사이버 공격이 발생한 후에 경영진과 대화를 해보면 "왜"라는 질문에 답을 찾기 위해 성찰하며 탐색하는 반응을 가장 먼저 보이는 경우가 많습니다. 왜 사이버 행위자가 나, 우리 조직, 이 문화를 공격하기로 결정했을까? 사실 그 이유를 이해하기란 어려운 일입니다. 물론 금전적인 이득, 지적재산권 탈취, 산업 스파이, 사보타주, 개인적인 명성, 정치적 활동 등 일반적인 동기는 많습니다. 하지만 왜 나를? 왜 우리를 공격할까요?
대부분의 사이버 공격에서 첨단 컴퓨터 과학이나 양자역학을 특별히 정교하게 사용하지는 않습니다. 진짜처럼 보이게 만들거나 감정을 파고드는 능력은 뛰어날 수도 있습니다. 하지만 실제로 사이버 공격은 엉성한 조립 라인의 일부로 볼 수 있으며, 우리 조직은 단지 그 끝없는 공정 속 마지 막 표적이었을 수도 있습니다.
보고에 따르면 보통 사이버 공격 10건 중 9건이 입히는 피해의 근본 원인은 피싱입니다. 쉽게 말해 피싱이란 다른 사람으로 하여금 어떠한 행동을 하도록 유도해 원치 않는 피해를 입히려는 시도입니다. 피싱 공격은 구성하기도 쉽고 비용 효율적이며 효과가 좋습니다. 공격자가 피싱 캠페인을 시도하려면 이메일 주소로 나타낸 인간 표적이 필요합니다. 공격자는 이메일 주소를 획득해 데이터베이스에 로드한 다음, 공격을 전송하기 시작합니다. 목표는 클릭하게 만드는 것입니다.
피싱에서는 표적 하나를 노리기보다는 양으로 승부합니다. 공격 데이터베이스에 저장되는 순간, 공격 행위자나 조직화된 그룹에서 시도하는 피싱 캠페인의 영원한 표적이 됩니다. 제가 국가안보국(National Security Agency)에서 겪었던 경험, 팀에서 다른 국가나 범죄 조직 등을 조사한 결과를 보면 사이버 행위자는 조립 라인 방식으로 진화하고 있습니다. 표적 설정, 착수 및 실행, 기술적인 악용 방법, 표적 겨냥 활동, 분석, 캠페인 이후 악용 활동을 개별적인 팀에서 맡습니다. 특히 공격자가 성공을 거두는 경우, 이 조립 라인을 최적화하기도 점점 쉬워집니다.
Cloudforce One 팀은 비교적 간단한 피싱 캠페인으로도 여러 조직에 얼마나 심각한 장기 손해를 끼칠 수 있는지 방대한 연구를 진행했 습니다. 우리는 2016년 미국 대통령 선거 다음날 러시아 스파이 그룹(RUS2)이 정치 단체를 겨냥하여 개시한 공격 캠페인을 조사했습니다.
표적 데이터베이스를 복원한 결과, 피싱 표적에는 현직 정부 공무원뿐 아니라 전직 공무원과 정치 관계자도 포함되어 있었습니다. 표적이 된 개인들은 직업을 바꾼 후로도 오랫동안 개인 이메일 주소로 피싱 이메일을 받았습니다. 2016년 공격 당시 거의 10년 가까이 이 데이터베이스에 저장되어 있었던 사람들도 있으며, 오늘까지도 계속 표적이 되고 있습니다.
이 점이 무엇보다 중요합니다.
이미 피싱에 노출된 이름, 전화번호, 이메일 주소는 피싱 데이터베이스에 영구적으로 보관됩니다. 이메일이 반송되든 수신인이 미끼를 물지 않든 공격자는 굳이 데이터베이스를 청소하지 않습니다. 한 번 피싱 공격의 표적이 되면 영원한 표적이 될 수도 있는 것입니다.
기업과 정부 기관의 경우 연락처 정보가 피싱 데이터베이스에 영구적으로 저장되면 또 다른 위험이 생길 수도 있습니다. 표적이 된 개인이 직업을 바꾸면 새로운 조직이 위험해지고, 그 조직의 네트워크에 새로운 위험 경로가 열리게 됩니다.
피싱의 단순함과 효과를 고려할 때, 효과가 있기 때문에 사이버 공격자가 이러한 전술을 당분간 포기할 가능성은 없다고 봐야 합니다. 시도 자체를 막을 방법 은 거의 없습니다. 하지만 피싱이 성공하지 못하게 막을 수는 있습니다.
피싱 위험은 항상 존재하며, 모두가 잠재적인 피싱 진입점이라고 가정해야 합니다.
지난 20년 동안 국가안보국(National Security Agency)과 미국 사이버사령부(National Security Agency)에서 일하면서 피싱 공격을 예방할 기술을 개발하는 일을 맡았던 제 경험에 비추어 볼 때, 피싱 공격의 영향을 완화하기 가장 좋은 방법은 Zero Trust 보안 전략을 도입하는 것입니다. 전통적인 IT 네트워크 보안 방식은 네트워크 안에 존재하는 모두를, 모든 것을 신뢰합니다. 네트워크에 액세스할 수 있는 권한을 얻은 개인이나 기기는 기본적으로 신뢰하는 것입니다.
하지만 Zero Trust에서는 누구도, 무엇도 신뢰하지 않습니다. 어느 누구도 아무 규제 없이 네트워크 내 모든 앱이나 기타 리소스에 액세스할 수 있도록 신뢰하지 않습니다.
최선의 Zero Trust 접근법은 다중 계층 방식입니다. 예를 들어, 1차 방어선으로 피싱 인프라를 선제적으로 추적하여 피싱 캠페인을 차단하면 사용자가 텍스트나 이메일의 악성 링크를 클릭할 상황 자체를 만들지 않을 수 있습니다. 또한, 멀티 팩터 인증(MFA)과 하드웨어 기반 보안을 조합해 공격자가 사용자 이름과 암호에 접근할 수 있는 경우에도 네트워크를 보호할 수 있습니다. '최소한의 권한' 원칙을 적용하면, MFA 컨트롤을 통과한 해커라고 해도 접근할 수 있는 앱이 매우 제한되도록 할 수도 있습니다. 마이크로 세그멘테이션을 이용해 네 트워크 파티션을 구성하여 데이터 침해를 조기에 격리하는 방법도 있습니다.
Cloudflare는 작년에 다중 계층 Zero Trust 접근법의 일환으로 하드웨어 보안 키와 함께 MFA를 이용해 피싱 공격을 방어한 경험이 있습니다. 여러 직원이 문자 메시지를 받으면서 이 공격이 시작되었습니다. 문자 메시지는 진짜처럼 보이지만 자격 증명을 탈취할 용도로 만들어진 Okta 로그인 페이지로 연결되었습니다. 공격자는 이렇게 탈취한 자격 증명과 시간 기반 일회용 암호(TOTP) 코드를 이용해 Cloudflare 시스템에 로그인하려고 했습니다. 직원이 인증 프로세스에 참여하도록 유도하는 공격이었습니다. 이 공격자에게는 안타까운 일이지만, Cloudflare는 이미 TOTP에서 하드 키로 전환한 상태였습니다.
하드 키를 도입하지 않았더라도 다른 보안 수단들이 공격이 목표에 도달하지 못하도록 막았을 테지만 다행히 위협이 그렇게까지 진행되지는 못했습니다. 보안 인시던트 대응 팀은 가짜 로그인 페이지의 도메인 액세스를 기민하게 차단하고, Cloudflare의 Zero Trust 네트워크 액세스 서비스를 이용해 활성 상태로 손상된 세션을 종료했습니다. 공격자가 어떻게든 악성 소프트웨어를 설치하는 단계까지 도달했더라도 Cloudflare의 엔드포인트 보안 기능이 설치를 막았을 것입니다. 이 같은 다중 계층 전략을 이용하면 공격의 한 부분이 성공하더라도 공격 자체로 막대한 손해를 입는 일은 막을 수 있습니다.
사이버 공격은 아주 빠르게 진행되지만 똑바로 확인할 수만 있다면 따라갈 수 없을 정도는 아닙니다.
피싱의 성공을 어떻게 막아야 할까요?
먼저, 강력한 피싱 방지 제어 기능을 갖추어야 합니다. 모든 MFA 제어가 같은 수준의 효과를 보이는 것은 아닙니다. 피싱 방지 MFA를 도입하고, ID 및 컨텍스트 중심의 정책을 이용하는 선별 시행 기능을 구현하세요. 모든 사용자, 모든 애플리케이션, 기존 시스템과 비-웹 시스템까지, 모든 것에 강력한 인증을 실시하세요. 끝으로, 조금이라도 의심스러운 부분이 있으면 바로, 자주 보고하는 편집증적이면서 비난으로부터 자유로운 문화를 조성하여 모든 직원이 "사이버 팀"이 되도록 하세요.
피싱을 방지할 수 있는 방법은 별로 없지만, 피해를 예방할 방법은 많습니다. Zero Trust 접근법을 구현하면 다음에 피싱 조립 라인이 대량으로 이메일을 뿌려대더라도 아무런 피해도 입지 않을 수 있습니다. 다중 계층화된 Cloudflare Zero Trust 플랫폼에 대해 자세히 알아보세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Oren Falkowitz - @orenfalkowitz
Cloudflare 보안 책임자
이 글을 읽고 나면 다음을 이해할 수 있습니다.
탈취된 개인 정보는 공격자의 데이터베이스에 무기한으로 보관됩니다
피싱 공격은 엉성한 조립 라인의 일부입니다
피싱을 방지할 수 있는 방법은 별로 없지만, 피해를 예방할 방법은 많습니다.