관심에서 벗어나 있는 대규모 사이버 보안 위험: 사무실

당신의 이메일 계정에는 최고의 최신 스팸 필터가 적용되어 있습니다. 그것은 바로 회사가 지급한 모든 디바이스에 설치된 엔드포인트 탐지 및 대응 툴입니다. 침입 탐지 및 방지 시스템은 당신의 네트워크 게이트를 보호하고, 수상해 보이는 모든 패킷에 대해 "정지!"라고 외칩니다.

당신의 시스템은 완전히 봉쇄되어 있습니다. 어떠한 해커도 침입할 수 없습니다.

오피스 빌딩의 정문은 또 다른 이야기입니다. 공격자는 손쉽게 건물 안으로 들어올 수 있습니다.

저를 믿으세요. 저는 경험을 통해 알고 있습니다. 저는 실제로 침입을 수행하는 사람입니다.

IBM의 최고 피플 해커로 일하면서 가장 재미있는 부분 중 하나는 물리적 보안 평가를 수행할 수 있다는 점입니다. 기본적으로, 저는 고객의 허락하에 고객 건물에 침입하여 고객의 물리적 방어 체계의 결함을 파악하도록 돕습니다.  

게다가 제가 내부로 들어가면 많은 피해를 입힐 수 있습니다. 휴게실에 있는 방치되어 있는 노트북이요? 하하. 이제 제 것이 되었으며, 소유자가 액세스할 수 있는 모든 문서에 액세스할 수 있습니다. 잠기지 않은 텅 빈 사무실의 책상 위에 놓여 있는 기밀 파일이요? 그것도 제것이나 마찬가지입니다.

대부분의 사람들은 사이버 보안을 순전히 디지털 문제라고 생각합니다. 이름에 '사이버'가 들어 있으니, 당연한 얘기입니다. 하지만 사이버 공격은 실제로 바로 여기 물리적 세계에서 시작될 수 있습니다. 저는 앙심을 품은 지각 있는 로봇을 말하는 게 아닙니다. 적어도 아직까지는요.

저는 지금 당신의 건물 안에서 바로 컴퓨터 시스템을 손상시킬 수 있는 악의적인 외부인, 심지어 악의적인 내부자에 대해 이야기하고 있습니다. 보안 위협은 외부가 아닌 내부에 있습니다!

점점 더 많은 기업들이 직원들을 사무실로 복귀시키면서 이러한 물리적 공격이 더욱 흔해지고 있으며, 성공률도 높아지고 있습니다. 수년간 원격 근무를 하던 많은 직원들은 사무실을 안전하게 유지하는 데 어려움을 겪었습니다.

몇 가지 물리적 사이버 보안 위험과 조직이 이에 대응하기 위해 무엇을 할 수 있는지 살펴보겠습니다. 

물리적 침입은 여러 가지 방식으로 나타날 수 있지만, 제 경험에 비추어 볼 때 다음과 같은 세 단계로 발생하는 경향이 있습니다.

• 1단계: 인텔리전스 수집
• 2단계: 액세스 권한 확보
• 3단계: 공격 실행

이러한 단계들을 자세히 살펴보겠습니다.

IBM X-Force의 물리적 평가의 첫 번째 단계는 목표에 대한 정보를 수집하는 것입니다. 물론, 우리는 고객에게 이런 정보를 요청하지 않습니다. 그럴 필요가 없으니까요. 직원들이 일상 생활을 하는 모습을 지켜보는 것만으로도 회사에 대해 알 수 있다는 것은 정말 놀랍습니다.

예를 들어, 회사의 Instagram 계정을 방문하여 직원 사진을 찾을 수 있습니다. 직원들은 유니폼을 입는가? 복장 규정이 있는가? 이 정보를 활용하여 직원들 사이에 침투할 수 있습니다. (그리고 당신은 아무도 사무실 휴일 파티 사진을 보지 않기를 바라셨겠죠.)

운이 좋으면 직원 배지를 엿볼 수도 있고, 그럴듯한 위조품을 만드는 데 도움이 될 것입니다. 정문으로 들어가지는 못하지만, 구내를 걸으면서 더위를 식힐 수는 있습니다.

웹사이트에서 공급업체 목록을 찾을 수도 있습니다. 이제 저는 사무용품 배달원으로 가장할 수 있습니다.

제가 당신 건물로 가서 잠시 잠복을 할 수도 있겠네요. 직원들은 어떤 문을 사용하는가? 일반인을 위한 별도의 출입구가 있는가? 보안 요원이 있는가? 있다면 어디에 배치되어 있는가?

아무리 사소해 보이는 것들도 쉽게 악용될 수 있습니다. 예를 들어, 저는 여러분이 휴지통을 비우는 일정을 알아낼 수 있습니다. 이상하게 들리시겠지만 이렇게 한 번 해보죠. 휴지통을 비우는 날이 수요일이라면 그 날 휴지통이 꽉 찬다는 것을 알기 때문에 화요일 밤에 여러분의 휴지통을 확인해 보는 것입니다. 즉, 포스트잇에 낙서된 네트워크 암호나 누군가 파쇄하지 않은 기밀 메모를 찾을 가능성이 높습니다.

(여러분이 지금 저를 어떻게 생각하시는지 충분히 알아요. 화면을 통해서 느껴져요. 제가 이 일을 즐기는 건 아닙니다! 그러니 민감한 문서만 파쇄해 주신다면 정말 감사하겠습니다. 정말이에요.)

고객의 건물에 침입하기 위해 마치 제임스 본드처럼 진지한 작전을 펼쳤다고 말하고 싶지만, 사실 저는 보통 다른 사람들과 마찬가지로 정문으로 바로 들어가곤 합니다. 이는 '테일게이팅(tailgating)'이라고 불리는 공격 방법입니다.

테일게이팅은 악의적인 행위자가 권한이 있는 사람을 따라 보안 영역으로 들어가는 것을 말합니다. 사무실 건물을 생각해 보세요. 직원들은 종종 문을 열기 위해 일종의 배지나 전자 열쇠가 필요합니다. 공격자는 당연히 이러한 것들을 가지고 있지 않습니다. 그래서 공격자는 직원 뒤로 바짝 붙어서, 직원이 배지를 사용하여 들어갈 때 문을 열어두거나, 문이 닫히기 전에 문을 붙잡습니다.

그리고 테일게이팅은 매우 성공적이었습니다. 직원들은 정중합니다! 내가 그곳에 속하지 않는다는 것을 알면서도, 그들 대부분은 아무 말도 하고 싶어 하지 않습니다. 너무 어색하니까요. 그리고 소셜 엔지니어링은 정확히 이런 종류의 너무나도 인간적인 반응을 이용합니다.

그렇다고 해서 범죄자들이 구식 방식으로 건물에 침입하지 않는다는 것은 아닙니다. 그럴 필요가 없다는 거죠.

제가 침입한다면 무언가를 훔칠 것입니다. (뭐, 훔치는 시늉을 하긴 하겠지만요.) 공개된 곳에 방치된 민감한 문서와 장치가 주요 표적이지만 그게 전부는 아닙니다. 지금 당장 자리를 떠야 할 경우 언제든지 건물에 자유롭게 출입할 수 있도록 직원 배지나 건물 열쇠 뭉치만 슬쩍 훔칠 수 있습니다.

회사 디바이스를 손에 넣을 수 있다면 회사 네트워크에 액세스할 수 있습니다. 디바이스 소유자를 사칭하여 해당 계정에서 피싱 이메일을 보낼 수 있죠. 회사 디렉토리에 악성 파일을 심을 수도 있습니다.

제가 할 수 있는 또 다른 재미있는 일은 건물 곳곳에 멀웨어(페이크 멀웨어)가 로드된 USB 드라이브를 떨어뜨리는 것입니다.

사람들은 재미있습니다. 사람들은 주인 없는 USB 드라이브를 보면 컴퓨터에 연결해 무엇이 들었는지 보고 싶은 충동을 느낍니다. 주인의 신원을 찾는 선한 사마리아인일 수도 있습니다. 어쩌면 호기심이 많은 것일지도요. 어느 쪽이든, 곤경에 처해 있기는 마찬가지입니다. 이 USB 드라이브는 키로거 또는 랜섬웨어 등의 악성 프로그램을 사용하여 비밀리에 감염시킵니다. 

물리적 보안 평가가 이루어질 때 저는 보통 누군가가 저를 멈추게 하는 데 얼마나 걸리는지 알아보려고 합니다. 

한 평가에서는 경비원이 저를 찾기 시작하는 데 4시간이 소요되었습니다. 직원이 제가 건물 안으로 뒤따라 들어가는 것을 알아차렸음에도 불구하고 말입니다. (그리고 저는 발각되기 전에 몰래 빠져나왔습니다!)

제가 말하고자 하는 것은 우리의 물리적 보안 관행이 형편없을 때가 많다는 점입니다. 대신에 다음과 같이 행동해야 합니다.

우리가 어떤 일에 대해 가정을 한다면 어떻게 되는지 다들 아실 겁니다.

불법 행위자의 일을 훨씬 더 쉽게 만듭니다.

사람들이 물리적 보안과 관련하여 저지르는 가장 큰 실수 중 하나는 모든 적절한 보호 장치가 마련되어 있다고 가정하는 것입니다. “자동으로 잠기는 문”이 실제로 자동으로 잠긴다고 가정하는 것과 같이 단순한 일 말이죠. 또는 사람들이 파쇄기를 항상 사용한다고 가정합니다. 직원들이 지나가다 복도에 있는 낯선 사람을 발견한다면 무엇을 하고 있는지 물어본다고 가정하는 것도 한 가지 경우입니다.

그런데 제가 들어와 보니 도어락이 오랫동안 고장나 있었다는 것을 발견했습니다. 사람들은 기밀 문서를 일반 쓰레기통에 버리고요. 직원들은 복도에 있는 낯선 사람을 보고도 "내가 상관할 바는 아니야!"라고 생각합니다.

이러한 작은 실패가 모두 합쳐져 공격자는 눈에 잘 띄지 않게 정교한 공격을 수행할 수 있습니다. (보안 요원이 제 바로 뒤에 서서 저를 찾는 동안 안내 직원을 속여 확인되지 않은 플래시 드라이브를 그녀의 컴퓨터에 꽂았던 경험에 대한 이전 게시물을 참조하세요).

저는 조직에 아무것도 가정하지 말 것을 권장합니다. 문이 잠기는지 확인하세요. 배지를 스와이프한 후 보이는 작은 빨간 불빛만 믿지 마세요. 한번 당겨 보세요. 사람들에게 무엇을 파쇄해야 하는지 알려주세요. 낯선 사람을 만나면 주저하지 말고 무엇을 하고 있는지 물어보세요. (정중하게 이렇게 말할 수도 있습니다. "저기요, 방문자 배지가 없으시군요. 보안팀에 데려다 드릴게요. 안 그러면 계속 제지당할 거예요!") 

사이버 보안 교육에서 물리적 보안 관행에 더 많은 시간을 할애해야 합니다. 가장 일반적인 공격 경로는 아닐지 몰라도, 많은 조직의 방어에 큰 허점이 있습니다.

평균적인 사이버 보안 교육에 대해 생각해 보세요. 물리적 보안에 대해 언급하는 경우는 드물지만, 보통 "회사 노트북을 도난당하지 않도록 하세요." 정도에 그칩니다.

물리적 보안은 다른 주제와 동일한 깊이로 다루어야 합니다. 예를 들어, 교육에서는 잘못된 문법, 긴급한 요청 등 피싱 메시지의 위험 신호를 다루는 경우가 많습니다. 배지를 달지 않고 동반자 없이 돌아다니는 등 사무실 방문자의 위험 신호를 발견할 수 있도록 직원들에게 교육하는 것은 어떨까요?

지침은 명확할수록 좋습니다. 테일게이팅을 예로 들어보겠습니다. 직원들에게 건물 안에 낯선 사람을 들여보내지 말라고 말하는 것만으로는, 실제로 테일게이팅을 하는 사람에 대해 적절하게 대응하지 못합니다.

대신 사람들은 낯선 사람을 발견했을 때 취해야 하는 절차가 무엇인지 정확히 알고 있어야 합니다. 보통은 “누구를 만나러 오셨나요? 체크인하실 수 있도록 보안 검색대로 안내해 드리겠습니다."와 같이 묻는 것처럼 간단합니다. 실제 방문객이라면 이러한 응대에 감사를 표시할 것입니다. 침입자라면 본인 신분이 발각되기 때문에 임무를 중단할 가능성이 높습니다.

가정을 재고해야 한다는 부분 기억하시나요? 물리적 보안 교육에 포함하기에 너무나 사소한 세부 사항은 없습니다. 직원들에게 민감한 데이터와 디바이스를 잠그라고 지시하세요. 직원들이 파쇄 쓰레기통의 존재를 아는지 확인하세요. 식별되지 않은 USB 드라이브의 위험성을 자세히 알려주세요.

직원들이 필요한 리소스를 손쉽게 이용할 수 있도록 하여 물리적 보안 정책, 프로세스 및 모범 사례를 최대한 쉽게 따를 수 있도록 합니다.

예를 들어, 모든 사무실 자리와 모든 디바이스에 모든 보안 연락처의 전화번호와 이메일 주소를 비치하는 것이 좋습니다. 이렇게 하면 문제가 발생했을 때 직원이 즉시 누구에게 보고할 수 있는지 알 수 있습니다. 또한 방문자를 물리적으로 보안팀에 쉽게 안내할 수 있어야 하므로, 물리적 보안 데스크의 배치를 고려하세요.

그리고 직원들이 개인 사물함, 잠금 파일 캐비닛, 컴퓨터 잠금 장치 등 디바이스와 문서를 안전하게 보관할 수 있도록 하세요.

사이버 공격은 온라인에서만 발생하는 것이 아니므로 순전히 디지털 방어에만 의존해서는 안 됩니다.

여기서 얻을 수 있는 한 가지 중요한 교훈이 있다면, 아마도 물리적 보안의 경우 작은 세부 사항이 전체 그림만큼, 어쩌면 더 중요할 수도 있다는 것입니다.

물론 중요한 물리적 보안 전략이 필요하며, 이는 중요한 사이버 보안 전략과 연계됩니다. 하지만 조직이 물리적 공격에 노출되는 것은 반드시 전략적 사고가 부족하기 때문만은 아닙니다. 이는 종종 실용성의 문제입니다. 직원들은 물리적 위협에 대해 무엇을 해야 하는지 정확히 알고 있나요? 그리고 그렇게 할 수 있는 권한을 가지고 있나요?

가정했던 사실들을 재검토하고, 더 나은 교육에 투자하고, 직원들에게 적절한 리소스를 제공하면 많은 공격을 막을 수 있습니다. 이러한 대책은 제 일을 더 어렵게 만들겠지만, 세상을 훨씬 더 안전하게 만들 수 있을 것입니다.

따라서 절충할 가치가 있습니다.