[인터뷰] 디지털 쉐도우즈의 패터슨 CEO, “해커보다 꼼꼼해야 안전”
M&A의 모든 단계에 위험이 도사리고 있어
▲ 합치려면 수많은 이들을 꼼꼼히 잠가야 한다
[보안뉴스 문가용] M&A 활동이 점점 늘어나더니 2015년에는 4조 달러 규모를 넘어, 역대 최고 기록을 갱신했다. 게다가 M&A를 통해 기업들의 자산 가치가 평균 1조 5억 달러에서 1조 9억 달러 올랐다고 하니 M&A 분야의 활기가 한동안 이어질 전망이다. 그러나 기업들만 M&A를 통해 이득을 챙기는 건 아니다. 사이버 범죄자들이 이 어마어마한 시장을 노리고 M&A 과정에 남 몰래 개입하기 시작한 것이다.
보안 전문업체인 디지털 쉐도우즈(Digital Shadows)는 최근 늘어나는 M&A 분야의 위협에 대해 조사를 실시했고, 이를 바탕으로 CEO인 알라스테어 패터슨(Alastair Paterson)은 칼럼기고와 세미나 발표 등으로 꾸준한 ‘경고’를 기업들에 전달하고 있다. 바쁜 그를 보안뉴스에서 잠깐 불러 세웠다.
보안뉴스 : M&A는 어떤 식으로 진행되는가? 어느 지점이 위험에 노출되는가?
패터슨 : M&A 건마다 다르지만, 보통은 1) 준비 및 가치 평가 2) 마케팅 3) 면밀한 조사 4) 협상과 서명, 발표 5) 대기 기간 및 최종 합병의 5단계로 진행된다. 준비 단계에서는 아무런 공식 발표가 없지만, 이미 위험은 시작된다. 왜냐하면 굳이 발표가 나지 않아도 어디선가 냄새가 풍기기 때문이다. 갑자기 자금을 끌어 모은다거나, 대담한 사업을 시작하면서 잠재적 구매자들에게 매력을 어필하는 활동을 하기 때문이다. 또한, M&A 전문가를 영입하거나 링크드인과 같은 곳에서 비슷한 인재를 찾기도 한다. 해커들은 이런 사소한 정보들을 통해 기가 막히게 M&A가 시작되고 있는 걸 알아챈다.
준비를 마친 기업은 마케팅을 시작한다. 사실 이 단계에서도 M&A를 짐작하기란 쉬운 게 아니다. 겉으로 보기에는 큰 변화가 없기 때문이다. 신제품 발표가 살짝 늦다거나 의례히 하듯이 자본력을 은근히 자랑하는 기사를 낸다. 이런 마케팅 자료가 여기 저기 조각처럼 나오니까 눈에 안 띄는 건데, 이걸 한데 모으면 정식 M&A 서류를 위조하는 것도 가능하게 된다. 해커들은 이를 해내고, 이 위조 서류를 가지고 스피어피싱 공격을 한다. 또한 준비 단계를 넘어 2단계로 들어서면 보통 감원을 한다거나 업무량이 대폭 늘어나는데, 여기에 불만을 품은 내부 직원이 정보를 흘리는 경우도 허다하다.
보안뉴스 : 그 다음 단계들에 대해서도 설명해 달라.
패터슨 : 3단계는 구매자와 판매자가 다 정해진 상태에서 진행되는 것으로, 인수하기로 한 기업에서 합병될 기업을 아주 꼼꼼하게 조사한다. 상당히 많은 정보가 오가며, 대부분 민감하고 중요한 것들이다. 또한 이때 당연히 보안 상태를 면밀히 조사하는데, 그 조사과정 중에도 채 발견되지 않은 취약점이나 결함이 M&A가 끝난 후에도 오랜 시간 남아있는 경우가 꽤 있다. 이 단계에서 스피어피싱 공격이 많이 일어난다.
2015년 매리어트 그룹과 스타우드 그룹 사이에 있었던 M&A가 생각난다. 11월 16일 매리어트가 스타우드를 인수한다고 발표를 했는데 바로 20일, 스타우드는 POS 멀웨어에 공격 당해왔음을 알려왔다. 발표를 했다는 건 매리어트 측이 조사를 끝냈다는 건데, 스타우드의 공격 피해 사실을 몰랐거나 무시했다는 뜻이다. 조사를 아무리 꼼꼼히 해도 감시망을 빠져나가는 취약점들이 분명히 있다는 사례가 될 수 있다.
4단계는 협상이 거의 마무리 되는 때로, 가장 큰 취약점은 바로 해당 기업의 임직원들이다. 마무리가 되어 간다는 안도감이 경계심을 늦추기 때문이다. 이런 때를 대비해 보안과 관련된 것들을 정책적으로 규정하고, 평소에도 엔드포인트 관리를 확실하게 해버릇 해야 한다. 5단계도 이와 비슷하다.
보안뉴스 : 특별히 M&A 과정을 집중 공략하는 해커 그룹이 있는가?
패터슨 : 워낙 은밀히 활동하는 게 보통이라 다 알아내는 건 힘들다. 그래도 몇몇 단체들의 주요 공격 수법에 대해서는 파악하고 있다. 먼저 핀포(FIN4)라는 단체가 있다. 2014년 말에 발견된 그룹이며 M&A와 관련된 기업들 및 변호사 사무실 100여개를 공격한 전적이 있다. 특히 임원진의 이메일을 노리는 공격을 자주 벌인다. 이들 때문에 FBI는 2015년 12월에 사기업들에게 M&A 진행시 주의하라는 경고를 발령하기도 했다. 키로깅 기능이 있는 트로이 목마를 피싱 메일을 통해 퍼트리거나 이메일 로그인 정보를 탈취할 수 있게 해주는 악성 멀웨어를 삽입한다.
이미 이쪽 바닥에서는 유명해진 다크호텔(DarkHotel)도 눈에 띄는 단체다. 자신들이 노리는 기업의 임원진이 해외 출장을 가서 호텔에 묵기를 기다렸다가 호텔을 해킹하는 기발한 수법을 사용한 것으로 잘 알려진 해킹 그룹이다. 다만 피해자가 호텔의 와이파이를 사용해야만 공격에 성공할 수 있다는 한계점도 가지고 있긴 했다. 하지만 공격을 위해 비행 스케줄과 숙박 장소 등까지 모조리 조사하고 공격을 실시했다는 점이 굉장히 소름끼친다. 이런 준비성과 기술력이 M&A 과정을 노리고 투입된다고 상상해보라.
▲ 알라스테어 패터슨 CEO
보안뉴스 : 그렇다면 안전한 M&A를 위해서 해야 할 일은 무엇인가?
패터슨 : 먼저 인프라에 대한 이해도를 높여야 한다. 네트워크에 포함된 하드웨어들을 전부 목록화하고, 물리적·논리적 구조를 모두 도표나 그림으로 그려서 한 눈에 이해가 되도록 한다. 그런 다음엔 사용 중에 있는 하드웨어 및 소프트웨어와 관련이 있는 도메인 이름도 모조리 정리한다. 데이터베이스, 서버들도 전부. 최근엔 클라우드와 앱 목록을 만드는 것도 중요하다.
그렇게 최대한의 가시성을 확보했다면 보안 점검을 해야 한다. 네트워크 내에 있는 모든 보안 장비 및 솔루션들을 목록화하고 외부 서비스나 관제를 받는다면 그것 역시 모두 파악한다. 방화벽 점검, 로그 정보 점검, 이메일 보안 상태, 저장소의 물리적인 위치들도 모두 정리하고 알아 둔다.
그러면서 보안 관련 정책을 정하고, 이를 교육시켜야 한다. 끊임없이 설명해주고 반복해서 알려주어 이제 일하는 방식이 달라졌다는 걸 고지시켜야 한다. 특히, 오픈소스나 외부 애플리케이션을 업무에 활용하는 문제, 모바일 기기에 정보를 담아가는 문제 등은 심각하게 다룬다.
사내 정책을 정하고 교육을 시키고 있다면 국가나 국제 사회에서 정한 표준이 있는지도 살펴야 한다. 혹시 간과하고 있거나, M&A 때문에 새롭게 적용되는 정책이나 표준이 있는지도 살피고, 합병되는 기업의 파트너사 등 서드파티들에 대한 보안 현황도 파악해야 한다. 고객들의 성향과 사건사고, 보안 위협 사례들을 수집하는 것 또한 잊지 말아야 하는 부분이다.
보안뉴스 : 결국 모든 걸 다 꼼꼼하게 살피라는 말 아닌가?
패터슨 : 그렇게 정리할 수 있다. 나는 이것이 ‘목록화의 싸움’이라고 생각한다. 거대한 기업, 거대한 조직, 그 안에 들어간 모든 요소들과 사람을 얼마나 잘 알고 있느냐, 얼마나 잘 이해하고 있는가가 결국 보안의 자세이기 때문이다. 사람과 기술, 즉 M&A로 늘어나는 관계사와 고객, 직원, 인프라 구조를 전부 고려해야 한다. 해커들보다 더 꼼꼼해야만 그들의 공격을 막을 수 있다. 꼼꼼한 목록 정리가 관건이다.
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
M&A의 모든 단계에 위험이 도사리고 있어
▲ 합치려면 수많은 이들을 꼼꼼히 잠가야 한다
[보안뉴스 문가용] M&A 활동이 점점 늘어나더니 2015년에는 4조 달러 규모를 넘어, 역대 최고 기록을 갱신했다. 게다가 M&A를 통해 기업들의 자산 가치가 평균 1조 5억 달러에서 1조 9억 달러 올랐다고 하니 M&A 분야의 활기가 한동안 이어질 전망이다. 그러나 기업들만 M&A를 통해 이득을 챙기는 건 아니다. 사이버 범죄자들이 이 어마어마한 시장을 노리고 M&A 과정에 남 몰래 개입하기 시작한 것이다.
보안 전문업체인 디지털 쉐도우즈(Digital Shadows)는 최근 늘어나는 M&A 분야의 위협에 대해 조사를 실시했고, 이를 바탕으로 CEO인 알라스테어 패터슨(Alastair Paterson)은 칼럼기고와 세미나 발표 등으로 꾸준한 ‘경고’를 기업들에 전달하고 있다. 바쁜 그를 보안뉴스에서 잠깐 불러 세웠다.
보안뉴스 : M&A는 어떤 식으로 진행되는가? 어느 지점이 위험에 노출되는가?
패터슨 : M&A 건마다 다르지만, 보통은 1) 준비 및 가치 평가 2) 마케팅 3) 면밀한 조사 4) 협상과 서명, 발표 5) 대기 기간 및 최종 합병의 5단계로 진행된다. 준비 단계에서는 아무런 공식 발표가 없지만, 이미 위험은 시작된다. 왜냐하면 굳이 발표가 나지 않아도 어디선가 냄새가 풍기기 때문이다. 갑자기 자금을 끌어 모은다거나, 대담한 사업을 시작하면서 잠재적 구매자들에게 매력을 어필하는 활동을 하기 때문이다. 또한, M&A 전문가를 영입하거나 링크드인과 같은 곳에서 비슷한 인재를 찾기도 한다. 해커들은 이런 사소한 정보들을 통해 기가 막히게 M&A가 시작되고 있는 걸 알아챈다.
준비를 마친 기업은 마케팅을 시작한다. 사실 이 단계에서도 M&A를 짐작하기란 쉬운 게 아니다. 겉으로 보기에는 큰 변화가 없기 때문이다. 신제품 발표가 살짝 늦다거나 의례히 하듯이 자본력을 은근히 자랑하는 기사를 낸다. 이런 마케팅 자료가 여기 저기 조각처럼 나오니까 눈에 안 띄는 건데, 이걸 한데 모으면 정식 M&A 서류를 위조하는 것도 가능하게 된다. 해커들은 이를 해내고, 이 위조 서류를 가지고 스피어피싱 공격을 한다. 또한 준비 단계를 넘어 2단계로 들어서면 보통 감원을 한다거나 업무량이 대폭 늘어나는데, 여기에 불만을 품은 내부 직원이 정보를 흘리는 경우도 허다하다.
보안뉴스 : 그 다음 단계들에 대해서도 설명해 달라.
패터슨 : 3단계는 구매자와 판매자가 다 정해진 상태에서 진행되는 것으로, 인수하기로 한 기업에서 합병될 기업을 아주 꼼꼼하게 조사한다. 상당히 많은 정보가 오가며, 대부분 민감하고 중요한 것들이다. 또한 이때 당연히 보안 상태를 면밀히 조사하는데, 그 조사과정 중에도 채 발견되지 않은 취약점이나 결함이 M&A가 끝난 후에도 오랜 시간 남아있는 경우가 꽤 있다. 이 단계에서 스피어피싱 공격이 많이 일어난다.
2015년 매리어트 그룹과 스타우드 그룹 사이에 있었던 M&A가 생각난다. 11월 16일 매리어트가 스타우드를 인수한다고 발표를 했는데 바로 20일, 스타우드는 POS 멀웨어에 공격 당해왔음을 알려왔다. 발표를 했다는 건 매리어트 측이 조사를 끝냈다는 건데, 스타우드의 공격 피해 사실을 몰랐거나 무시했다는 뜻이다. 조사를 아무리 꼼꼼히 해도 감시망을 빠져나가는 취약점들이 분명히 있다는 사례가 될 수 있다.
4단계는 협상이 거의 마무리 되는 때로, 가장 큰 취약점은 바로 해당 기업의 임직원들이다. 마무리가 되어 간다는 안도감이 경계심을 늦추기 때문이다. 이런 때를 대비해 보안과 관련된 것들을 정책적으로 규정하고, 평소에도 엔드포인트 관리를 확실하게 해버릇 해야 한다. 5단계도 이와 비슷하다.
보안뉴스 : 특별히 M&A 과정을 집중 공략하는 해커 그룹이 있는가?
패터슨 : 워낙 은밀히 활동하는 게 보통이라 다 알아내는 건 힘들다. 그래도 몇몇 단체들의 주요 공격 수법에 대해서는 파악하고 있다. 먼저 핀포(FIN4)라는 단체가 있다. 2014년 말에 발견된 그룹이며 M&A와 관련된 기업들 및 변호사 사무실 100여개를 공격한 전적이 있다. 특히 임원진의 이메일을 노리는 공격을 자주 벌인다. 이들 때문에 FBI는 2015년 12월에 사기업들에게 M&A 진행시 주의하라는 경고를 발령하기도 했다. 키로깅 기능이 있는 트로이 목마를 피싱 메일을 통해 퍼트리거나 이메일 로그인 정보를 탈취할 수 있게 해주는 악성 멀웨어를 삽입한다.
이미 이쪽 바닥에서는 유명해진 다크호텔(DarkHotel)도 눈에 띄는 단체다. 자신들이 노리는 기업의 임원진이 해외 출장을 가서 호텔에 묵기를 기다렸다가 호텔을 해킹하는 기발한 수법을 사용한 것으로 잘 알려진 해킹 그룹이다. 다만 피해자가 호텔의 와이파이를 사용해야만 공격에 성공할 수 있다는 한계점도 가지고 있긴 했다. 하지만 공격을 위해 비행 스케줄과 숙박 장소 등까지 모조리 조사하고 공격을 실시했다는 점이 굉장히 소름끼친다. 이런 준비성과 기술력이 M&A 과정을 노리고 투입된다고 상상해보라.
▲ 알라스테어 패터슨 CEO
보안뉴스 : 그렇다면 안전한 M&A를 위해서 해야 할 일은 무엇인가?
패터슨 : 먼저 인프라에 대한 이해도를 높여야 한다. 네트워크에 포함된 하드웨어들을 전부 목록화하고, 물리적·논리적 구조를 모두 도표나 그림으로 그려서 한 눈에 이해가 되도록 한다. 그런 다음엔 사용 중에 있는 하드웨어 및 소프트웨어와 관련이 있는 도메인 이름도 모조리 정리한다. 데이터베이스, 서버들도 전부. 최근엔 클라우드와 앱 목록을 만드는 것도 중요하다.
그렇게 최대한의 가시성을 확보했다면 보안 점검을 해야 한다. 네트워크 내에 있는 모든 보안 장비 및 솔루션들을 목록화하고 외부 서비스나 관제를 받는다면 그것 역시 모두 파악한다. 방화벽 점검, 로그 정보 점검, 이메일 보안 상태, 저장소의 물리적인 위치들도 모두 정리하고 알아 둔다.
그러면서 보안 관련 정책을 정하고, 이를 교육시켜야 한다. 끊임없이 설명해주고 반복해서 알려주어 이제 일하는 방식이 달라졌다는 걸 고지시켜야 한다. 특히, 오픈소스나 외부 애플리케이션을 업무에 활용하는 문제, 모바일 기기에 정보를 담아가는 문제 등은 심각하게 다룬다.
사내 정책을 정하고 교육을 시키고 있다면 국가나 국제 사회에서 정한 표준이 있는지도 살펴야 한다. 혹시 간과하고 있거나, M&A 때문에 새롭게 적용되는 정책이나 표준이 있는지도 살피고, 합병되는 기업의 파트너사 등 서드파티들에 대한 보안 현황도 파악해야 한다. 고객들의 성향과 사건사고, 보안 위협 사례들을 수집하는 것 또한 잊지 말아야 하는 부분이다.
보안뉴스 : 결국 모든 걸 다 꼼꼼하게 살피라는 말 아닌가?
패터슨 : 그렇게 정리할 수 있다. 나는 이것이 ‘목록화의 싸움’이라고 생각한다. 거대한 기업, 거대한 조직, 그 안에 들어간 모든 요소들과 사람을 얼마나 잘 알고 있느냐, 얼마나 잘 이해하고 있는가가 결국 보안의 자세이기 때문이다. 사람과 기술, 즉 M&A로 늘어나는 관계사와 고객, 직원, 인프라 구조를 전부 고려해야 한다. 해커들보다 더 꼼꼼해야만 그들의 공격을 막을 수 있다. 꼼꼼한 목록 정리가 관건이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
