"직원 가장해 기밀정보 빼내려는 자 조심해야"

전 세계적으로 해킹이 큰 문제가 되고 있다. 이와 관련해 일각에서는 북한이 해킹을 하고 있다는 의혹을 제기하고 있다. 그런데 북한 역시 자신들이 해킹을 당하는 것에 대해 크게 우려하며 보안을 강화하고 있는 것으로 알려졌다.

특히 북한은 사회공학적 해킹 공격의 위험성을 인지하고 대응 방안을 교육하고 있는 것으로 확인됐다.

NK경제는 김일성종합대학출판사에서 출판한 '정보보안관리 편람'을 입수해 분석했다. 이 책은 북한 및 해외 보안 관련 논문, 서적 등을 분석해 자신들에게 필요한 부분을 발췌하고 그에 대한 해석과 결론을 수록하고 있다.

그중에는 사회공학적 공격의 위험성을 경고하는 내용도 있다. 사회공학적 공격은 사람들의 심리를 이용해 원하는 정보를 얻는 해킹 공격 기법이다. 신뢰할 수 있는 사람으로 위장해 다른 사람의 전화, 이메일, 메신저 등에 접근하는 방식으로 공격이 이뤄진다.

실제로 과거 A기업의 IT 관리자가 동생으로 부터 온 이메일에서 사진 파일을 다운로드 받았다가 해킹을 당한 사례가 있다. 해커가 IT 관리자의 주변 정보를 수집해 우선 동생의 이메일을 해킹한 후 동생을 가장해 악성코드가 담긴 이메일을 관리자에게 보냈던 것이다.

또 외교, 안보 전문가들을 대상으로 정부 기관이나 관계자를 사칭해 해킹 이메일을 전송하는 사건도 계속 발생하고 있다. 사회공학적 공격이 최근 해킹의 추세가 되고 있는 것이다. 

북한의 정보보안관리 편람은 "사회공학적 공격은 기관들의 정보 안전에 심각한 영향을 미친다. 이런 공격이 성공한 실례를 들자면 끝이 없다"며 "방화벽 같이 기술적으로 공고한 안전 장치를 해킹하는 것보다 사람들을 해킹하는 것이 훨씬 더 쉽다"고 지적했다.

편람은 사회공학적 공격에 대해 '어떤 사람에게 영향을 주어 그가 정보를 유출시키게 하거나 정보체계, 정보망, 정보자료가 비법접근되거나 비법사용되거나 혹은 비법공개되도록 그 사람을 행동하게 하는 성공적 혹은 비성공적 시도'라고 정의했다.

편람은 공격방식과 그에 따른 대응 방안에 대해서도 소개했다.

편람은 사회공학적 공격이 어떤 사람에 대한 속임수나 기만과 동의어적 관계라고 할 수 있다며 일부 악명 높은 컴퓨터 범죄자들은 실제 기술적 문제보다 사회공학에 더욱 의거해 자기들의 범죄를 계속하고 있다고 설명했다. 또 통과 암호만 누구한테 물어보면 되는데 무엇 때문에 고생스럽게 시간을 낭비하며 남의 체계(시스템)를 연구하고 스캔하며 체포될 위험을 무릅쓰는냐고 반문했다.

이처럼 거의 모든 컴퓨터 범죄자들이 기회를 노리는 기회주의자들이며 그들은 남의 시스템으로 들어가는 더 쉬운 길을 노리고 있다고 경고했다.

편람은 공격자가 사회공학적 공격이 성공하는 것에는 두 가지 요인이 있다며 '인간의 마음'과 '기업 환경'을 꼽았다.

사회공학적 공격의 희생자가 되는 것은 지능과는 아무런 관계도 없으며 인간적인 것 즉 다소 순진해서 이런 공격에 대처할 만한 마음의 준비나 훈련이 부족한 것과 전적으로 관련있다는 것이다. 또 최근 기업들의 경영 추세와 기업 환경이 인간의 심리와 더불어 사회공학에 더 좋은 기회를 주고 있다고 주장했다.

편람은 사회공학적 공격이 정보수집, 대상선정, 공격 3단계로 진행된다고 설명했다. 정보수집 단계에서는 홈페이지 등에서 정보를 획득하는 것은 물론 기업의 휴지통을 뒤지는 방식까지 있다고 밝혔다. 수집된 정보를 바탕으로 공격자가 자기를 합법적인 진짜 직원, 판매자, 전략적 동반자 혹은 수사기관 관계자로 가장한다는 것이다.

이후 보안에 취약한 직원 또는 헬프데스크나 행정관리 직원 등을 대상으로 선정한다고 지적했다.

공격수법은 자만심을 이용한 공격, 동정심이나 공감을 교묘히 이용한 공격, 협박에 의한 공격 3가지가 있다고 소개했다. 예를 들어 회사에 새로 들어온 동료직원, 계약자, 관련업체 신입사원으로 가장하고 곤경에 빠진 것처럼 가장한 후 동정심을 유발해 도움을 요청한다는 것이다.

또 공격자가 권력을 가진 인물로 가장한 후 몇 단계 낮은 위치의 사람을 목표로 공격하는 방식도 있다고 경고했다.

편람은 사회공학적 공격의 성공률이 놀랄 만큼 높고 대처하기가 매우 힘들다고 지적했다.

대응 방안으로는 기본적으로 물리적 보안, 기술적 보안, 행정적 보안을 갖춰야 한다고 밝혔다. 특히 사회공학적 공격의 대상이 사람이기 때문에 이에 맞춰 대책을 세워야 한다는 것이 편람의 주장이다.

기관 직원들의 행동규범이 대책의 근본 바탕이 돼야 하며 직원들이 보안 수칙을 이해하도록 하고 기관, 기업은 교양사업을 꾸준히 진행해야 한다는 것이다.

또 모범적인 공격 대응자에 대해서 표창을 하는 등 공적을 인정해야 하며, 공격에 대비해 사건대응팀을 꾸리고 침투시험을 진행해 보안대책을 검열해봐야 한다고 설명했다.

사회공학적 공격 시도를 파악했을 때는 신속히 유사한 부문의 사람들에게 관련 내용을 통보해줘야 한다고 밝혔다. 정보를 빠르게 공유해 다른 사람들의 피해를 막아야 한다는 것이다.

편람은 직원들이 정보보안의 중요성을 인식하도록 하고 기밀정보를 손에 넣기 위해 자신에게 접근하려는 자들이 있다는 것을 알려줘 경각심을 갖도록 해야 한다고 당부했다.

이책은 북한의 보안 전문가 양성을 위한 교육용 자료다. 이는 북한이 기관, 기업 보안에 있어서 사회공학적 공격에 대한 대비의 중요성을 인식하고 있다는 뜻이다.

북한의 기관, 기업의 보안 담당자들이 편람에서 제시된 내용을 기초로 보안 대책을 운영하고 있을 것으로 추정된다.

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.

 

관련기사

저작권자 © NK경제 무단전재 및 재배포 금지