블로그

신원 도용: 당신이 생각하는 것보다 더 심각한 위협

쿠나 널라판 썸네일
쿠나 날라판
2015년 12월 27일 게시

아시아의 금융 서비스 산업은 가장 엄격하게 규제되는 부문 중 하나이며, 규정 준수는 종종 보안을 보장하는 한 형태로 홍보됩니다. 그러나 규정 준수는 보안의 단일 측면일 뿐입니다. 다양한 규정은 광범위한 문제를 다루지만, 단순히 규정 준수를 위한 솔루션이나 장치를 구현하는 것만으로는 충분하지 않습니다.

아시아 태평양 지역에서 모바일 기기의 보급이 확대되고 인터넷 뱅킹이 증가함에 따라 사이버보안 위협도 점점 더 정교해지고 있습니다. 그러나 텔스트라의 모바일 신원 연구 에 따르면 금융 서비스 임원의 62%가 신원과 보안에 충분히 투자하지 않았다고 밝혔습니다. 소비자의 절반도 안 되는 사람들이 금융 기관의 보안 성과에 만족하고 있는데, 3분의 1 이상이 신원 도용을 경험했기 때문이다.

JP Morgan 데이터 유출 사건과 작년에 한국 은행들이 겪은 대규모 신용카드 유출 사건 , 그리고 2014년에 피해자들의 신원 사기로 인해 160억 달러가 도난당한 사건 과 같은 신원 도용 사례가 늘어나면서, 신원 도용은 금융 서비스 부문에 대한 더욱 강력하면서도 여전히 과소평가된 위협이 되고 있습니다.

공격 표면의 증가와 정교함

공격 표면이 늘어나고 공격 도구가 정교해지면서 사이버 범죄자들 사이에서 신원 도용이 흔해졌습니다. 오늘날 사이버 공격은 다양한 경로를 통해 이루어집니다. 예를 들어, 많은 금융 서비스 기관에서 직원의 개인 기기가 회사 네트워크에 액세스하도록 허용함에 따라 BYOD(Bring Your Own Device)를 통해 사이버 범죄자는 모바일 기기를 통해 조직 직원의 자격 증명을 활용하여 정보를 숨기고, 퍼뜨리고, 훔칠 수 있습니다.

또 다른 벡터는 신원이 빠르게 도용되는 안전하지 않은 공개 웹 애플리케이션일 수 있습니다. 여기에는 ShellshockHeartbleed 와 같이 작년에 헤드라인을 장식했던 제로데이 취약점이 포함됩니다. 조직이 취약점을 패치하는 데 느리거나 웹 애플리케이션을 보호하는 데 적합한 기술이 부족한 경우에만 해당됩니다. 사이버 범죄자들이 통제권을 확보하면 데이터를 훔치는 것부터 서버를 이용해 봇넷 공격을 감행하는 것까지 원하는 것은 무엇이든 할 수 있습니다.

이 확장된 '놀이터'는 사이버 범죄자들이 로그인 자격 증명을 훔칠 수 있는 방법에 있어서 더 많은 옵션을 갖게 되었고, 더 이상 키로깅 소프트웨어나 데이터베이스 침해에 의존할 필요가 없고 단순히 웹 주입을 사용할 필요가 있다는 것을 의미합니다.

예를 들어, 사용자가 귀하의 인터넷 뱅킹 계좌에 로그인할 때, 기술에 능숙한 사용자와 그렇지 않은 사용자 모두를 속이기 위해 귀하의 ATM PIN(현금 자동 입출금기 개인 식별 번호)을 사용하여 합법적인 것처럼 보이는 추가 필드를 웹 페이지에 삽입할 수 있습니다. 이런 일이 일어나는 동안 맬웨어는 호스트 웹 애플리케이션에서는 보이지 않는 백그라운드에서 'Man-in-the-Browser' 공격을 실행할 수 있습니다.

공격 벡터가 증가하는 것 외에도 오늘날 맬웨어와 트로이 목마는 모바일 뱅킹 애플리케이션을 통해 로그인 자격 증명을 훔쳐 은행과 기타 금융 서비스 기관의 자금에 접근할 수 있는 기능을 갖추고 있습니다. 사이버범죄자들은 은행 애플리케이션과 유사한 모바일 애플리케이션을 간단히 만들고, 스피어피싱을 사용해 로그인 자격 증명을 훔칠 수 있습니다. Dyre나 Dyreza와 같은 일부 맬웨어는 기업의 은행 계좌를 직접 공격하여 아무것도 모르는 회사로부터 100만 달러가 넘는 돈을 훔쳤습니다.

계층적 방어, 사전 예방 및 강력한 모바일 정책으로 위협에 대처하세요

2015년 상반기에 발생한 보안 침해의 대부분이 내부자 위협으로 인한 것이었기 때문에 오늘날 빠르게 움직이는 사이버 범죄자들의 속도에 발맞추는 것이 그 어느 때보다 중요하며, 기업에서는 인터넷에 연결된 애플리케이션을 보호하기 위해 필요한 조치를 구현해야 합니다. 사이버 범죄자들은 네트워크에 침투할 기회를 늘 찾고 있기 때문에 이는 사이버 범죄자들의 자연스러운 접근 채널이므로 우선순위 목록의 맨 위에 있어야 합니다. 중요한 점은, 탈옥 장치 역시 사용하지 않도록 해야 한다는 것입니다. 이는 사이버범죄자들이 네트워크에 접속할 수 있는 또 다른 수단을 제공하기 때문입니다.

첫째, 적절한 기술을 활용한 심층적인 방어 전략이 필수입니다. 많은 사람이 오해하는 일반적인 생각은 방화벽과 같은 기술을 사용하면 조직의 네트워크를 보호하는 데 충분하다는 것입니다. 하지만 오늘날에는 더 이상 사실이 아닙니다. 조직에서는 웹 애플리케이션 방화벽과 같은 다른 기술을 고려해야 합니다. 웹 애플리케이션 공격은 특정 애플리케이션을 대상으로 조정되고 생성되는 경우가 많으며, 기존의 보안 조치로는 간과됩니다.

침해가 발생한 후 문제를 해결하는 복구 조치가 역할을 하기는 하지만, 네트워크를 보호하기 위해 사전 조치를 취하는 것이 더 중요합니다. 복구 시나리오는 본질적으로 반응적이며, 법의학 팀은 침해 원인을 추적하고 보고서를 제공하며 사고 후 복구 작업을 수행합니다. 반면에 조직을 사전에 보호하더라도 모든 공격을 100% 막을 수는 없습니다. 하지만 이를 100%에서 더 낮은 비율로 줄일 수 있다면 여전히 성공적인 것으로 간주해야 합니다.

마지막으로, 안주에 맞서 싸우고 "나한테는 일어나지 않을 거야"라는 태도를 버려야 합니다. 이웃이 공격을 받는 것을 보면서도 자신은 운이 좋을 거라고 생각하는 태도입니다.

조직에서는 모바일 기기를 취급하는 방법에 대한 지침, 원칙, 관행을 정의하는 모바일 기기 보안 정책을 수립해야 합니다. 이는 회사가 발급한 것이든 개인이 소유한 것이든 마찬가지입니다. 이러한 정책에는 역할 및 책임, 인프라 보안, 장치 보안, 보안 평가와 같은 분야가 포함되어야 합니다.

조직에서는 보안 정책을 수립함으로써 무선 네트워크의 보안을 지원하는 관행, 도구 및 교육을 적용할 수 있는 프레임워크를 만들 수 있습니다. 직원에게 모바일 보안 정책에 대한 교육을 실시하면 조직에서 모바일 기기를 안전하고 적절하게 구성, 작동 및 사용하는 데 도움이 됩니다.