윤리적·합법적 소셜 엔지니어링 침투 테스트 위한 6가지 고려 사항
또한 무어는 소셜 엔지니어링 테스트가 일반적인 업무 환경에서 발생하기 힘든 극단적인 경우가 아니라 기관에 대한 실제 세계의 공격을 반영해야 한다고 주장했다.
“의심스러운 이메일을 보내거나 전화로 암호 리셋을 요청하는 것에 대해 직원들은 스스로 방어할 수 있어야 한다”고 그는 말했다. “반면에 하늘에서 줄을 타고 내려와 사무실에 침투하는 것은 드문 경우이며 이를 시도할 경우, 도를 넘을 수 있다”고 무어는 전했다.
계약을 명확히 체결하고 확인을 받으라
진행에 앞서 기업 경영진에 침투 테스트의 각 부분을 확인 받을 필요가 있다. 해드나기는 스스로를 보호할 수 있는 명확히 정의된 계약이 필요하다고 강조했다.
“휴지통을 확인하고 싶나? 그렇다면 계약에 이를 반드시 명시하도록 한다. 건물 내에서 컴퓨터를 갖고 돌아다니고 싶은가? 계약에 추가하라. 반출한 컴퓨터에 모든 직원의 개인적인 세부정보 또는 금융 데이터가 들어있다면 어떻게 될까?”라고 해드나기는 예시를 들었다.
“소셜 엔지니어링 프로세스는 보안 관리자와 HR 부서의 대표자가 승인한 계획에 따라 진행돼야 한다”고 무어가 덧붙였다.
시작에 앞서 담당자들이 알고 있어야 한다
서면으로 해야 할 일에 대한 승인을 얻더라도 담당자에게 우선 경고하고 테스트를 진행하지 않으면 상황이 스스로에게 불리해질 수 있다. 무어는 시험에 앞서 적절한 공지를 제공하지 않아 해고된 사람들의 이야기를 꺼냈다.
“늦은 밤 은행 지점의 물리적 침투 테스트에서 컨설턴트가 건물의 알람을 울렸고 경찰이 나타날 때까지 기다렸다. 다행히도 처리팀이 제 시간에 도착해 알람을 해제하도록 한 뒤에 안전한 지역으로 이동하도록 도왔다. 경찰이 출동했고 대화가 이상해지면서 결국 은행장까지 호출되는 사태가 벌어졌다. 컨설턴트는 문제가 없었지만 은행장은 처리팀을 그 자리에서 해고했다. 그 상황은 모든 피해가 발생한 뒤인 다음 날 아침에야 해결되었다. 이런 경우에는 은행장에게 미리 테스트가 밤에 진행된다는 것을 알려야 했다”라고 무어는 전했다.
외부의 피해를 막으려면, 분리하라
여기에서 스코우디스가 설명하듯이 스피어피싱(Sphere Phishing) 침투 테스트는 2단계로 분리해 기업 외에 의도하지 않은 대상을 공격하지 않도록 해야 한다. 다음은 스코우디스의 설명이다.
“첫 번째 부분은 이메일 자체를 송부하여 링크를 클릭하거나 첨부파일을 열어보도록 하는 것이다. 우리는 침투 테스트 전문가들에게 이메일에 링크 그리고/또는 첨부파일을 사용하되 이메일을 통해 대상을 침투하지 않도록 권고한다. 대신에 침투 테스트 전문가들은 웹 사이트를 개설하여 단순히 수신한 이메일에서 클릭된 링크 또는 첨부파일의 수를 계수하거나 클릭의 출처를 찾을 수 있다.
그리고 침투 테스트 전문가들은 따로 내부의 협력자와 함께 설정된 노트북이나 데스크톱 컴퓨터를 사용해 침투 자체를 시도하고 대상 인프라를 둘러볼 수 있을 것이다. 따라서 테스트 전문가는 내부 협력자와 지정된 일자와 시간을 협의하고 전문가는 협력자가 실제로 클릭하고 열 수 있는 URL 그리고/또는 첨부파일을 제공한다. 이 단계에서는 속임수가 동원되지 않는다. 하지만 우리는 이를 통해 일반적인 클라이언트 머신에서 침투할 수 있는 것을 토대로 1단계에서의 클릭으로 발생할 수 있는 결과를 추론할 수 있다.
설명했듯이 피싱 이메일(클릭 여부가 중요함)과 침투 단계를 분리했다. 이 방법이 훨씬 안전하다. 이 둘을 엮고 이메일을 수신한 머신에 침투하면 누군가 범위에 속하지 않은 사람을 공격하는 결과를 낳을 수 있다. 이메일 수신인은 기업 내부의 누군가(또는 외부의 누군가)에게 이메일을 전달할 수 있다. 그 사람을 공격하면 범위를 벗어나게 되면 큰 문제에 봉착할 수 있다. 이 때문에 우리는 두 측면을 분리하는 것이다.” ciokr@idg.co.kr