해커들이 기업 내부자로 가장해 보안정보에 접근할 경우, 대기업 직원들조차 별다른 의심없이 관련 정보를 제공하는 것으로 나타났다.
3일(현지시간) 컴퓨터월드 등 외신들에 따르면, 지난달 세계 최대의 보안 컨퍼런스 '데프콘'에서 포춘 500 기업 직원들을 대상으로 사회공학해킹 테스트를 실시한 결과, 135명 중 5명만이 아무 정보도 제공하지 않았다.
사회공학해킹이란 인간적인 신뢰를 바탕으로 사람들을 속여 정상적인 보안 절차를 깨트리는 해킹 수법 중 하나다. 테스트 상세결과는 이번 주 대회 관계자들이 미국 FBI에 보안 관련 정보를 보고하면서 알려졌다.
'데프콘' 테스트에 참여한 해커들은 투명 부스 안 관중들이 지켜보는 가운데, 구글, 월마트, 시만텍, 시스코, 마이크로소프트, 펩스, 포드, 코카콜라 등 17개 대기업 직원들에 전화를 걸어 정보를 얻어냈다.
해커들은 자신의 신분을 감사중인 내부 직원이나 설문조사를 진행중인 컨설턴트로 가장했다.
테스트 결과, 전화에 응답하지 않은 한 기업을 빼고 모든 기업의 정보가 노출됐다.
암호나 보안코드 같은 민감한 정보는 테스트 대상에서 제외됐지만, 운영체계, 백신 프로그램, 사용 중인 브라우저 같은 정보는 쉽게 알아낼 수 있었다.
테스트 대상회사 중 절반 정도가 심각한 보안 문제가 제기된 익스플로러6를 아직까지 사용하고 있었다.
또한 해커가 직원에게 외부 사이트에 접속하도록 유도할 경우, 직원 대부분이 별다른 의심없이 그 사이트에 접속했다.
테스트 관계자들은 "1회성의 보안교육은 효과가 없고 지속적인 교육이 필요하다"며, "낯선 사람과 대화할 경우, 회사에 관한 정보를 공유하지 않는 게 가장 효과적인 대처법"이라고 충고했다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기