목차
- 통신 기반 공격의 기승
- 보이지 않는 연결 고리와 신뢰 기반 아키텍처의 위험성
- 사이버 보안 태세에 대한 통신 기반 위협과 공격 방지 방법
통신 기반 공격의 기승
CISO(최고 정보 보안 책임자)들이 SMS 요금 사기 및 2FA(이중 인증) 탈취와 같은 통신 기반 공격이 주류 우려 사항으로 발전한 상황이다.
메시징 채널은 오랫동안 성장과 고객 경험 팀들의 주요 도구였다. 이 채널들은 휴면 사용자를 활성화하거나, SMS 기반 이중 인증(2FA)을 통해 사용자가 계정을 보호할 수 있게 하는 등 다양한 용도를 제공한다. SMS 및 음성 채널은 업계 전반에서 주요 역할을 담당하고 있으며, 한 연구에 따르면 이 채널들은 앞으로도 계속해서 많이 사용될 것이다.
하지만 공격자들은 돈이 있는 곳을 따라간다. SMS 요금 사기와 2FA 탈취와 같은 통신 기반 공격은 CISO들에게 주류 우려 사항으로 자리 잡았으며, 이미 X(구 트위터) 및 여러 기업에 영향을 미쳤다. 일론 머스크는 요금 사기가 비즈니스에 미치는 피해를 처음으로 공론화한 인물이다.
보이지 않는 연결 고리와 신뢰 기반 아키텍처의 위험성
Signaling System 7(SS7)은 전 세계 통신 인프라의 중요한 구성 요소로, 서로 다른 네트워크가 상호 운용할 수 있게 한다. 이 시스템은 메시징 및 음성 통화와 같은 서비스를 담당하지만, 제로 트러스트 아키텍처의 세계에서 SS7은 여전히 구식 신뢰 기반 아키텍처에 의존하고 있다.
본질적으로 신뢰 기반 아키텍처는 모든 참가자가 정직하고 합법적이라고 가정하며, 이는 공격자들이 악용하는 부분이다. 그들은 정당하지만 보안이 취약한 운영자를 장악하거나, 중간에서 합법적인 운영자로 위장한다.
네트워크의 분산된 특성과 지역적 범위로 인해 운영자들은 트래픽의 시작과 종료를 완전히 파악하지 못한다. 공격자들은 이 단점을 이용해 가짜 트래픽을 생성하고, 출발지 정보를 위조해 합법적으로 보이게 만든다. 이러한 행위는 기업의 수익에 손해를 입히기도 한다.
일부 네트워크는 SSE 및 IPSec 프로토콜을 활용하기 시작했지만, 이는 아직 주류 채택에서 멀어져 있어 공격자들에게 인프라에 접근할 수 있는 주요 진입점을 제공하고 있는 상황이다.
통신 기반 공격은 불법적인 세금과도 같다. 연결 고리가 복잡하고 불투명하기 때문에 기업들은 가시성을 가지지 못하고, 종종 요청하지 않은 서비스에 대한 비용을 지불해야 한다. SMS 요금 사기의 경우, 프리미엄 요금 번호로의 전환이 비자발적으로 이루어진다. 네트워크 운영자들은 이러한 요금을 설명하기 위해 복잡한 계약을 만들며, 사기가 발생한 후에는 기업들이 이를 해결할 방법이 거의 없다.
게다가 이러한 공격은 중소기업에 더 큰 타격을 준다. 이들은 종종 이 요금을 지불하기 위해 큰 부채를 지게 되며, 결국 운영을 중단하거나 파산 하게 된다. 기업들이 겪는 불균형적인 피해를 고려할 때, 이들은 자신을 방어하기 위해 선제적이고 장기적인 조치를 취해야 한다.
사이버 보안 태세에 대한 통신 기반 위협과 공격 방지 방법
통신 기반 공격은 지불해야 할 청구서를 부풀리는 것 이상의 문제를 야기하며, 그 파급 효과는 팀을 넘어 기업의 고객들에게까지 영향을 미친다.
- 피싱 시도의 증가: 취약성을 이용해 공격자들이 이 위조된 메시지의 목적지를 PRN 대신 기업의 고객들로 변경할 수 있다. 수정된 메시지 본문과 함께, 금융 서비스를 이용하는 고객들은 예상치 못한 정보를 공유하여 피싱의 피해자가 될 수 있다.
- SMS 2FA 가로채기: 이 취약성은 수신자에게 전송되는 동안 2FA 메시지를 가로채는 데 악용될 수 있다. 이로 인해 소비자가 아무런 잘못을 하지 않았음에도 불구하고 계정이 탈취될 수 있다.
- 통신 흐름의 서비스 거부: 웹 애플리케이션 방화벽(WAF)이 전반적인 DDoS 공격을 방어하는 동안, 통신 흐름에 대한 정교한 공격은 일반 트래픽에 숨겨져 종종 감지되지 않으며, 이로 인해 의도된 소비자에게 서비스를 제공하지 못하게 된다.
- 막대한 수익 손실: 통신 서비스는 비용이 많이 든다. 이러한 채널에 대한 공격은 기업에 큰 비용을 초래하며, 이는 막대한 이익 감소, 해고 등으로 이어질 수 있다.
- 확장된 공격 표면: 엔드포인트 보안 솔루션이 악성 URL 및 피싱 시도에 대한 보호를 제공하는 동안, 이 취약성은 공격자들이 발신자와 본문을 위조하여 메시지에 "신뢰"를 주입할 수 있도록 하여, 사회 공학 기반 공격의 잠재력을 크게 증가시킨다.
기업들은 이 범죄에 맞서기 위해 내부적으로 구현할 수 있는 선제적 조치와 로비 및 연합이 필요한 장기적 조치를 포함한 두 가지 접근 방식을 취할 수 있다. 기업들이 취할 수 있는 선제적 조치는 다음과 같다:
- SMS 및 음성 메시징 채널에서 벗어나기: 이상적인 방법이다. 가능한 한 SMS 및 음성 채널을 푸시 알림, 이메일, 앱 내 채팅 및 인증기로 대체한다.
- 메시징 채널 요금을 주시하기: 제공업체에 요금 실시간 업데이트를 요청하고, 단가가 정규 메시지나 통화 비용 임계값을 초과할 경우 청구서를 플래그하고 이의 제기한다. 총 비용 임계값이 도달하면 SMS 및 음성 채널을 꺼둔다.
- PRN 전송 차단: 프리미엄 요금 번호로 전송된 통화나 메시지에 대한 비용을 지불하지 않도록 한다. 이러한 요금 청구를 방지할 수 있도록 계약을 구조화한다. SMS 요금 사기에 대한 구제책이 될 것이다.
- 메시징 채널에 봇 방어 조치 적용: 임시 방편이지만, 이러한 채널이 절대적으로 필요한 경우 이러한 흐름에 봇 방어 조치를 적용한다. 공격자들은 일반적으로 이러한 공격을 확장하기 위해 봇을 사용한다. 봇 방어 플랫폼은 문제를 완전히 제거하지는 못하겠지만 청구서를 통제하는 데 도움이 될 수 있다.
- 지오펜싱 적용: 메시지 또는 음성 통화 트리거와 관련된 디지털 흐름에 지오펜싱을 적용한다. 일반적으로 이러한 공격은 소송을 피하기 위해 해외에서 발생한다.
다음과 같은 장기적인 조치도 기업에 도움이 될 수 있다:
- 네트워크 운영자들과의 로비를 위한 연합: 기업들은 연합하여 네트워크 운영자들과 협상하고, 인프라를 업그레이드하며 더 나은 사기 방지 조치를 채택하도록 강요할 수 있다. 강제되지 않는 한, 네트워크 제공업체는 SMS 요금 사기로 발생하는 수익을 줄일 인센티브가 거의 없다.
- 정부 기관과의 로비를 위한 연합: 기업들은 연합하여 정부 기관과 협력하여 네트워크 운영자, 특히 공격자들에게 가장 많이 악용되는 운영자들을 엄격하게 다루도록 로비를 할 수 있다. 정부 기관은 네트워크 운영자들이 인프라를 업그레이드하고 제로 트러스트 조치를 보다 적극적으로 채택하도록 강제할 수 있다. 마찬가지로, 통신 SaaS 제공업체도 더 나은 사기 방지 조치를 채택하도록 책임을 져야 한다.
이러한 사기가 여러 기업에 "큰 피해"를 입혔지만, 일부 정부는 조치를 취하기 시작했다. 사례로, 호주 통신 미디어 관리국(ACMA)은 엄격한 정책을 수립하고 이를 위반한 네트워크 운영자들에게 강력한 벌금을 부과하고 있다. 하지만 더 넓은 정부 차원의 압박은 아직 이루어지지 않았으며 그때까지 기업들은 스스로 자신들을 보호해야 한다.
출처: Ayan Halder | Traceable (2024년 8월 29일)
'사이버 안전' 카테고리의 다른 글
사이버 인력 부족, 여전히 CISO들의 가장 큰 고민 (8) | 2024.09.13 |
---|---|
오픈 소스 도구로 유권자들이 선거 결과를 검증할 수 있게 된다 (5) | 2024.09.10 |
사이버 보안 인재 부족, 백악관의 대처 (6) | 2024.09.07 |
주요 클라우드 플랫폼의 치명적인 버그 (0) | 2024.06.04 |
생성형 인공지능 시대의 개인정보보호 (0) | 2024.06.04 |