국가에 있어 안보는 가장 필수적이며 최전방의 영역입니다. 그런데 이제 국가 안보는 비단 힘의영역으로만 여길 수는 없는데요. 바로 빅데이터와 정보통신기술이 전 세계 흐름을 주도하고 있기 때문입니다. 이에 따라 각국은 IT 기술 패권은 물론 데이터 패권까지를 국가 안보의 핵심으로 삼고 사이버리스크를 최소화하기 위해 노력을 하고 있습니다.
실제로 최근의 사이버공격 사례만 검색 해보아도, 얼마나 수많은 사이버리스크가 사회 전반에 잔존하고 있는 지를 알 수 있는데요.
사이버공격을 일삼는 주체는 개인을 넘어 단체가 되었고, 그 수단과 타겟, 목표 등은 걷잡을 수 없이 그 폭이 넓어지고 있습니다. 갈수록 다양해지는 사이버공격 수법들. 우리들은 사이버리스크를 최소화하기 위해서는 어떠한 조치를 취해야 할까요?
다중 인증(MFA : Multi-Factor Authentication)은 웹사이트, APP, 또는 기타 리소스에 대한 액세스 권한을 부여받기 위해 사용자가 적어도 두 가지 이상의 확인 요소를 제공해야 하는 인증 방법입니다. 다중 인증은 사용자를 확인하기 위해 추가적인 요소를 요구하며 사이버 보안을 강화하는 대표적인 방법인데요. 즉, 더 높은 수준의 보안을 제공하기 위해 사용자에게 추가 정보를 요청하는 것이죠.
하지만 이 다중인증 메커니즘을 허술하게 구현하게 되면 오히려 해커들이 우회하여 공격할 수 있는 빌미를 제공할 수 있다고 하는데요. 지난 2021년 박스(Box)f는 유명 클라우드 서비스 업체가 다중인증 시스템을 잘못 구축한 원인으로 계정 탈취 공격을 받기도 하였습니다. 공격자는 로그인 크리덴셜* 하나만으로 다중인증 메커니즘을 뚫어낼 수 있었다고 하는데요. 다중인증은 보안 전문가들이 대부분 권고하는 보안 실천 사항이지만, 빈틈 없는 구축 여부에 따라 강력한 방패가 될 수도, 또 다른 공격의 통로가 될 수도 있습니다.
*크리덴셜(Credential) : 사전적 의미는 ‘자격증명’이며, 특정인이 해당 자격을 가지고 있는 지를 증명하는 수단을 의미한다. 각종 신분증과 증명서, RF카드, 생체정보, 스마트폰, 비밀번호 등에 이르기까지 다양하다.
사기 송금 이메일 역시 사이버공격 테러 방식 중 유의해야 하는 부분입니다. 빅데이터를 일정 기간 이상 수집하여 결제 처리 방식을 알아내는 등 다양하게 정보를 수집하여 핵심 인력의 이메일과 결제 프로세스를 해킹, 업체와 대금을 받을 계좌를 도용하는 수법이 대표적인데요.
특히 이메일을 활용하여 무역 사업을 하는 기업들의 이메일을 해킹해 국내/외 거래처 임직원이 소통하는 이메일을 오랫동안 모니터링한 뒤 중요한 거래가 발생할 때 대금 지급 계좌를 변경하는 등의 피싱 이메일을 발생하는 ‘이메일 무역 사기’는 지속적으로 발생하는 사기 수법으로 코로나19 팬데믹과 언택트 거래가 일상이 되면서 더욱 기승을 부리고 있기도 하여 주의가 필요합니다
단체의 거래나 국가가 타겟이 되기도 하지만, 특정 인물을 표적으로 삼는 케이스도 있습니다. 주변인의 메일과 연락처에 흡사한 정보를 활용하여 신원을 도용하는 것인데요. ‘스피어피싱*’의 범주에도 속하는 이 방법은 개인의 정보를 미리 알아내서 의심을 막을 맹점을 찾고 이를 작살(Spear)로 찍듯 공략하는 해킹 방법입니다.
특히 이 스피어피싱은 평소에 자주 주고 받는 메시지를 쉽게 믿는 인간의 본성을 악용하고 맹점을 표적으로 하기 때문에 피하기가 더욱 어려운데요. 친구/가족/교류 단체 등의 이메일 주소를 도용해 문체를 비슷하게 따라하면서 사진이나 첨부파일을 다운로드 하거나 열도록 유도하면 이를 의심할 생각을 못한 채 피해를 보는 경우가 많은 것입니다.
이를 예방하기 위해서는 첨부파일을 열어보라고 지시하거나, 비밀번호나 개인정보를 입력하라는 등의 이메일을 받게 되면 상대방의 이메일 주소를 다시 정확하게 확인해보고 직접 전화 통화를 하여 진위 여부를 확인하는 습관을 들이는 것이 필요합니다.
*스피어피싱(Spear-Phishing) : 불특정 다수의 개인정보를 빼내는 피싱과 달리 특정인을 타겟으로 하여 정보를 탈취하는 것을 뜻한다.
이 밖에도 사용자에게 링크 클릭을 유도하는 사이버공격 수법이 있는데요. 이메일주소나 도메인을 도용하거나 비슷하게 만들어 링크 클릭을 하도록 합니다. 혹은 악성 앱을 추가하도록 하여 인증요청 정보를 탈취할 수 있도록 하기도 합니다. 이를 방지하기 위해서는 링크 클릭이나 인증 정보 작성 시 정확하게 도메인, 이메일 주소를 확인하는 습관을 들이고 악성 앱이나 프로그램이 PC/스마트폰 등 기기에 설치되지 않았는지 주기적인 점검을 해야 합니다.
많은 기업이 현재도 다크웹, 피싱으로 인한 은행 송금 사기, 사이버 정보 침해 등으로 인한 사이버리스크에 대해 손상을 받고 있습니다. 그렇기에 ‘사이버보안’은 국가, 기업, 개인에 이르기까지 절대적인 중심이 되고 있는 것인데요. 사이버보안의 중요상이 갈수록 중요해지는 4차 산업 시대! 정보 보안에 대한 중요성을 다시 상기하고 데이터를 빈틈없이 관리를 하시기 바랍니다.
전문적인 네트워크 보안 관제와 보안솔루션이 필요하다면! 18년차 데이터센터 운영 업체 이호스트IDC에 전문상담을 신청해보세요. 성심껏 니즈에 부합하는 솔루션을 제공하겠습니다.
'[IT 알아보기] > IT 카드뉴스' 카테고리의 다른 글
더욱 행복해지는 우리 패밀리! 가족을 위한 IT 기술 제품&서비스 모음.ZIP (0) | 2022.11.02 |
---|---|
‘꿈의 직장’ 출현? IT 네트워크 분야의 떠오르는 新직업들 알아보기 (0) | 2022.11.02 |
부동산도 IT기술을 입고 발전 중! 프롭테크 뜻과 개념(PropTech) (0) | 2022.11.01 |
엔데믹 시대의 유통 산업 모습, ICT기술이 결합되다! 리테일 테크(Retailtech) (0) | 2022.11.01 |
컬러로 알아보는 생명공학 바이오테크(Bio-Tech) 기술의 세계 (0) | 2022.11.01 |