기업보안에 최대 위협이 되는 요인은 뭘까? 많은 회사들의 경우 ‘최고경영자(CEO)’일 수 있다.
WSJ
보안전문가들에 따르면 민감한 기업 및 개인정보를 해킹하려는 사이버 공격자들이 최고경영자(CEO)를 겨냥하는 사례가 갈수록 늘고 있다. CEO는 회사 보안규정 적용대상에서 제외되는 경우가 많고, 직원들보다 사이버 공격자의 미끼(이메일을 열거나 링크를 클릭하라는 등)를 물 가능성이 높아 회사를 기밀이나 지적재산권, 개인정보 도용에 노출시킬 수 있기 때문이다.
지난달 나온 버라이즌의 데이터 위반에 관한 보고서는 ‘스피어 피싱(특정인을 목표로 그가 신뢰할 만한 발신인으로 위장해 메일을 보내는 피싱 공격)’ 같은 소셜 엔지니어링 공격의 대상이 되는 직원 카테고리에서 CEO가 1위를 차지했다고 설명했다. “CEO는 일반 직원보다 더 잘 알려져있을 뿐 아니라 회사기밀에도 더 쉽게 접근할 수 있기 때문이다.”
버지니아 소재 보안전문가 양성기관 ‘보안대학(Security University)’의 손드라 슈나이더 CEO는 자신도 그동안 사이버 공격자들의 타겟이 된 적이 많았다고 말한다. 학생들의 정보를 훔치거나 그녀의 개인정보로 다른 타깃을 공격하기 위해서다. 최근에는 해커들이 자신의 메일이나 인터넷서비스공급자 외부서버에 침투해 정보를 알아낸 뒤 자신의 이름과 주소로 지인들에게 이메일을 보낸 것 같다고 한다.
CEO는 잘 알려져 있기 때문에 손쉬운 타깃으로 여겨진다. 해커는 링크드인이나 페이스북 같은 소스를 통해 입수한 정보로 CEO의 자녀가 다니는 학교나 골프 파트너가 보낸 것처럼 위장한 이메일을 보낸다. 이메일 메시지에는 웹 링크가 포함돼 있는데 이것을 클릭하면 자동으로 악성 소프트웨어가 설치되고 해커의 목표나 전술에 따라 네트워크 전반으로 확산되기도 한다.
심지어 명함 한장이 나도는 것만으로도 회사를 위험에 빠트릴 수 있다. 직함이나 이메일 주소 같은 평범한 정보를 포함한 경영자 데이터가 거래되는 암시장이 성행하고 있다. 보안전문가 단초 단체브는 이런 세부 데이터를 활용해 해커가 해당인의 네트워크를 장악할 수 있기 때문이라고 말한다. 그는 러시아 웹사이트들에 실린 광고를 지적한다. 주요 기업 경영자들의 데이터를 제공하는 광고들로, 특히 한 광고는 아우디와 랄프로렌, 코카콜라 등 최소 12개 기업 경영자 데이터를 담고 있다.
정보보안 전문가로 해킹과 데이터 보안에 관한 책을 저술한 케빈 비버는 “CEO들은 IT와 보안 문제에 있어 도무지 현실감각이 없다”고 지적했다.
보안컨설팅업체 피시미(PhishMe)의 로잇 벨라니 CEO는 경영자들은 특히 IT부서에서 하지 말라고 경고하는 일들(낯선 발신인이 보낸 이메일을 열거나 링크를 클릭하는 등)을 하려는 경향이 있는 것 같다고 말한다. 기업들은 직원들의 보안 감각을 시험하기 위해 전문업체를 고용해 해커들이 보내는 것과 유사한 링크가 담긴 이메일을 보내기도 한다.
이런 모의공격에서 경영자들은 직원들보다 이런 미끼를 물 확률이 25%나 높게 나온다. 한가지 이유는 대부분의 고위 경영진이 신중한 이메일 습관을 형성하도록 해주는 사내 보안프로그램을 건너뛰기 때문이다.
고위 임원이 자신의 컴퓨터에 예외적인 조치를 취해달라고 요구할 경우 감히 이를 거절할 IT 부서 직원은 거의 없을 것이다. AIG 사이버리스크보험 책임자인 존 갬베일은 도박사이트에 접속할 수 있게 자신의 컴퓨터에 설치된 방화벽 프로그램 기능을 억제해달라고 요구한 경영자를 언급한다. 방화벽을 꺼놓는 바람에 악성코드에 감염된 사이트들이 그의 컴퓨터에 액세스할 수 있게 됐다며 “CEO의 권한을 이용해 규정을 우회한 전형적인 케이스”라고 말한다.
그러나 신중하게 행동하는 경영자도 많다. 보안대학의 슈나이더 CEO는 휴대전화로는 이메일을 받지 않는다. 스마트폰은 도용이나 다른 기기로부터의 침입에 너무 취약하기 때문이다. “휴대전화로 이메일을 받는건 매우 위험한 행동이다. 특히 중요한 정보가 오갈때는 특히 그렇다.” 그녀는 굳이 휴대전화로 민감한 정보가 담긴 이메일을 받아야겠다면 내용을 암호화하고 사용하지 않을때는 안전하게 저장해두라고 조언한다.
경영자 보안을 유지하기 위해 조치를 취하는 회사들도 있는데 그러한 노력이 알려지면 그 자체로 경영자가 타깃이 될 수 있기 때문에 조용히 진행한다. 한 투자은행 역시 공개적으로 그런 작업을 하고 있다는 것을 밝히길 거부했다. 지난번에도 보안 조치를 취하고 있다는 것이 알려진 후 수차례의 공격을 당한 경험이 있어서다.
