다크웹 포럼에서 일반 직원들 고용해 악성 내부자로 둔갑시켜
금융 산업에서 먼저 소란 일어나고 다른 산업으로 퍼질 듯
[보안뉴스 문가용 기자] 사이버 범죄자들이 기업들의 직원들을 직접 ‘고용’하기 시작했다. 익명성을 보장해주면서 일반 직원들을 악성 내부자로 둔갑시키고 있는 것이다. 이러한 작업은 현재 다크웹에서 진행되고 있으며 데이터 보안 전문업체인 인트사이츠(IntSights)와 레드아울(RedOwl)이 다크웹을 2년 간 관찰해오다가 최근 발견한 것이다.
위 두 업체는 지난 2년 동안 사이버 범죄자들의 포럼에서 악성 내부자와 관련이 있는 내용을 약 1천 건이나 발견했는데, 2016년 말부터 이러한 사례가 급증했다고 한다. 내부자를 범죄자들이 거꾸로 고용하는 경우는 2016년 한 해 동안 두 배 가까이 늘기도 했다. 레드아울의 수석 분석가인 팀 콘델로(Tim Condello)는 이에 대해 “현재 계속해서 증가하고 있는 유행”이라고 말한다.
사이버 범죄자들이 내부자들을 고용하는 이유는 간단하다. 데이터를 훔치거나 불법 거래를 진행시키는 등의 악성 행위를 대신 시키기 위해서다. 사이버 범죄자들이 지정한 곳에 멀웨어를 심기도 한다. “해킹 범죄라고 하면 기술적으로도 뛰어난 사람이 공격하고자 하는 목표의 사정이나 인프라 구조도 잘 알고 있어야만 가능했습니다. 공격자 자신도 여러 가지 연구를 해야만 했던 거죠. 하지만 내부자를 돈 주고 고용하기 시작하면서 그럴 필요가 없어졌습니다.”
이러한 발견이 이루어지면서 ‘우리 업체는 안전하다’는 믿음이 완전히 깨지게 되었다. 이제 컴퓨터 다루는 능력이 좋든 아니든 내부 임직원 전부가 리스크 그 자체가 되어버렸기 때문이다. 특히 각종 유출 사고가 빈번히 발생함으로써 ‘기업의 데이터가 기업의 존망을 좌지우지 한다’는 사실을 일반 직원들까지 깨달으면서 이들은 오히려 회사 업무를 수행하는 사람을 넘어 데이터를 볼모로 잡고 있는 자들이 되어버렸다.
다크웹에서 찾고 있는 ‘내부자’는 크게 세 가지 유형으로 나눌 수 있다. 콘델로는 “사이버 보안 정책이나 규칙들을 잘 지키지 않는 사람, 회사에 불만을 품고 있는 사람, 아예 처음부터 업체를 해코지 하려는 목적으로 입사한 사람”이라고 설명한다. 이런 사람들이 주로 다크웹의 포럼에 가입을 시도하지만, 신청한다고 다 되는 것은 아니다. 다크웹 포럼에서도 사람을 신중히 검증하고 선택한다. 국가 정부기관과 계약을 맺으려면 온갖 배경조사를 거치는 것과 비슷하다.
“일단 범죄자들은 당신의 직급이 무엇인지, 어떤 조직의 어떤 부서에 속해 있는지, 데이터 접근 권한이 어느 정도나 되는지, 언제 어떤 방법으로 데이터를 그들에게 가져다 줄 수 있는지를 확인하고 싶어 합니다. 이런 정보를 다 제출하면, 그걸 토대로 확인 점검 기간을 갖습니다.”
내부자 고용 비율이 점점 올라가는 건 산업을 막론하고 모든 기업들의 문제다. 1인 기업 정도나 이런 현상에 안심할 수 있을까 말까 한다. 콘델로는 “그렇지만 금융 기업이 가장 큰 곤란을 겪을 것으로 예상된다”고 설명한다. “결국 내부자가 악성 내부자로 전환되고, 사이버 범죄 포럼이 자라나는 건 돈 때문이거든요. 그리고 돈은 금융 기관들에 있죠. 모든 사이버 범죄의 새 유행은 금융 산업을 거쳐서 자라납니다.”
콘델로의 말처럼 내부자를 다크웹에서 직접 고용하는 흐름은 한동안 금융 산업을 거쳤다가 다른 산업으로도 영향을 줄 것으로 보인다. 그런 과정에서 내부자를 고용하는 방법과 활용하는 방법 등이 더 갈고 닦여 성공률이 올라가고, 올라간 성공률을 보고 더 많은 범죄자들이 이 흐름에 동참하기 시작할 것이라고 전문가들은 예상하고 있다. “다크웹에서 돈이 더 많이 돌면 자발적으로 여기에 들어오는 사람도 늘어날 것입니다.”
기업 입장에서 이를 방지하려면 내부자 관리 프로그램을 운영하는 수밖에 없다. “일단 지금 다크웹의 범죄자들이 일반 직원들을 활발히 고용하고 있다는 걸 염두에 두어야 합니다. 해킹 범죄라는 게 바깥에서 얼굴 가린 누군가가 키보드 두드려서 하는 것만이 아니라는 걸 이해해야 해요. 지금 이 순간에도 회사 안에서 뭔가 일이 벌어지고 있을 수도 있습니다. 누가 어떤 데이터에 왜 접근하는지 철저히 파악하고 관리해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
금융 산업에서 먼저 소란 일어나고 다른 산업으로 퍼질 듯
[보안뉴스 문가용 기자] 사이버 범죄자들이 기업들의 직원들을 직접 ‘고용’하기 시작했다. 익명성을 보장해주면서 일반 직원들을 악성 내부자로 둔갑시키고 있는 것이다. 이러한 작업은 현재 다크웹에서 진행되고 있으며 데이터 보안 전문업체인 인트사이츠(IntSights)와 레드아울(RedOwl)이 다크웹을 2년 간 관찰해오다가 최근 발견한 것이다.
위 두 업체는 지난 2년 동안 사이버 범죄자들의 포럼에서 악성 내부자와 관련이 있는 내용을 약 1천 건이나 발견했는데, 2016년 말부터 이러한 사례가 급증했다고 한다. 내부자를 범죄자들이 거꾸로 고용하는 경우는 2016년 한 해 동안 두 배 가까이 늘기도 했다. 레드아울의 수석 분석가인 팀 콘델로(Tim Condello)는 이에 대해 “현재 계속해서 증가하고 있는 유행”이라고 말한다.
사이버 범죄자들이 내부자들을 고용하는 이유는 간단하다. 데이터를 훔치거나 불법 거래를 진행시키는 등의 악성 행위를 대신 시키기 위해서다. 사이버 범죄자들이 지정한 곳에 멀웨어를 심기도 한다. “해킹 범죄라고 하면 기술적으로도 뛰어난 사람이 공격하고자 하는 목표의 사정이나 인프라 구조도 잘 알고 있어야만 가능했습니다. 공격자 자신도 여러 가지 연구를 해야만 했던 거죠. 하지만 내부자를 돈 주고 고용하기 시작하면서 그럴 필요가 없어졌습니다.”
이러한 발견이 이루어지면서 ‘우리 업체는 안전하다’는 믿음이 완전히 깨지게 되었다. 이제 컴퓨터 다루는 능력이 좋든 아니든 내부 임직원 전부가 리스크 그 자체가 되어버렸기 때문이다. 특히 각종 유출 사고가 빈번히 발생함으로써 ‘기업의 데이터가 기업의 존망을 좌지우지 한다’는 사실을 일반 직원들까지 깨달으면서 이들은 오히려 회사 업무를 수행하는 사람을 넘어 데이터를 볼모로 잡고 있는 자들이 되어버렸다.
다크웹에서 찾고 있는 ‘내부자’는 크게 세 가지 유형으로 나눌 수 있다. 콘델로는 “사이버 보안 정책이나 규칙들을 잘 지키지 않는 사람, 회사에 불만을 품고 있는 사람, 아예 처음부터 업체를 해코지 하려는 목적으로 입사한 사람”이라고 설명한다. 이런 사람들이 주로 다크웹의 포럼에 가입을 시도하지만, 신청한다고 다 되는 것은 아니다. 다크웹 포럼에서도 사람을 신중히 검증하고 선택한다. 국가 정부기관과 계약을 맺으려면 온갖 배경조사를 거치는 것과 비슷하다.
“일단 범죄자들은 당신의 직급이 무엇인지, 어떤 조직의 어떤 부서에 속해 있는지, 데이터 접근 권한이 어느 정도나 되는지, 언제 어떤 방법으로 데이터를 그들에게 가져다 줄 수 있는지를 확인하고 싶어 합니다. 이런 정보를 다 제출하면, 그걸 토대로 확인 점검 기간을 갖습니다.”
내부자 고용 비율이 점점 올라가는 건 산업을 막론하고 모든 기업들의 문제다. 1인 기업 정도나 이런 현상에 안심할 수 있을까 말까 한다. 콘델로는 “그렇지만 금융 기업이 가장 큰 곤란을 겪을 것으로 예상된다”고 설명한다. “결국 내부자가 악성 내부자로 전환되고, 사이버 범죄 포럼이 자라나는 건 돈 때문이거든요. 그리고 돈은 금융 기관들에 있죠. 모든 사이버 범죄의 새 유행은 금융 산업을 거쳐서 자라납니다.”
콘델로의 말처럼 내부자를 다크웹에서 직접 고용하는 흐름은 한동안 금융 산업을 거쳤다가 다른 산업으로도 영향을 줄 것으로 보인다. 그런 과정에서 내부자를 고용하는 방법과 활용하는 방법 등이 더 갈고 닦여 성공률이 올라가고, 올라간 성공률을 보고 더 많은 범죄자들이 이 흐름에 동참하기 시작할 것이라고 전문가들은 예상하고 있다. “다크웹에서 돈이 더 많이 돌면 자발적으로 여기에 들어오는 사람도 늘어날 것입니다.”
기업 입장에서 이를 방지하려면 내부자 관리 프로그램을 운영하는 수밖에 없다. “일단 지금 다크웹의 범죄자들이 일반 직원들을 활발히 고용하고 있다는 걸 염두에 두어야 합니다. 해킹 범죄라는 게 바깥에서 얼굴 가린 누군가가 키보드 두드려서 하는 것만이 아니라는 걸 이해해야 해요. 지금 이 순간에도 회사 안에서 뭔가 일이 벌어지고 있을 수도 있습니다. 누가 어떤 데이터에 왜 접근하는지 철저히 파악하고 관리해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
