Thursday, July 16, 2020

트위터도 무력화시키는 소셜 엔지니어링(Social Engineering) 공격

▶ 업데이트

✓ (08/18/2020) 트위터 해킹 범인이 잡혔다. 플로리다 거주 17세 청년과 플로리다 출신 공범 22세, 영국 거주 공범 19세.
✓ (07/18/2020) 이번 트위터 해킹이 특정 국가 지원이나 해커 집단이 아닌 10~20대 해커들이라는 NYT 기사.
✓ 이들이 사용했던 메신저는 디스코드(Discord)는 원래 게임에 사용하기 위해 만들어졌다. 보이스 채팅 중심이었지만 텍스트 채팅과 정보 공유, 관리 기능 등을 통해 게이머들에게 인기다. 사이버 범죄자들에게도 인기라서 텔레그램이나 왓츠앱과 비교해 9배나 빠르게 다크웹 사용자들이 가입하고 있다고 한다.

* 관련 기사

- 유명 트위터 해킹범 잡았다…범인은 17세 소년 (지디넷) 
- “트위터 해킹은 10∼20대 소행”…NYT, 해커들과 메신저 인터뷰 (연합뉴스)
다크웹이 되어가는 인스턴트 메시지 플랫폼, 텔레그램과 디스코드 심각 (보안뉴스)

---

2020년 7월 15일, 버락 오마바(Barrack Obama), 빌 게이츠(Bill Gates), 워렌 버핏(Warren Buffett), 조 바이든(Joe Biden), 제프 베이조스(Jeff Bezos), 일론 머스크(Elon Musk) 등 유명인과 애플, 우버 등의 회사 트위터 계정이 동시다발로 해킹당하는 사건이 발생했다. 유명인들이 30분 안에 1,000달러를 비트코인으로 입금하면, 두 배로 돌려주겠다고 했으니 속는 사람이 많았다. 블룸버그는 해당일 약 11만 달러가 해당 비트코인 지갑으로 송금됐다고 보도했다.

* 기사 참조: 트위터 해킹, 내부 직원 노린 '사회공학 공격'…후폭풍 거셀 듯 (연합뉴스)



소셜 엔지니어링(Social Engineering) 공격은 한글로 '사회공학'으로 번역되기도 한다. 보통 사이버보안에서는 기술적인 방법이 우선시 되는데, 이 사회공학 기법은 사람을 대상으로 한다. 즉, 기술적인 방법이 아니라 사람 간의 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하거나, 보안을 무력화시키는 공격 기법이다.

이 분야에서 전설적인 해커인 '캐빈 미트닉(Kevin Mitnick, 별명: 콘도르)과 수잔 헤들리(Susan Headley, 혹은 Susy Thunder)'가 유명하다. 케빈 미트닉은 워낙 유명해서 '테이크다운(Takedown)'이란 영화도 만들어졌다. 이 영화는 당시 샌디에이고 슈퍼컴퓨터센터에서 일하던 '츠토무 시모무라(Tsutomu Shimomura)'와의 실제 대결을 소재로 제작되었다. 케빈 미트닉은 시모무라의 도움으로 FBI 체포되어 감옥에서 복역했지만, 이후 출소하여 보안 컨설팅 회사를 세운다. 관련해서 '해킹, 속임수의 예술(The Art of Deception)'이란 책도 썼다.

최근에는 코로나 바이러스(코로나19, COVID-19) 사태를 악용한 소셜 엔지니어링 공격이 많아졌다. 이메일을 통한 피싱(Phishing), 휴대폰 문자를 이용한 스미싱(Smishing=SMS+Phishing), 비싱(Vishing=VoIP+Phishing) 등이 모두 소셜 엔지니어링 공격에 해당한다.

예를 들면, 코로나 경기 부양 지원금 관련 이메일을 보내며 돈을 줄 테니 개인 정보를 입력하고, 수령자에 해당하는지 확인하도록 유도하는 식이다. 어려운 상황에서 사람들이 클릭하지 않을 수 없게 만드는 사람의 심리를 교묘하게 이용한다.

트위터는 중간 조사 결과 발표에서 "내부 시스템 및 도구 접근 권한을 가진 일부 직원을 대상으로 한 조직적인 '소셜 엔지니어링 공격'으로 생각되는 것을 발견했다"고 밝혔다. 현재까지 나온 외신들의 보도를 종합해 보면, ‘트위터 임직원의 계정 탈취를 통한 백엔드 접근’이 가장 유력한 시나리오로 추정한다.

문제는 해커들에게 관리자 권한이 털렸을 뿐만 아니라, 이 관리자 권한으로 사용자 계정에 마음대로 글을 쓸 수 있다는 사실이다. 일반적인 보안 권한은 관리자 권한이라 하더라도 사용자 글을 수정할 수 없도록 해야 한다.

올해 2월에 샌프란시스코에서 열린, 세계 최대 보안 콘퍼런스인 RSA 2020의 주제는 '인간 요소(Human Element
)'였다. 사이버보안 분야에서 사람의 중요성이 무엇보다 크다는 뜻이다.



클라우드, IoT 디바이스의 증가와 더불어 통제할 수 없는 부분이 점점 더 많아지고 있고, 통제할수록 비용도 증가하기 때문이다. 즉, 사이버보안의 근본은 사람을 보호하는 것임을 인식하고 증가하는 보안 위협과 소셜 엔지니어링 공격 대응을 위한 기술 발전의 중심에 사람이 있음을 강조한 것이다. 1,000명의 사람에게 의심스러운 링크를 클릭하지 말라고 해도, 한 명이 클릭하면 수많은 투자를 해서 구축한 보안 시스템들이 무력화되기 때문이다. 이제는 이용자가 악성 링크를 클릭하지 않도록 하는 통제식 보안이 아닌, 클릭해도 상관없는 보안 모델로 전환해야 한다.

* 기사 참조: [RSA 2020]통제의 보안 시대 '끝'...협업과 설계 단순화가 '열쇠' (전자신문)

이런 이유로, 기술의 수준 향상도 중요하지만, 공유와 협력이 중요한 가치로 인식되고 있다. IT팀과 보안팀의 협업, 민·관의 협업 체계 구축이 강조되는 이유다. 사이버 회복력(Cyber Resilience)을 강화해야 하는데 이는 협업을 통해서 가능하다. 요약하면, 하나가 아닌 모두를 위한 보안, 기술만이 아닌 사회, 조직, 내부 문화가 모두 변해야 사이버보안이 진화할 수 있다.

함께 읽어보면 좋은 관련 글: 2020년 사이버보안 트렌드



No comments:

Post a Comment