글로벌 보안 기업 S사. 이 회사의 사원증엔 회사명이 없다. 사원임을 확인할 수 있는 얼굴 사진과 전화번호만이 표시된다. 사원증만 보면 도대체 어떤 회사에 다니는지 알 수 없다. 이 회사는 왜 이런 이상한 사원증을 만들었을까.
세계 최고 보안회사를 표방하는 S사는 사원증 분실로 발생할 수 있는 위협 요소를 줄이려고 아이디어를 냈다. 사원증을 분실하고 주워도 어디에 쓰는지 알 수 없게 했다. 사소한 요소지만 보안이라는 키워드를 생활화한다.
올해 들어와 국내 보안과 상용 소프트웨어(SW) 기업 제품이 사이버 공격에 이용됐다. 공격자는 국내에서 주로 쓰는 보안과 SW 제품을 특정 기업이나 기관을 해킹하는 통로로 악용한다. 표적 기업이 사용하고 있는 보안이나 SW 제품이 무엇인지 알아내면 사이버 공격은 좀 더 수월해진다. 공격자는 어떻게 표적 기업이 쓰는 제품을 정확히 알아냈을까. 답은 의외로 쉬운 곳에 있었다. 홈페이지만 잘 검색하면 표적 기업이 쓰는 제품의 현황이 파악된다.
대부분 기업은 홈페이지에 고객사 명단을 올린다. 일부 기업은 제품 버전까지 상세하게 안내한다. 기업 홍보지만 공격자에게 유용한 정보다. 공격자는 표적 기업이 사용하는 보안 솔루션과 상용 SW까지 모두 알아낸다. 관련 제품 취약점을 찾아내 공격에 이용한다.
이란 에너지 관련 홈페이지에 올라간 홍보용 사진도 유명하다. 무심코 올린 사진이었지만 이란 원심분리기 구조와 현재 사용되는 윈도 버전, 상용 SW 정보가 담겨 있다. 물리적 첩보 활동으로 수집해야 하는 고급 정보가 공식 홈페이지 사진에 소개됐다.
사이버 공격에서 정보 획득은 상당 비중을 차지한다.
기업과 기관 보안의 취약점은 우리가 예측하지 못하는 곳곳에 남아 있다. 무심코 넘긴 생활 속 보안 내용이 기업에 엄청난 위협을 초래한다. 곳곳에서 보안을 생활화하지 않은 탓이다. 첨단 보안 솔루션을 써도 이런 허점에 속수무책 당한다.
잃어 버려도 어디에 쓰는 출입증인지 모르게 하는 작은 아이디어가 기업의 보안 수준을 높인다. 생활 속 보안이다. 기업의 모든 활동에서 홈페이지 정보와 보도자료 사진까지 보안을 다시 한 번 점검할 시점이다.
김인순 보안 전문기자 insoon@etnews.com