기술 수준은 낮지만 간과하기 쉬운 보안위협, 비주얼 해킹 예방하기
[보안뉴스= 제시카 월튼 3M 디스플레이 사업본부] 지난 1월 28일은 프라이버시 및 개인정보 보호의 중요성에 대한 인식 고취를 위해 제정한 ‘데이터 프라이버시의 날’이었다. 일반인들은 잘 모르고 그냥 지나치는 경우가 많지만, IT 및 보안 전문가들에게 이 날은 한 걸음 물러나 데이터 프라이버시와 관련한 우선순위를 다시 검토하고 간과해 왔던 위협들을 점검해 볼 기회가 생기는 날이라고 볼 수 있다.
비주얼 해킹은 기술 수준이 낮은 위협에 속하지만 그 결과는 심각하고 큰 비용을 초래할 수 있다. 올해로 10주년이 된 ‘데이터 프라이버시의 날’이 지난 시점에서 많은 조직에서 소홀히 여겨지고 있는 위협인 ‘비주얼 해킹(Visual Hacking)’에 관심을 돌려 보기로 한다.
.jpg)
비주얼 해킹은 사적인 정보나 민감한 정보 또는 기밀 정보를 몰래 훔쳐보고 무단으로 사용하는 행위를 가리킨다. 회사 통신망 접근을 위해 로그인 정보를 훔쳐보고 기억하는 것처럼 단순한 행위도 비주얼 해킹에 해당될 수 있다. 여러 현대적인 기술을 이용해 조직이나 고객의 사적인 정보를 빼내는 것도 포함된다. 사실 어디서나 비주얼 해킹의 위험이 도사리고 있다고 해도 과언이 아니다. 민감한 정보가 공개되는 곳이라면 어디든 일어날 수 있기 때문이다. 따라서 다음과 같은 사항을 주의해야 한다.
- 비주얼 해커들은 사무실에서 직원의 컴퓨터 화면에 표시된 정보나 인쇄된 문서, 회의실 화이트보드에 적힌 정보까지 노릴 수 있다.
- 비주얼 해커들은 금융기관이나 의료기관에서는 직원의 컴퓨터나 키오스크, 태블릿을 통해 접근 가능한 개인정보와 금융정보, 의료정보를 공략한다.
- 아침 통근길이나 컨퍼런스, 커피숍 등 공공장소는 물론 이동 중에도 부지불식간 비주얼 해커의 표적이 될 수 있다.
달라진 업무환경...높아진 비주얼 해킹 가능성
비주얼 해킹에 주의해야 하는 이유는 여러 환경적 요인이 작업 공간과 작업자의 비주얼 해킹에 대한 취약성을 높이기 때문이다. 사무 공간의 형태가 개방형으로 바뀌면서 데이터의 노출이 갈수록 증가하고 있는데 이는 정보를 가려 줄 자연적인 장애물이 줄었기 때문이다.
더 위험한 사실은 근무 활동 영역이 갈수록 외부로 확장되고 있다는 점이다. 인터넷과 스마트폰의 확산으로 과거에는 사무실 안에서 보호되던 민감한 정보들이 이제 지켜보는 눈들이 많은 공공장소에서도 노출될 가능성이 커지고 있는 상황이다.
그렇다면 외부에서 근무하는 경우 비주얼 해커에게 노출될 가능성은 얼마나 될까? 포네몬 인스티튜트(Ponemon Institute)가 3M으로부터 의뢰받아 올해 실시한 ‘공공장소 인터뷰 조사’에 따르면, 외부 근무자 10명 중 9명은 공공장소에서 누군가 자신의 노트북을 흘깃거리는 경험을 한 적이 있다고 답했다. 더욱 걱정스러운 것은 조사 대상의 절반 이상이 공공장소에서 근무할 때 어떤 보호조치도 취하지 않았다고 답한 사실이다. 이 조사에는 46명의 외근직 근로자가 참여했다.
내부자에 의한 비주얼 해킹 위협과 피해
비주얼 해커의 해킹 도구는 기술 발전과 함께 갈수록 진화하고 정교해지고 있다. 카메라를 장착한 스마트폰을 어디에서나 볼 수 있고, 스마트폰의 성능은 매년 향상되고 있다. 몸에 착용하는 웨어러블 기기 중에는 카메라가 포함된 것도 증가하고 있으며 점차 보편화되는 추세다. 최근 세계적으로 인기몰이를 하고 있는 드론(Drone)은 강력한 카메라를 장착해 고층 빌딩 높이를 비행하며 사진과 영상을 촬영할 수 있어 프라이버시를 위협하는 새로운 강자로 떠오르고 있다.
내부자도 조직의 최대 보안위협 중 하나일 수 있다. 조직에 의도적으로 피해를 입히고자 하는 직원이나 협력사의 직원은 당연히 비주얼 해커에 해당하지만, 정보보호에 부주의하거나 소홀한 직원도 비주얼 해커가 될 수 있다. 2015년 산스(SANS) 인스티튜트는 800여 명의 IT 및 보안 전문가들을 대상으로 비주얼 해킹에 대한 조사를 실시했다. 그결과 응답자의 84%가 내부자 공격을 경험한 적이 있다고 답했다. 또한, 응답자의 74%는 악의적이거나 부주의한 직원들로 인한 정보 유출을 우려하는 것으로 나타났다.
비주얼 해킹 예방을 위해 갖춰야 할 것들
비주얼 해킹을 예방하기 위해서는 세심하고 다각적인 프로그램이 필요하다. 또한, 강력한 비주얼 해킹 예방 프로그램은 다음과 같은 다섯 가지 핵심 요소들을 필수로 갖춰야 한다.
1. 감사부터 시작하라.
비주얼 프라이버시 감사는 위험 요소를 식별하고 조직이 갖춘 기존의 보호수단을 평가하는 데 도움이 된다. 조직의 작업공간을 조사해 보면 사람의 왕래가 잦은 지역에 모니터가 노출되어 있거나 인쇄된 민감한 문서가 있는데도 사무실 문이 잠겨 있지 않은 등 문제점을 밝혀낼 수 있다. 그러나 감사 활동에서는 건물 외부의 위험 요소들도 고려해야 한다. 예를 들면 외근직 근로자와 협력사는 조직 밖에서 민감한 정보에 접근할 수 있다.
2. 물리적 보호 수단을 활용한다.
가장 단순하고 실천하기 쉬운 방법이 조직의 비주얼 프라이버시 보호에 가장 효과적일 수도 있다. 컴퓨터, 태블릿 PC 및 스마트폰 화면에 프라이버시 필터를 장착하면 측면에서 훔쳐보는 시선을 차단할 수 있다. 사무실에서 사용하는 기기뿐만 아니라 외근직 근로자가 사용하는 기기의 화면에도 필터를 사용하는 것이 중요하다. 민감한 문서를 취급하는 공간에는 문서 파쇄기와 안전한 폐기물 보관 용기도 비치해야 한다.
3. 직원들을 위한 지침을 개발한다.
직원들은 비주얼 해커와 싸우는 가장 강력한 무기가 될 수 있다. 하지만 먼저 올바른 정책과 절차부터 확립되어 있어야 한다. 책상을 항상 깨끗이 치우는 정책은 정보 노출 위험을 줄이는 데 도움이 된다. 직원들은 민감한 정보가 당장 필요하지 않거나 자리를 비워야 할 때는 항상 문서를 따로 치워두고 화면을 꺼 두어야 한다. 행동이 의심스럽거나 제한 구역에 접근하려는 방문객을 저지하기 위한 절차도 수립해야 한다.
4. 직원들의 규정 준수를 강화한다.
어떤 조직이든 인간의 행동은 가장 바꾸기 어려운 것 중 하나다. 정책과 절차에 규정된 행동을 하도록 하기 위해서는 여러 전술이 필요하다. 산스에 따르면 내부자 방어가 부족한 조직들이 공격에 취약한 것으로 드러났다. 적절한 행동을 규정하는 훈련 뒤에는 직원들의 의식과 습관의 변화를 돕기 위한 커뮤니케이션이 뒤따라야 한다. 아울러 직원을 대상으로 비주얼 해킹 모의 시나리오를 훈련하고 정책과 절차를 준수한 직원에게는 이에 따른 혜택도 제공해야 한다.
5. 적응하고 개선한다.
비주얼 해커도 다른 해커와 마찬가지다. 끊임없이 진화하며 변화하는 보안 및 프라이버시 규준에 적응한다. 그러므로 조직의 비주얼 프라이버시 프로그램 역시 정체되지 않고 계속 개선해야 한다. 비주얼 프라이버시 감사와 조사를 지속적으로 실시해 새로운 위험을 빈틈없이 경계하고 추가적인 훈련이 필요한지 확인해야 한다. 기술동향을 주시하고 새로운 비주얼 프라이버시 위협 가능성도 배제해서는 안 된다. 새롭거나 더 나은 직원 교육 기회도 모색할 필요가 있다.
[글_ 제시카 월튼 3M 디스플레이 사업본부]
[보안뉴스= 제시카 월튼 3M 디스플레이 사업본부] 지난 1월 28일은 프라이버시 및 개인정보 보호의 중요성에 대한 인식 고취를 위해 제정한 ‘데이터 프라이버시의 날’이었다. 일반인들은 잘 모르고 그냥 지나치는 경우가 많지만, IT 및 보안 전문가들에게 이 날은 한 걸음 물러나 데이터 프라이버시와 관련한 우선순위를 다시 검토하고 간과해 왔던 위협들을 점검해 볼 기회가 생기는 날이라고 볼 수 있다.
비주얼 해킹은 기술 수준이 낮은 위협에 속하지만 그 결과는 심각하고 큰 비용을 초래할 수 있다. 올해로 10주년이 된 ‘데이터 프라이버시의 날’이 지난 시점에서 많은 조직에서 소홀히 여겨지고 있는 위협인 ‘비주얼 해킹(Visual Hacking)’에 관심을 돌려 보기로 한다.
비주얼 해킹은 사적인 정보나 민감한 정보 또는 기밀 정보를 몰래 훔쳐보고 무단으로 사용하는 행위를 가리킨다. 회사 통신망 접근을 위해 로그인 정보를 훔쳐보고 기억하는 것처럼 단순한 행위도 비주얼 해킹에 해당될 수 있다. 여러 현대적인 기술을 이용해 조직이나 고객의 사적인 정보를 빼내는 것도 포함된다. 사실 어디서나 비주얼 해킹의 위험이 도사리고 있다고 해도 과언이 아니다. 민감한 정보가 공개되는 곳이라면 어디든 일어날 수 있기 때문이다. 따라서 다음과 같은 사항을 주의해야 한다.
- 비주얼 해커들은 사무실에서 직원의 컴퓨터 화면에 표시된 정보나 인쇄된 문서, 회의실 화이트보드에 적힌 정보까지 노릴 수 있다.
- 비주얼 해커들은 금융기관이나 의료기관에서는 직원의 컴퓨터나 키오스크, 태블릿을 통해 접근 가능한 개인정보와 금융정보, 의료정보를 공략한다.
- 아침 통근길이나 컨퍼런스, 커피숍 등 공공장소는 물론 이동 중에도 부지불식간 비주얼 해커의 표적이 될 수 있다.
달라진 업무환경...높아진 비주얼 해킹 가능성
비주얼 해킹에 주의해야 하는 이유는 여러 환경적 요인이 작업 공간과 작업자의 비주얼 해킹에 대한 취약성을 높이기 때문이다. 사무 공간의 형태가 개방형으로 바뀌면서 데이터의 노출이 갈수록 증가하고 있는데 이는 정보를 가려 줄 자연적인 장애물이 줄었기 때문이다.
더 위험한 사실은 근무 활동 영역이 갈수록 외부로 확장되고 있다는 점이다. 인터넷과 스마트폰의 확산으로 과거에는 사무실 안에서 보호되던 민감한 정보들이 이제 지켜보는 눈들이 많은 공공장소에서도 노출될 가능성이 커지고 있는 상황이다.
그렇다면 외부에서 근무하는 경우 비주얼 해커에게 노출될 가능성은 얼마나 될까? 포네몬 인스티튜트(Ponemon Institute)가 3M으로부터 의뢰받아 올해 실시한 ‘공공장소 인터뷰 조사’에 따르면, 외부 근무자 10명 중 9명은 공공장소에서 누군가 자신의 노트북을 흘깃거리는 경험을 한 적이 있다고 답했다. 더욱 걱정스러운 것은 조사 대상의 절반 이상이 공공장소에서 근무할 때 어떤 보호조치도 취하지 않았다고 답한 사실이다. 이 조사에는 46명의 외근직 근로자가 참여했다.
내부자에 의한 비주얼 해킹 위협과 피해
비주얼 해커의 해킹 도구는 기술 발전과 함께 갈수록 진화하고 정교해지고 있다. 카메라를 장착한 스마트폰을 어디에서나 볼 수 있고, 스마트폰의 성능은 매년 향상되고 있다. 몸에 착용하는 웨어러블 기기 중에는 카메라가 포함된 것도 증가하고 있으며 점차 보편화되는 추세다. 최근 세계적으로 인기몰이를 하고 있는 드론(Drone)은 강력한 카메라를 장착해 고층 빌딩 높이를 비행하며 사진과 영상을 촬영할 수 있어 프라이버시를 위협하는 새로운 강자로 떠오르고 있다.
내부자도 조직의 최대 보안위협 중 하나일 수 있다. 조직에 의도적으로 피해를 입히고자 하는 직원이나 협력사의 직원은 당연히 비주얼 해커에 해당하지만, 정보보호에 부주의하거나 소홀한 직원도 비주얼 해커가 될 수 있다. 2015년 산스(SANS) 인스티튜트는 800여 명의 IT 및 보안 전문가들을 대상으로 비주얼 해킹에 대한 조사를 실시했다. 그결과 응답자의 84%가 내부자 공격을 경험한 적이 있다고 답했다. 또한, 응답자의 74%는 악의적이거나 부주의한 직원들로 인한 정보 유출을 우려하는 것으로 나타났다.
비주얼 해킹 예방을 위해 갖춰야 할 것들
비주얼 해킹을 예방하기 위해서는 세심하고 다각적인 프로그램이 필요하다. 또한, 강력한 비주얼 해킹 예방 프로그램은 다음과 같은 다섯 가지 핵심 요소들을 필수로 갖춰야 한다.
1. 감사부터 시작하라.
비주얼 프라이버시 감사는 위험 요소를 식별하고 조직이 갖춘 기존의 보호수단을 평가하는 데 도움이 된다. 조직의 작업공간을 조사해 보면 사람의 왕래가 잦은 지역에 모니터가 노출되어 있거나 인쇄된 민감한 문서가 있는데도 사무실 문이 잠겨 있지 않은 등 문제점을 밝혀낼 수 있다. 그러나 감사 활동에서는 건물 외부의 위험 요소들도 고려해야 한다. 예를 들면 외근직 근로자와 협력사는 조직 밖에서 민감한 정보에 접근할 수 있다.
2. 물리적 보호 수단을 활용한다.
가장 단순하고 실천하기 쉬운 방법이 조직의 비주얼 프라이버시 보호에 가장 효과적일 수도 있다. 컴퓨터, 태블릿 PC 및 스마트폰 화면에 프라이버시 필터를 장착하면 측면에서 훔쳐보는 시선을 차단할 수 있다. 사무실에서 사용하는 기기뿐만 아니라 외근직 근로자가 사용하는 기기의 화면에도 필터를 사용하는 것이 중요하다. 민감한 문서를 취급하는 공간에는 문서 파쇄기와 안전한 폐기물 보관 용기도 비치해야 한다.
3. 직원들을 위한 지침을 개발한다.
직원들은 비주얼 해커와 싸우는 가장 강력한 무기가 될 수 있다. 하지만 먼저 올바른 정책과 절차부터 확립되어 있어야 한다. 책상을 항상 깨끗이 치우는 정책은 정보 노출 위험을 줄이는 데 도움이 된다. 직원들은 민감한 정보가 당장 필요하지 않거나 자리를 비워야 할 때는 항상 문서를 따로 치워두고 화면을 꺼 두어야 한다. 행동이 의심스럽거나 제한 구역에 접근하려는 방문객을 저지하기 위한 절차도 수립해야 한다.
4. 직원들의 규정 준수를 강화한다.
어떤 조직이든 인간의 행동은 가장 바꾸기 어려운 것 중 하나다. 정책과 절차에 규정된 행동을 하도록 하기 위해서는 여러 전술이 필요하다. 산스에 따르면 내부자 방어가 부족한 조직들이 공격에 취약한 것으로 드러났다. 적절한 행동을 규정하는 훈련 뒤에는 직원들의 의식과 습관의 변화를 돕기 위한 커뮤니케이션이 뒤따라야 한다. 아울러 직원을 대상으로 비주얼 해킹 모의 시나리오를 훈련하고 정책과 절차를 준수한 직원에게는 이에 따른 혜택도 제공해야 한다.
5. 적응하고 개선한다.
비주얼 해커도 다른 해커와 마찬가지다. 끊임없이 진화하며 변화하는 보안 및 프라이버시 규준에 적응한다. 그러므로 조직의 비주얼 프라이버시 프로그램 역시 정체되지 않고 계속 개선해야 한다. 비주얼 프라이버시 감사와 조사를 지속적으로 실시해 새로운 위험을 빈틈없이 경계하고 추가적인 훈련이 필요한지 확인해야 한다. 기술동향을 주시하고 새로운 비주얼 프라이버시 위협 가능성도 배제해서는 안 된다. 새롭거나 더 나은 직원 교육 기회도 모색할 필요가 있다.
[글_ 제시카 월튼 3M 디스플레이 사업본부]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
