우리는 많은 사람이 스미싱으로 피해를 본 소식을 듣는다. 금융감독원에 의하면 2021년에 스미싱으로 991억원의 피해가 신고되었다. 그래서 모르는 사람한테 오는 스마트폰의 문자 링크는 안 누른다.
그러나 회사 내에서 일어나는 공격에는 관심이 덜하다. 잘 모르는 사람이나 단체로부터 이메일이 꾸준히 오면 무시하다가 어느 순간 한번 열어본다. 공격자는 이때를 기다렸다가 회사 내 네트워크에 침투한다. 그리고 보안을 무력화시키고 자료를 빼돌린다. 공격자는 장기간에 걸쳐 친절한 이메일을 보낸다. 어느 때인가 한번 클릭하기를 기다리면서.
기업은 전산 시스템 없이 운영할 수가 없다. 회사는 방화벽을 설치하고, 보안 시스템을 구축한다. 대기업일수록 비용을 더 들여 탄탄하게 구축한다. 보안 시스템을 잘 구축해도 해커는 회사 내 개인을 통해 공격해 들어온다. 공격자는 회사 내 특정인에게 필요한 시기에 신뢰할만한 내용으로 이메일을 보낸다. 수집한 개인정보를 바탕으로 한 상당히 정교한 공격이다. 이런 사회공학적 접근이 활발하다.
사회공학적 해킹이란 온라인과 오프라인에서 대상이 되는 사람의 동향과 각종 개인정보를 수집한다. 지금은 온라인으로 쉽게 정보를 수집할 수 있는 시대이다. 특히 대표나 임원들의 동향은 잘 노출된다. 모임과 회의는 정보수집이 쉽다. 이런 정보를 바탕으로 기관이나 단체, 회사를 사칭하여 흥미를 끌 만한 이메일을 보낸다.
재무팀 직원처럼 외부에 잘 나타나지 않지만, 금리 등 쉽게 관심을 가질만한 내용으로 이메일을 보내는 경우가 있다. 회계법인을 가장해서 이메일을 보내 감염시킨 사례가 있다. 이런 공격을 스피어피싱이라고 한다.
국세청을 가장한 연말 정산 안내나 견적서 요청의 건 등 쉽게 열어볼 수 있는 이메일을 보내 악성코드를 심는다. 내부 자료를 탈취하는 정도가 아니라 시스템이 취약한 데는 랜섬웨어를 심어 자료를 암호화해 버리고 금전을 요구한다. 알만한 그룹인데도 정보 보안에 관심이 약해 랜섬웨어로 수억원을 물어주고, 자료는 다 복구하지 못한 사례가 있다.
예전에는 회사 내에 유선랜만 있었지만, 노트북 사용이 많아지면서 무선랜을 설치해서 사용하는 곳이 많다. 해커는 무선랜 해킹 도구를 스마트폰에 설치하고 택배 상자에 넣어 공격 대상 회사로 보낸다. 수신자를 회사에 없는 사람으로 하면, 며칠간 회사 내부에 있다가 그 물건이 반송된다. 회사 내부에 머물러 있는 동안 내부 무선 네트워킹을 해킹한다.
이메일을 통한 해킹을 막으려면 이메일을 무조건 열지 말고, 아이디와 도메인을 꼼꼼히 살핀다. 이메일에 첨부된 파일은 열지 않는다. 해커들은 PDF 파일 안에 악성코드를 잘 숨긴다. 또 본문 중에 있는 링크는 클릭하지 않는다. 온라인이나 SNS에 개인 정보 노출을 최소화하여 내 정보를 알고 접근하지 않도록 한다.
기업은 직원들에게 정기적으로 사이버 위협과 보안에 대해 교육한다. 중소기업은 보안 시스템에 큰 비용을 지출할 수 없으므로 직원들이 더욱 경각심을 가지고 주의해야 한다. 자칫하면 모든 자료가 없어지고 회사가 큰 혼란에 빠진다. 과학기술정보부에서 지원하는 여러 서비스가 있어 이를 잘 활용하면 좋다.
네트워크 공격이 있다. 네트워크는 회사 시스템이 외부와 연결되는 통로이다. 가장 흔히 듣는 디도스 공격이 있다. 이외에도 네트워크 특성을 이용하여 응답하다가 지쳐버려 다운되는 SYN Flooding, Land, 스머핑 등 수법이 있다. 주의하면 막을 수 있으므로 관심이 필요하다.
