기업의 핵심 정보를 해커에게 흘리는 장본인은 누굴까? 신입사원도 전산담당자도 아니다. 바로 개념 없는 최고경영자(CEO)다.
26일 월스트리트저널에 따르면 보안 전문가들은 기업 정보를 빼내려는 해커가 CEO를 겨냥하는 사례가 늘고 있다고 말했다.
해커가 CEO를 노리는 이유는 가치 있는 정보를 많이 갖고 있는 반면 방어는 허술하기 때문이다. CEO는 사내 보안 관리 대상이 아닐 경우가 적지 않다. CEO가 자신의 PC는 방화벽 내에서 빼라고 지시하는 사례도 있다. 도박이나 성인 사이트를 접속을 자유롭게 접속하려는 이유가 숨어 있다.
CEO는 상대적으로 유명하고 지인도 많은 탓에 이메일을 열거나 링크 클릭을 유도하는 해커들의 미끼에 쉽게 걸려든다. 업무상 파트너로 위장한 이메일을 클릭했다가 지적 재산권, 개인정보 도용에 노출되는 경우가 부지기수다.
CEO의 명함 한 장이 나도는 것만으로도 회사는 위험에 빠질 수 있다. 직함, 이메일 주소와 같은 일반적인 정보만 따로 거래하는 암시장이 성행한다. 보안 전문가 단초 단체브는 “약간의 세부 데이터만 있어도 해커는 해당인의 네트워크를 장악할 수 있다”고 말했다.
최근 버라이즌이 발표한 데이터 위반 관련 보고서에 따르면 `스피어 피싱` 같은 소셜 엔지니어링 공격 대상이 되는 직급 1위는 CEO로 나타났다. 스피어 피싱은 특정인을 목표로 그가 신뢰할 만한 발신인으로 위장해 메일을 보내는 공격이다. 보안컨설팅업체 피시미가 기업들을 상대로 모의실험한 결과, CEO가 직원들보다 미끼를 물 확률이 25%나 높았다.
해커는 페이스북과 링크드인에서 입수한 CEO의 정보를 악용해 자녀가 다니는 학교나 골프 파트너가 보낸 것처럼 꾸며 이메일을 보낸다. 메시지에는 웹 링크가 포함돼 있는데 클릭하면 자동으로 악성 소프트웨어가 설치되고 해커의 목표나 전술에 따라 네트워크 전반으로 확산된다.
손드라 슈나이더 보안대학 CEO는 “최근 해커가 내 이메일이나 인터넷서비스공급자 외부 서버에 침투해 정보를 알아낸 뒤 내 이름과 주소로 지인들에게 이메일을 보내 큰 피해를 본 적이 있다”고 전했다.
전문가들은 CEO가 스마트폰으로 이메일을 확인할 때 특히 주의가 필요하다고 지적한다. 슈나이더 CEO는 “스마트폰으로 이메일을 받는 건 매우 위험한 행동”이라며 “굳이 스마트폰으로 민감한 정보가 담긴 이메일을 받아야겠다면 내용을 암호화하고, 사용하지 않을 때는 안전하게 저장해둬야 한다”고 조언했다.
경영자 보안을 위해 별도의 조치를 취하는 기업도 생겨나고 있다. 그러나 이 조치 자체도 해커의 타깃이 될 수 있어 조용히 진행되고 있다는 설명이다.
정미나기자 mina@etnews.com
보안 불감증 CEO가 정보 유출의 최대 `구멍`인 이유는?
①IT 부서 위에서 군림하면서 회사 보안 규정을 받지 않는다.
②지인이 많은 탓에 해커의 미끼 이메일에 쉽게 걸린다.
③암호화도 안한 스마트폰으로 언제나 회사 주요 업무를 본다.