[칼럼] 등잔 밑이 어두운 내부 보안을 환히 밝혀 드리는 스위치 인프라 (1)






휴대폰 통신비 메일의 비밀


“뭐? 이번 달 핸드폰 요금이 250만원이라고?”


고객과의 미팅을 앞두고 약간의 여유 시간이 있어서 잠깐 카페에 들러 메일을 확인하던 김똑똑 사원은 매월 이맘때쯤 이메일로 받고 있는 이번달 통신사 요금 청구서를 보고 깜짝 놀랐습니다. 


250만원이라니… 놀란 가슴을 진정시키고 메일을 찬찬히 보니 “상세 청구 내역 확인”이라는 링크가 있는게 보였습니다. 그리고 ‘도대체 뭣 때문에 이렇게 비싼 요금이 청구된거지?’하는 생각에 링크를 클릭해 보기로 합니다.


그런데 예상했던 통신사 홈페이지의 로그인 페이지는 뜨지 않고, 화면에는 “로딩 중입니다…”라는 문구가 뜬 브라우저 창만이 보일 뿐 더 이상 뭔가 진행이 되지는 않았습니다. 한참이 지나도 아무런 반응이 없자 김똑똑은 인터넷 문제인가 싶어 브라우저를 닫았다 다시 열려고 하는데, 윈도우가 갑자기 잠금 모드로 들어가는 것이었습니다. ‘이건 머지?’ 하는 생각이 들었지만, 매일 아침마다 로그인을 하며 봐 왔던 화면이라 잠금 화면을 풀기 위해 Ctrl-Alt-Del을 눌러 암호를 입력하고 다시 그 메일을 확인합니다.


다음날 아침, 어제 고객과의 미팅을 잘 마친 김똑똑 사원은 후속 미팅을 준비하기 위해 사무실로 출근해서 평소와 똑같이 사내 네트워크에 연결하고 하루를 시작합니다.


그리고 그 일이 있은 지 약 한달쯤 후 어느날…


온라인 뉴스에 “잘나가 기업, 해킹으로 인해 수천건의 고객 데이터와 주요 내부 기밀 자료 유출되…”라는 기사가 대문짝만하게 뜬 것을 보게 됩니다. ‘야… 도대체 누가 이런 짓을 한거야?’ 김똑똑 사원은 본인이 다니는 회사가 이런 씁쓸한 기사에 실렸다는 사실에 왠지 오늘 아침의 아메리카노가 더 쓰게만 느껴집니다.


도대체 잘나가 기업에는 어떤 일이 있었던 것일까요? 한달 전 김똑똑 사원에게 있었던 그 일이 과연 이 일과 관련이 있을까요? 아니면 잠시 돈에 눈이 먼 어떤 잘나가 기업 내부 직원이 벌인 일일까요.


모빌리티로 인해 늘어난 보안 위협 노출 리스크


사실 사건의 전말은 이랬습니다. 


김똑똑이 받은 이메일은 해커가 대량으로 뿌린 교묘한 스팸 메일이었고, 그가 클릭한 “상세 청구 내역 확인” 링크는 바로 해커가 악성코드를 심기 위해 걸어놓은 미끼였던 것이죠. 물론 김똑똑이 그 통신사의 고객이 아니었다면, 그리고 이메일 청구서를 받는 고객이 아니었다면 금방 스팸이라는 것을 알아차렸겠지만, 김똑똑 사원에게는 이 모든 것이 너무나 그럴 듯 했기 때문에 링크를 클릭하지 않을 수 없었던 거죠. 


그리고 악성 코드를 내려 받은 장소가 기업의 방화벽이나 IPS와 같은 보안 솔루션을 통해 보호를 받는 회사 안이 아니라, 카페, 즉 외부였다는 점, 그리고 감염 후에도 그런 보안 솔루션이 무색하게 회사 내부 네트워크에 연결될 수 있었다는 점, 이 모든 것이 바로 이 큰 보안 사고가 발생하게 된 이유들이었습니다.


더 많은 기업들이 업무 생산성과 협업을 위해 노트북을 지급하고, 또 직원들은 좀 더 편리하게 일하고자 각자의 스마트폰을 통해 메일도 확인하고 메시징 앱을 이용하여 커뮤니케이션 합니다. 그런데 문제는 바로 이런 이동성을 갖춘 단말들이 사내와 사외를 왔다 갔다 하면서, 우리 회사 네트워크를 지켜주리라고 굳게 믿었던 방화벽, IPS 등의 보안 솔루션들이 너무나도 쉽게 우회되는 결과를 낳게 되었습니다. 


다시 말하면 모든 회사 자원이 회사 밖을 벗어나지 않는 과거 환경이라면 이런 보안 솔루션들이 내부 네트워크를 보호해 줄 수 있었지만, 이런 모바일 환경에서 이들 보안 솔루션의 기능은 상당히 제한 될 수 밖에 없다는 사실입니다. 


열심히 만리장성을 쌓고 출입문에 경비병을 배치해 놨는데 

마치 드론을 띄워 성 안으로 쏙 들어오는 것과 같지요.



어떻게 직원 한 사람 PC의 악성 코드로 이런 일이 벌어질 수 있을까?






최근 발생하는 내부 정보 유출에 따른 보안 사고 유형 


한달 전 김똑똑에게 일어났던 일로 해커는 김똑똑 사원의 PC에서 일어나는 모든 일을 생중계 하듯이 보게 됩니다. 아까 잠깐 김똑똑의 PC가 잠금 모드로 들어갔던 거 기억하시나요? 그것도 해커가 김똑똑의 비밀번호를 알아내기 위해 원격에서 잠금을 건 것입니다. 곧바로 비밀 번호는 키로거(key-logger)를 통해 해커의 손에 들어가게 되지요.


그런데 김똑똑 사원에게는 고객 정보 서버에 접속할 수 있는 권한도 없고, 이번 데이터 유출 사건이 김똑똑 사원의 PC를 통해 일어난 것도 아니었습니다. 김똑똑의 PC를 점거한 해커, 과연 어떻게 중요 정보에 접속하고 그런 정보를 외부로 빼 돌릴 수 있었을까요? 과연 한 달이라는 시간 동안 해커는 무슨 일을 벌인 것일까요?

 

먼저 위의 그림을 잠깐 볼까요?


너무나도 쉽게 기업 네트워크 경계 보안을 통과한 해커는 소위 말하는 C2(Command & Control) 채널을 열고 중요 데이터에 접근하기 위해 한단계 한단계 들키지 않게 천천히 진행을 합니다.


제일먼저 김똑똑 주변에 있는 또 다른 PC의 취약점을 이용하여 악성 코드를 감염시키고 ID와 비밀번호를 하나씩 찾아갑니다. 그리고 그 주변에 있는 또 다른 PC를 찾아 스캔하고, 감염시키죠. 언제까지요? 바로 해커가 원하는 관리자 권한을 가진 사용자의 정보를 얻을 때까지 입니다. 사실 김똑똑 사원의 ID와 비밀번호에는 해커가 별로 관심이 없습니다. 


해커의 관심은 오로지 

관리자, 즉 주요 정보 승인권자, DB 관리자, 어플리케이션 관리자, 이런 사람들의 정보인 것이죠. 

왜냐 하면 이 사람들이 바로 해커가 금전화 할 수 있는 

중요한 정보에 접근이 가능한 사람들이기 때문입니다.


이렇게 데이터에 접근 권한을 획득한 해커는 주요 서버들에 접속하여 한 곳으로 데이터를 모으게 됩니다. 그리고 충분한 데이터가 모아졌다고 하는 순간, 원하는 데이터를 모두 전송 시키고는 그간의 흔적들을 모두 지우게 됩니다. 유유히…


자 그럼 여기서 우리의 고민은 바로 이것일 것입니다. “어떻게 하면 이런 일을 미연에 방지할 수 있을까?” 

이 문제는 다음에 이어서 생각해 보기로 하죠.


참, 잘나가던 이 잘나가 기업은 외부로 유출된 개인 정보 피해자들로부터의 수십억원대 소송에 휘말려 있다고 하네요. 



  

▶ 칼럼 다운 받기(클릭)

시스코_등잔 밑이 어두운 내부 보안! 시스코 스위치로 환히 밝히세요(1)_시스코 이창주 엔터프라이즈 네트워크 솔루션






 Cisco IT Connect

시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드!


이 글은 시스코 이창주 엔터프라이즈 네트워크 스페셜리스트가 작성한 칼럼입니다.



저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License