기업 네트워크 바깥에 있는 소셜 미디어, 훌륭한 공격 플랫폼
표적 항시 주시해 성향, 취향, 인간관계 등 알아낸 후 접근, 신뢰 쌓기
[보안뉴스 문가용] 소셜 미디어는 위험지대다. 여기서부터 은행계좌가 하이재킹 당하고, 비밀번호가 도난당하며, 상상을 초월한 사기가 발생한다. 악성코드(멀웨어)가 퍼지는 건 예삿일이고, 피싱 공격의 온상지로 격하되고 있다. 특히, 유명 인사나 대기업 수뇌부 인물들의 SNS는 각종 지능형 공격을 성공시켜주는 발판이 된지 오래다. 예를 들어 마이크로소프트라는 거대한 기업은 정부의 후원을 받는 공격자들의 시달림에 수차례 노출되었다.
소셜 미디어의 장점은 네트워크의 바깥에 있다는 것이다. 그러므로 ‘네트워크 보안 장치’와 ‘엔드포인트 탐지 기능’이 발동하기 훨씬 전에 작당을 시작할 수 있다. 게다가 소셜 미디어 혹은 소셜 네트워크를 통해 들어오는 위협을 탐지하려면 소셜 엔지니어링 공격에 대한 전반적인 이해가 필요하다. 방어가 지나치게 까다롭다는 건 공격자에겐 항상 좋은 소식이다.
일반적으로 기업의 네트워크를 공격하는 사람들은 두 가지 단계를 거치는데, 바로 정찰과 익스플로잇(취약점 악용)이다. 정찰은 IP 주소나 도메인을 수집하거나 어떤 OS가 사용되고 있는지 파악하고, 더 나아가 표적이 된 시스템에 어떤 앱과 서비스가 어떤 포트에서 활용되는지 알아내는 등 공격에 필요한 정보를 긁어모으는 행위를 가리킨다. 그 정보들을 바탕으로 공격을 실행하는 게 익스플로잇이다.
소셜 미디어를 통한 공격을 할 때도 이 단계에서 하는 일은 비슷하다. 다만 방법이 조금 달라진다. 소셜 미디어 활동을 주시하면서 표적을 관찰하고, 프로파일링을 한다. 그리고 온라인상에서 그 사람인 척 위장해 필요한 정보를 훔친다. 그리고 그 정보를 바탕으로 공격을 감행한다.
소셜 미디어를 주시해서 얻을 수 있는 정보란 1) 임직원 일부 2) 기업이 운영하고 있는 사이트 및 페이지의 존재인데, 이는 굳이 소셜 미디어를 통하지 않아도 알아낼 수 있는 정보에 속한다. 다만 소셜 미디어를 관찰함으로써 1) 임직원 일부와의 친밀도가 어느 정도인지 2) 회사 업무에 어떤 식으로 관여하고 있으며 어떤 태도를 견지하고 있는지 3) 어떤 생각에서 그렇게 하는 건지 4) 다른 사람들이 그에 대해 어떻게 반응하고 어떻게 생각하는지 5) 평소에 공격 표적이 어떤 행동양식을 보이는지도 어느 정도 알아낼 수 있다. 즉, 좀 더 ‘깊은’ 정보를 취하는 게 가능하다는 것이다.
대화와 댓글, 올리는 사진 및 미디어 유형, 키워드, 해시태그를 전부 수집하고 분석한다. 그걸 바탕으로 그 사람 자체에 대해 알아낸다면, 가짜로 계정을 하나 만들어 슬쩍 접근을 시도한다. 물론 공격자는 가공의 인물 역할을 한다. 공격 대상이 딱 좋아할만한 그런 인물이다. 좋아하는 것, 생각하는 바를 자꾸만 일치시키고 동의하고, 또 동의를 구한다. 좋아할 만한 이슈를 퍼나른다. 서서히 친구가 되는 것이다.
이때 단순히 1:1로 접근하지 않는다. 공격자들은 요즘 SNS 상에서 ‘다중 인격’ 마법을 부릴 줄 안다. 공격 대상을 여러 가상의 인물로 포위해 들어가는 것이다. 이렇게 가상의 인물을 만들어내고, 그 사람인 척 하는 건 요즘 소셜 엔지니어링에 있어서 가장 흔한 공격 기술이다. 최근 통계를 살펴보면 매주 약 천 개의 ‘가상 인물’이 소셜 네트워크에서 태어난다고 한다. 재미있는 건 가상의 인물이 사회적으로 높은 위치인 것처럼 꾸미면 꾸밀수록 성공률이 높아진다는 것이다.
그래서 공격자들은 실제 기업에서 일하는 실제 인물의 사진과 이력사항을 가져올 때가 많다. 아래의 이미지는 버크셔 해서웨이(Berkshire Hathaway)의 CEO인 워렌 버핏(Warren Buffett)의 계정인 것처럼 꾸며진 트위터 계정이다. 사진과 내용은 물론 멘션과 키워드까지 꼼꼼하게 ‘진짜처럼’ 채워져 있다. 하지만 자세히보면 @ 멘션의 이름 철자가 아주 살짝 바뀌어있다(Warren이 Warrem으로 작성되어 있다).
이렇게 누군가로 가장하는 방식의 공격은 시간만 조금 들이면 누구나 해낼 수 있다. 이것보다 조금 더 어려운 공격이 바로 계정을 하이재킹하는 것으로, 어려운 대신 결과가 빨리 나온다. 이는 무작위의 가상 인물로 가장하는 게 아니라, 아예 공격대상의 계정을 중간에서 가로채 그 사람인 척 활동하는 것이다. 공격을 하고자 하는 바로 그 인물이 되는 것이기 때문에 중요한 정보가 빨리 나온다. 친한 동료에게 암호를 메신저로 묻고 취득했던 사례도 있다.
가상의 인물을 가장한 공격이든 하이재킹이든, 어느 정도 단계에 다다르면 공격자들은 멀웨어나 피싱 링크를 메시지로 보내기 시작한다. 네트워크에 연결된 시스템의 크리덴셜/로그인 정보를 훔쳐내기 위해서다. 이는 탐지가 어려운데, 소셜 네트워크 대부분이 URL 단축 기법을 적용하기 때문이다. 여기까지 성공하면 이미 공격자는 네트워크의 여러 시스템에 깊숙이 들어와 있다고 보면 된다.
그렇다면 어떻게 해야 소셜 미디어를 통한 공격을 미리 막거나 피해를 최소화할 수 있을까? 다음과 같은 몇 가지 방법들이 있다.
1. 기업의 소셜 미디어 운영 현황을 전부 파악하라. 어떤 페이지/사이트가 있는지, 누구 이름으로 만들어진 계정인지, 직원 중 누가 운영에 관여하는지 등 꼼꼼하게 말이다.
2. 기업의 소셜 미디어를 운영하는 직원들이 누구이며 각각 어느 정도의 권한을 가지고 있는지 파악하고 문서화한다. 또한, 기업의 소셜 미디어라면 암호가 강력해야 하고 2중 인증을 활용해야 한다.
3. 평소 기업 페이지를 자주 방문하거나 친화적인 모습을 보이는 사람들을 잘 관찰하고 프로파일링한다.
4. 소셜 미디어를 통해 들어오는 악성 URL 등을 탐지하기 위한 솔루션을 네트워크 외곽 보안에 적용해야 한다. 방화벽, 침투 탐지, 멀웨어 보호 시스템, 프록시, 관리 시스템의 보안은 특히 신경써야 한다.
5. 대응에 대한 계획도 미리 짜여 있어야 한다. 수상한 것이 탐지되었다면 곧바로 행동을 취할 수 있어야 한다.
글 : 마이크 라고(Mike Raggo)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
표적 항시 주시해 성향, 취향, 인간관계 등 알아낸 후 접근, 신뢰 쌓기
[보안뉴스 문가용] 소셜 미디어는 위험지대다. 여기서부터 은행계좌가 하이재킹 당하고, 비밀번호가 도난당하며, 상상을 초월한 사기가 발생한다. 악성코드(멀웨어)가 퍼지는 건 예삿일이고, 피싱 공격의 온상지로 격하되고 있다. 특히, 유명 인사나 대기업 수뇌부 인물들의 SNS는 각종 지능형 공격을 성공시켜주는 발판이 된지 오래다. 예를 들어 마이크로소프트라는 거대한 기업은 정부의 후원을 받는 공격자들의 시달림에 수차례 노출되었다.
소셜 미디어의 장점은 네트워크의 바깥에 있다는 것이다. 그러므로 ‘네트워크 보안 장치’와 ‘엔드포인트 탐지 기능’이 발동하기 훨씬 전에 작당을 시작할 수 있다. 게다가 소셜 미디어 혹은 소셜 네트워크를 통해 들어오는 위협을 탐지하려면 소셜 엔지니어링 공격에 대한 전반적인 이해가 필요하다. 방어가 지나치게 까다롭다는 건 공격자에겐 항상 좋은 소식이다.
일반적으로 기업의 네트워크를 공격하는 사람들은 두 가지 단계를 거치는데, 바로 정찰과 익스플로잇(취약점 악용)이다. 정찰은 IP 주소나 도메인을 수집하거나 어떤 OS가 사용되고 있는지 파악하고, 더 나아가 표적이 된 시스템에 어떤 앱과 서비스가 어떤 포트에서 활용되는지 알아내는 등 공격에 필요한 정보를 긁어모으는 행위를 가리킨다. 그 정보들을 바탕으로 공격을 실행하는 게 익스플로잇이다.
소셜 미디어를 통한 공격을 할 때도 이 단계에서 하는 일은 비슷하다. 다만 방법이 조금 달라진다. 소셜 미디어 활동을 주시하면서 표적을 관찰하고, 프로파일링을 한다. 그리고 온라인상에서 그 사람인 척 위장해 필요한 정보를 훔친다. 그리고 그 정보를 바탕으로 공격을 감행한다.
소셜 미디어를 주시해서 얻을 수 있는 정보란 1) 임직원 일부 2) 기업이 운영하고 있는 사이트 및 페이지의 존재인데, 이는 굳이 소셜 미디어를 통하지 않아도 알아낼 수 있는 정보에 속한다. 다만 소셜 미디어를 관찰함으로써 1) 임직원 일부와의 친밀도가 어느 정도인지 2) 회사 업무에 어떤 식으로 관여하고 있으며 어떤 태도를 견지하고 있는지 3) 어떤 생각에서 그렇게 하는 건지 4) 다른 사람들이 그에 대해 어떻게 반응하고 어떻게 생각하는지 5) 평소에 공격 표적이 어떤 행동양식을 보이는지도 어느 정도 알아낼 수 있다. 즉, 좀 더 ‘깊은’ 정보를 취하는 게 가능하다는 것이다.
대화와 댓글, 올리는 사진 및 미디어 유형, 키워드, 해시태그를 전부 수집하고 분석한다. 그걸 바탕으로 그 사람 자체에 대해 알아낸다면, 가짜로 계정을 하나 만들어 슬쩍 접근을 시도한다. 물론 공격자는 가공의 인물 역할을 한다. 공격 대상이 딱 좋아할만한 그런 인물이다. 좋아하는 것, 생각하는 바를 자꾸만 일치시키고 동의하고, 또 동의를 구한다. 좋아할 만한 이슈를 퍼나른다. 서서히 친구가 되는 것이다.
이때 단순히 1:1로 접근하지 않는다. 공격자들은 요즘 SNS 상에서 ‘다중 인격’ 마법을 부릴 줄 안다. 공격 대상을 여러 가상의 인물로 포위해 들어가는 것이다. 이렇게 가상의 인물을 만들어내고, 그 사람인 척 하는 건 요즘 소셜 엔지니어링에 있어서 가장 흔한 공격 기술이다. 최근 통계를 살펴보면 매주 약 천 개의 ‘가상 인물’이 소셜 네트워크에서 태어난다고 한다. 재미있는 건 가상의 인물이 사회적으로 높은 위치인 것처럼 꾸미면 꾸밀수록 성공률이 높아진다는 것이다.
그래서 공격자들은 실제 기업에서 일하는 실제 인물의 사진과 이력사항을 가져올 때가 많다. 아래의 이미지는 버크셔 해서웨이(Berkshire Hathaway)의 CEO인 워렌 버핏(Warren Buffett)의 계정인 것처럼 꾸며진 트위터 계정이다. 사진과 내용은 물론 멘션과 키워드까지 꼼꼼하게 ‘진짜처럼’ 채워져 있다. 하지만 자세히보면 @ 멘션의 이름 철자가 아주 살짝 바뀌어있다(Warren이 Warrem으로 작성되어 있다).
이렇게 누군가로 가장하는 방식의 공격은 시간만 조금 들이면 누구나 해낼 수 있다. 이것보다 조금 더 어려운 공격이 바로 계정을 하이재킹하는 것으로, 어려운 대신 결과가 빨리 나온다. 이는 무작위의 가상 인물로 가장하는 게 아니라, 아예 공격대상의 계정을 중간에서 가로채 그 사람인 척 활동하는 것이다. 공격을 하고자 하는 바로 그 인물이 되는 것이기 때문에 중요한 정보가 빨리 나온다. 친한 동료에게 암호를 메신저로 묻고 취득했던 사례도 있다.
가상의 인물을 가장한 공격이든 하이재킹이든, 어느 정도 단계에 다다르면 공격자들은 멀웨어나 피싱 링크를 메시지로 보내기 시작한다. 네트워크에 연결된 시스템의 크리덴셜/로그인 정보를 훔쳐내기 위해서다. 이는 탐지가 어려운데, 소셜 네트워크 대부분이 URL 단축 기법을 적용하기 때문이다. 여기까지 성공하면 이미 공격자는 네트워크의 여러 시스템에 깊숙이 들어와 있다고 보면 된다.
그렇다면 어떻게 해야 소셜 미디어를 통한 공격을 미리 막거나 피해를 최소화할 수 있을까? 다음과 같은 몇 가지 방법들이 있다.
1. 기업의 소셜 미디어 운영 현황을 전부 파악하라. 어떤 페이지/사이트가 있는지, 누구 이름으로 만들어진 계정인지, 직원 중 누가 운영에 관여하는지 등 꼼꼼하게 말이다.
2. 기업의 소셜 미디어를 운영하는 직원들이 누구이며 각각 어느 정도의 권한을 가지고 있는지 파악하고 문서화한다. 또한, 기업의 소셜 미디어라면 암호가 강력해야 하고 2중 인증을 활용해야 한다.
3. 평소 기업 페이지를 자주 방문하거나 친화적인 모습을 보이는 사람들을 잘 관찰하고 프로파일링한다.
4. 소셜 미디어를 통해 들어오는 악성 URL 등을 탐지하기 위한 솔루션을 네트워크 외곽 보안에 적용해야 한다. 방화벽, 침투 탐지, 멀웨어 보호 시스템, 프록시, 관리 시스템의 보안은 특히 신경써야 한다.
5. 대응에 대한 계획도 미리 짜여 있어야 한다. 수상한 것이 탐지되었다면 곧바로 행동을 취할 수 있어야 한다.
글 : 마이크 라고(Mike Raggo)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)