하거나 사회공학적 기법을 활용해 내부 네트워크로 침투할 가능성도 제기되고 있다.
▲출입 보안에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
출입 보안이 강조되고 있는 가운데 빅데이터에서는 어떤 반응이 나올까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 지난 6월 17일부터 7월 16일까지 출입 보안에 대한 빅데이터 감성 연관어를 도출해 보았다. 출입 보안에 대한 빅데이터 감성 연관어는 ‘가능하다’, ‘안전’, ‘철저하다’, ‘강화하다’, ‘안심하다’, ‘관리하다’, ‘무료’, ‘잘갖추다’, ‘성장하다’, ‘큰장점’, ‘수상하다’, ‘편리하다’, ‘신뢰’, ‘부담’, ‘원하다’, ‘깔끔하다’, ‘만족도’, ‘최적’, ‘믿다’, ‘안정적’, ‘다양한기능’, ‘효율적’. ‘서비스제공하다’, ‘스마트하다’, ‘쾌적하다’, ‘만족시키다’ 등으로 나왔다(위 그림).
▲배종찬 연구소장 [자료: 인사이트케이]
출입 보안에 대한 빅데이터 감성 연관어를 보면 매우 중요한 기능이라는 사실을 확인하게 된다. 출입부터 보안이 무너지면 내부 보안 유지는 더욱 어려워지기 때문이다. 최근 출입통제 시스템을 우회하거나 CCTV를 무력화하는 침입 시도는 물론, 내부 정보를 노리는 사이버 공격까지 동시에 발생하는 사례도 늘고 있다.
이제 단순한 방범만으로는 사업장을 지키기 어렵다. 한국가스공사가 대표적인 사례다. 2014년 이후 10년간 각종 감사에서 총 29건의 보안 사고가 적발됐다. 대표 사례로는 해킹으로 기관 내부 자료 유출, 유효기간 만료 가스총·가스분사기 탄약 미교체, 제한구역 출입증 무단 발급, 외부인 출입절차 위반, 업무자료 외부 유출 등이 있었다.
더 촘촘한 사이버 보안을 위해 출입증부터 꼼꼼히 검증해야 한다. 사이버보안의 생활화를 위해 출입증부터 챙기는 지혜가 필요한 시점이다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
[보안뉴스= 배종찬 인사이트케이 연구소장] 오는 21일부터 신청을 받는 ‘민생 소비 쿠폰’과 관련해 벌써부터 피싱이나 스미싱 피해에 대한 우려의 목소리가 높다. SK텔레콤 유심 정보 해킹 사고에서 경험했다시피 해킹을 당했는지조차 모르고 지나가는 경우도 꽤 많다. 해커들이 사이버 방어벽을 뚫고 시스템 안으로 침투할 때 가장 중요한 지점이 바로 출입하는 시점이다.
[자료: gettyimagesbank]
누군가 보안을 요구받는 건물 안으로 들어가는 경우에도 출입증 검증이 되느냐 그렇지 않고 보안이 뚫리는지에 주목하면 된다. 첩보 영화를 보면 삼엄한 정보가 있는 곳으로 잠입할 때 많이 시도되는 방법이 출입증을 위조하거나 출입하는 시점에 보안 기능이 작동하지 않도록 해킹하는 경우다.
출입 관리 시스템(Access Management System, AMS)이 해킹되는 사례를 살펴보자. 출입 관리 시스템(AMS)은 생체인식, ID 카드, 차량 번호판 등을 이용해 건물과 시설의 출입을 제어하는 보안 시스템이다.
하지만 보안 설정이 제대로 적용되지 않은 상태로 인터넷에 노출되면서 해커가 이를 악용할 가능성이 매우 높아졌다.
실제로 연구에 따르면 상당수의 AMS가 안전한 인증 방식을 적용하지 않았으며, 저장된 데이터 또한 암호화되지 않은 상태였다고 한다. 영화에서 보면 건물 밖에서 원격으로 출입 시스템을 통제하는 모습을 보게 되는데 단지 영화의 한 장면에 그치지 않고 실제로 일어날 수 있는 상황이라는 의미다.
보안 연구기관 모닷(Modat)은 수만 개의 AMS가 인터넷에 그대로 노출되어 있다는 사실을 발견했다. 특히, 많은 시스템에서 이름, 이메일 주소, 전화번호 등의 개인 식별 정보뿐만 아니라 지문과 얼굴 인식 정보 같은 생체인식 데이터도 보호되지 않은 상태로 저장되어 있었다. 직원들의 사진과 근무 일정, 출입 기록까지 포함된 경우도 있었다.
AMS가 인터넷에 노출될 경우 발생할 수 있는 위협은 더욱 심각하다. 특히, 발전소, 정수 처리 시설, 공항과 같은 주요 기반 시설의 출입 시스템이 취약할 경우 주요 시설의 접근 통제가 무력화될 수 있다. 또한, 공격자가 노출된 직원 정보를 이용해 표적형 피싱 공격을 시도하거나 사회공학적 기법을 활용해 내부 네트워크로 침투할 가능성도 제기되고 있다.
▲출입 보안에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
출입 보안이 강조되고 있는 가운데 빅데이터에서는 어떤 반응이 나올까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 지난 6월 17일부터 7월 16일까지 출입 보안에 대한 빅데이터 감성 연관어를 도출해 보았다. 출입 보안에 대한 빅데이터 감성 연관어는 ‘가능하다’, ‘안전’, ‘철저하다’, ‘강화하다’, ‘안심하다’, ‘관리하다’, ‘무료’, ‘잘갖추다’, ‘성장하다’, ‘큰장점’, ‘수상하다’, ‘편리하다’, ‘신뢰’, ‘부담’, ‘원하다’, ‘깔끔하다’, ‘만족도’, ‘최적’, ‘믿다’, ‘안정적’, ‘다양한기능’, ‘효율적’. ‘서비스제공하다’, ‘스마트하다’, ‘쾌적하다’, ‘만족시키다’ 등으로 나왔다(위 그림).
▲배종찬 연구소장 [자료: 인사이트케이]
출입 보안에 대한 빅데이터 감성 연관어를 보면 매우 중요한 기능이라는 사실을 확인하게 된다. 출입부터 보안이 무너지면 내부 보안 유지는 더욱 어려워지기 때문이다. 최근 출입통제 시스템을 우회하거나 CCTV를 무력화하는 침입 시도는 물론, 내부 정보를 노리는 사이버 공격까지 동시에 발생하는 사례도 늘고 있다.
이제 단순한 방범만으로는 사업장을 지키기 어렵다. 한국가스공사가 대표적인 사례다. 2014년 이후 10년간 각종 감사에서 총 29건의 보안 사고가 적발됐다. 대표 사례로는 해킹으로 기관 내부 자료 유출, 유효기간 만료 가스총·가스분사기 탄약 미교체, 제한구역 출입증 무단 발급, 외부인 출입절차 위반, 업무자료 외부 유출 등이 있었다.
더 촘촘한 사이버 보안을 위해 출입증부터 꼼꼼히 검증해야 한다. 사이버보안의 생활화를 위해 출입증부터 챙기는 지혜가 필요한 시점이다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
