[ET단상]우영우 속 '스피어피싱'은 판타지가 아니다.

[ET단상]우영우 속 '스피어피싱'은 판타지가 아니다.

근래 가장 큰 화제를 모았던 드라마는 얼마 전 종영한 '이상한 변호사 우영우(이하 우영우)'일 것이다. 특히 CDR보안 솔루션을 개발하는 사업부를 이끄는 필자로서는 우영우 속 '쇼핑몰 개인정보 유출사건(이하 쇼핑몰 해킹 사건)'의 잔상이 컸다. 문득, 대다수 시청자가 쇼핑몰 해킹 사건 에피소드를 보면서 '해킹이 저렇게 클릭 몇 번으로 쉽게 되는 건가?'라는 의문이 들지 않을까 하는 생각이 들었다.

현실에 대입해 봤을 때 극 중에서 보여준 해킹 사례는 사회공학적 해킹의 갈래 중 하나인 '스피어피싱(Spear Phishing)' 스테레오 타입으로 보여진다. 가장 빈번하게 일어나는 공격 유형이다.

'DB 담당자'가 '취준생 동생'에게 '자소서.doc' 파일을 받고, 해당 파일을 열어 '콘텐츠 사용' 버튼을 클릭해 일어난 극 중 사건은 현실에서 일어나는 사건과 크게 다르지 않다.

해커들은 CEO 사칭부터 거래처를 사칭한 무역 사기, 통일부를 사칭한 월간 북한 동향 리포트, 코로나 팬데믹 관련 정책지원금을 이용하는 등 사람의 기저 심리에 침투해 원하는 정보나 부당한 이득을 취득한다.

해당 에피소드를 보면서 스토리가 전문가의 자문을 잘 받았음을 느꼈다. 첫 번째 근거로 피해자를 속이기 위해 개인 이메일 계정을 탈취해 신뢰 관계에 있는 동생의 '말투'를 분석해 이용했다는 점이다. 두 번째로 이미 알려진 응용프로그램(.exe) 공격이 아닌 업무 문서(확장자 .doc)에 악성코드를 은닉해 활용한 방식이라는 점. 마지막으로 '콘텐츠 사용' 버튼을 누르도록 유도하는 첫 번째 페이지를 구성하고 있다는 점이다.

오늘날 해킹은 주로 업무에 담당자가 사용할 수밖에 없는 문서형 파일의 빈틈을 노리며 드라마와는 달리 오랜 시간 공들여서 진행된다. 이러한 공격은 백신으로 탐지하기 어려울 뿐만 아니라 보안 관련 지식이 없는 경우 대다수의 피해자가 해킹 여부도 인지하지 못한다.

과연 드라마에서 나온 스피어피싱 공격을 막을 방법은 없을까? '신뢰 관계'에 기반한 사회공학적 공격인 스피어피싱을 예방하기 위해서는 '아무도 믿지 않는다'는 '제로 트러스트(Zero Trust)' 관점의 접근 기술인 CDR 솔루션을 통해 선제 대응할 수 있다. 물론, 2FA, FIDO와 같이 기업 기밀 자료 접근 시 추가 확인 절차도 해킹을 막거나 지연시켜 대응함에 이점이 있다. 그럼에도 '가까운 제 눈썹을 못 본다'는 말처럼 사회공학적 해킹을 원천적으로 차단하는 것이 먼저이기에 CDR 솔루션을 구축해 '신뢰 관계'에 속을지언정 해킹 위협에서는 자유로운 환경이 조성돼야 한다.

CDR은 이메일, 망연계, 웹 등을 통해 유입되는 모든 문서의 액티브 콘텐츠를 사전에 제거하고 파일을 재조합해서 안전한 파일로 만드는 기술이다. 문서형 파일과 이미지 파일에 포함되는 액티브 콘텐츠를 열람 전 무해화해 악성코드나 랜섬웨어 유입을 원천 차단한다.

만약, CDR 솔루션 새니톡스를 드라마에 적용했다고 가정한다면 '자소서.doc' 파일을 클릭했을 때 파일이 열람되기 전 강제적으로 무해화 과정(백신 검사 → 문서스캔 → 액티브 콘텐츠 제거 → 파일 재조합)이 이뤄지고 안전한 파일로 재조합된다. 결국 해당 에피소드가 존재하지 않았을 것이다.

모든 보안 솔루션이 시장에 나오기까지는 각기 다른 이유와 목표가 있다. 스피어피싱은 목표를 달성하기 위해 시간이 걸릴지라도 계속해서 관련 정보를 취득하고 이를 공격에 활용하기에 기업 임직원의 부주의한 실수로 치부하거나 낮은 보안의식으로 야기된 사건이라고 치부할 수 없다. 결론적으로 제로 트러스트 관점에서 모든 잠재적인 위협 요소를 제거해 위협 자체를 원천 차단하는 CDR이 스피어피싱 위협에서 벗어날 수 있는 가장 확실한 방법이다.

이상준 지란지교시큐리티 연구소장 sjunee@jiran.com