회사앞 주운 USB, 무심코 PC에 꽂으니…앗!

사람 심리 겨냥한 '휴먼해킹' 기승… 보안교육 나서는 인터넷 기업

#국내 인터넷 기업 A사에 다니는 박종국(32, 가명)씨는 지난해 회사 앞에서 USB 토큰을 주웠다가 회사 기밀을 모두 유출할 뻔 했다. 박 씨가 주운 USB 토큰에 악성코드가 심겨져 있던 것. 이를 모른 박 씨는 USB를 사무실 PC에 꽂자마자 해당 악성코드가 회사 전산망으로 퍼지게 됐다. 다행히 회사 내부 관제에 악성코드가 적발돼 데이터 유출 등의 사고는 없었지만 이를 계기로 A사는 직원들을 대상으로 정기적 보안 교육을 시켜야 했다.

#올해 초 B사의 김형석(42, 가명) 부장은 회사 총무팀 명의로 '성과급 지급정책 변경'을 제목으로 한 메일을 받았다. 외부 미팅 등으로 이메일을 열어보지 못한 김 부장은 오후 늦게 부하직원들에게 언질을 받고 안도의 한숨을 내쉬었다. 다름아닌 회사측에서 임직원의 보안의식을 확인해보기 위한 '스파이 메일'이었던 것. 실제로 이 같은 낚시성 제목에 속은 회사 직원들이 이메일을 열고 해당 링크 혹은 파일을 실행할 경우 해당 PC에 악성코드에 감염되는 사례가 빈번히 발생해왔다는 전언이다.

기업의 내부 기밀 혹은 개인정보를 노리는 해커들의 공격 방식이 갈수록 교묘해지고 있다. 기업의 다단계 보안시스템을 직접 뚫기보다 내부 임직원들의 한순간 방심을 노린 이른바 '휴먼 해킹' 기법이 대표적이다.

가령, 정보를 노린 회사의 로비에 악성코드가 몰래 설치된 USB 토큰을 일부러 떨어뜨리는 방식이다. 회사 직원이 무심코 이를 주어 사내 PC에 접속하게 유도하는 방식이다.

PC에 USB카드를 꽂는 순간 해당 PC의 통제권한은 해커에게 넘어가게 된다. 이를 '숙주PC'로 삼아 사내 다른 PC로 악성코드를 확산시켜 결국 해커가 원하는 정보를 빼내는 식이다.

'성과급' 혹은 '구조조정' 등 사내 임직원들에게 민감한 주제를 미끼로 악성코드가 숨겨진 이메일을 유포하는 방식은 이미 고전에 가깝다. 무심코 이메일을 열어보는 순간 악성코드가 깔린다.

보안업계의 한 관계자는 "이메일 악성코드를 통해 기업 내부 시스템에 수주 동안 잠복해있다가 사내 주요 경영진 혹은 시스템 관리자의 권한까지 빼앗아 원하는 정보를 탈취하는 사례가 비일비재한 상황"이라고 말했다.

이같은 '휴먼 해킹' 사례가 빈번해지자 기업들도 비상이 걸렸다. 무엇보다 보안 부서와는 직접적인 관련이 없는 사내 임직원 혹은 하청업체 직원들의 PC를 노린다는 점에서 이들에 대한 보안교육에 적극 나서는 분위기다.

지난해 해킹으로 인해 고객정보를 유출당한 SK커뮤니케이션즈(SK컴즈 (12,050원 550 -4.4%))는 지난달 팀장급 이상 간부직원을 대상으로 '보안워크샵'을 진행했다. 보안 관련 업무를 맡고 있지 않더라도 직원들의 보안의식 강화가 무엇보다 필요하다는 판단 때문이다.

네오위즈 (19,700원 250 -1.2%)도 매달 한차례씩 '보안의 날'을 지정해 교육 및 사내방송 등을 통해 사내 직원들을 교육하고 있다. 네오위즈는 지난달 전 계열사의 보안 컨트롤타워 격인 기술보안 유닛(unit)을 신설하고, 한국인터넷진흥원(KISA) 출신인 최중섭 유닛장을 영입해 전체 보안 타워의 수장 직을 맡겼다.

인터넷 업계 관계자는 "아무리 철저한 보안시스템을 갖추고 있더라도 사내 임직원들이 보안의식을 갖추지 않으면 속수무책으로 당할 수 밖에 없다"며 "당장 사내 임직원들에 대한 보안 의식 무장에 나서고 있지만, 사람의 심리를 이용한 공격이기 때문에 빈틈이 항상 있기 마련"이라고 우려했다.