사이버 보안 인식의 달: 소름 끼치는 사이버 사건들

Cybersecurity Awareness Month: Horror stories

사이버 보안에서 중요한 질문은 '사고가 발생할지 여부'가 아니라, '언제 발생할지'입니다. 아무리 뛰어난 보안 시스템을 갖췄더라도, 가장 큰 취약점은 인간의 행동에서 비롯되기 마련입니다.

10월은 사이버 보안 인식의 달이자, 일년 중 보안 사건에 대해 재고해보는 시기입니다. 그래서 사이버 보안 전문가들에게 잊지 못할 보안사건에 대해 물어보았습니다.

(참고로, 회사와 이름은 보호 차원에서 익명 처리되었습니다.)

When it comes to cybersecurity, the question is when, not if, an organization will suffer a cyber incident. Even the most sophisticated security tools can’t withstand the biggest threat: human behavior.

October is Cybersecurity Awareness Month, the time of year when we celebrate all things scary. So it seemed appropriate to ask cybersecurity professionals to share some of their most memorable and haunting cyber incidents. (Names and companies are anonymous to avoid any negative impact. Suffering a cyber incident is bad enough.)

궁극의 클릭베이트 희생자

The ultimate clickbait victim

한 건설 회사에서 상당한 도난을 당하고 범죄자에게 돈을 송금하는 사건이 있었습니다. 이 사건은 재정적인 손실로 인해 상사가 매우 난처해졌음과 동시에, 연방 당국에까지 보고될 만큼 심각했습니다.

사건의 세부 사항을 분석한 결과, 한 직원이 이메일에 있는 모든 링크를 무차별적으로 클릭하는 습관에 있었습니다. 이 직원은 보안 교육을 여러 번 받았음에도 불구하고, 피싱 공격에 계속 당했습니다. 더 큰 문제는 경영진이 이러한 사실을 알고 있었음에도 불구하고 해당 직원을 중요한 자리에 그대로 두었다는 것입니다.

추가 조사 결과, 이번 보안 사고와 네트워크 침해 과정에서 회사의 공식 문서 양식들이 해커에게 도용되어 악용된 것이 밝혀졌습니다. 해커는 이 문서를 이용해 자금을 빼돌리고, 벤더 결제 정보와 직원 급여 이체 정보를 변경하는 등의 범죄를 저질렀습니다.

하지만 이 사건에서 가장 충격적인 점은, 그렇게 보안에 취약한 행동을 반복하는 직원이 여전히 회사 내에서 고위직으로 활동하고 있었다는 점입니다. 

A construction company suffered significant theft and transfer of money from the organization to a bad actor. Needless to say, the boss wasn’t happy, and since it involved a financial loss, it was brought to the attention of federal authorities.

Upon review of the incident details, it was discovered that a user had a habit of clicking on links in emails — not just any links, but all of them! This user failed everything taught in the awareness training and repeatedly fell victim to phishing schemes. Even more concerning, this was known to management and ownership.

Further investigation uncovered that during the security incident and subsequent network compromise, official company forms were stolen and used against the organization. The threat actor used these official forms to move money and alter vendor payment information, as well as employee payroll direct deposits.

But perhaps the scariest part of the story is that the user, known to click on everything imaginable, was still allowed to operate in such an influential and high-profile position.

공용 와이파이로 드러난 비밀

Public WiFi shares too much information

한 고위 임원이 주말에 카페에서 공용 와이파이를 이용해 회사 서버에 접속했다가 큰 문제가 발생했습니다. 이 임원은 영업 부서에서 일하며 고객 기록, 민감한 데이터, 그리고 금융 정보에 접근할 수 있는 관리자 권한을 가지고 있었습니다.

잠깐 사무실 밖에서 일을 처리하려던 것이 해커에게 완벽한 기회를 제공한 셈이었는데, 해커는 중간자 공격(man-in-the-middle attack)을 통해 이 임원의 컴퓨터와 회사 서버 사이의 데이터를 가로채기 시작했습니다. 임원이 민감한 파일들을 다루면서 본의 아니게 그 데이터를 해커에게 노출시킨 것입니다.

다행히 보안 팀이 이 상황을 빠르게 파악해 큰 피해를 막을 수 있었지만, 조금만 늦었다면 고객들의 금융 정보가 유출될 뻔한 위험천만한 사건이었습니다. 이 사건은 얼마나 쉽게 사이버 공격의 대상이 될 수 있는지, 그리고 데이터를 보호하는 것이 얼마나 중요한지를 다시금 상기시켜 줍니다.

A senior executive decided to work from a coffee shop over a weekend, connecting to the public WiFi and then accessing their company’s servers. This person worked in sales, and due to their senior position, they had admin access to customer records, sensitive data and customer financial details.

What seemed like a little stint of out-of-office work turned into the perfect scenario for a hacker to launch a man-in-the-middle attack and begin to siphon sensitive data from the connection between this person’s computer and the company servers. By interacting with these sensitive files, they unknowingly exposed them to the malicious actor.

Luckily, the security team caught this mishap before any major damage was caused. If this had gone wrong, the customer’s banking data could have been breached. It really shows how easy it can be to become a victim of an attack and, even more importantly, highlights how essential it is to protect your data.

악성 파일 다운로드 사건

Guilty of malicious downloading

한 로펌에서 발생한 랜섬웨어 공격은 쉽게 잊을 수 없는 사건이었습니다. 직원 중 한 명이 법원 사건을 검색하다가, 검색 결과 상단에 있던 링크에서 PDF 파일을 다운로드했는데, 그 파일이 악성 코드로 감염되어 있었습니다.

로펌은 즉시 보험사에 연락했고, 보험사는 보안 침해 대응팀을 연결해주었습니다. 대응팀은 먼저 모든 컴퓨터를 즉시 꺼서 피해를 확산시키지 않도록 지시했습니다. 이로 인해 로펌은 2주 넘게 업무가 마비되었습니다. 대응팀은 각 컴퓨터의 드라이브를 복제해 샌드박스 환경에서 분석하며 최초 감염 경로를 추적했습니다. 감염 지점을 찾아내는 데 성공한 뒤, 나머지 컴퓨터들을 하나씩 재이미징하고, 단계적으로 다시 가동하는 데에도 2주가 더 걸렸습니다.

이 사건 이후, 로펌은 랜섬웨어 공격을 방지하기 위해 정기적인 사이버 보안 교육을 실시하고, 새로운 모니터링 도구를 도입했으며, 직원들이 접근할 수 있는 웹사이트를 신뢰할 수 있는 DNS로 제한하는 등 보안을 크게 강화했습니다.

A law firm suffered a ransomware attack. It originated when someone was searching for a court case and downloaded a PDF from one of the first links they came across.

The law firm called their insurance company, which connected them to a breach response team. That team had them turn off all of the computers in the environment. The entire firm was shut down for over two weeks while the response team cloned drives, deployed them in sandbox environments and tried to identify the initial point of entry. Once they were reasonably confident that they knew where the entrance point was, it took another two weeks to gradually reimage and bring back online the rest of the computers.

To prevent future ransomware attacks, the firm instituted regular cybersecurity training, added new monitoring tools and tightened up the sites (e.g., via trusted DNS) that could be accessed by their employees.

관리되지 않은 블로그

Rogue blog

한 온라인 소매업체에서 큰 문제가 발생한 건, 관리자가 회사의 전자상거래 웹 서버에 워드프레스 블로그를 설치하면서 시작되었습니다. 의도는 좋았지만, 실행이 제대로 이루어지지 않았습니다. 이 블로그는 정기적인 유지보수나 취약점 스캔에 포함되지 않아 보안 패치가 되지 않았고, 특히 비밀번호 재설정 과정에서 발생한 심각한 취약점이 방치된 상태였습니다. 해커는 이 취약점을 악용해 CMS 관리자 포털을 통해 웹쉘을 업로드했고, 결국 하드코딩된 데이터베이스 자격 증명까지 탈취하며 서버를 장악하게 되었습니다.

문제를 더욱 악화시킨 건, 침해 사실을 처음 발견한 사람이 웹쉘을 제거하려다 포렌식에 중요한 증거들을 지워버린 것입니다. 이로 인해 이후 조사 과정이 상당히 지연되고 복잡해졌습니다.

An online retailer was compromised when an admin installed a WordPress blog on their e-commerce web server. While the action was well-intended, it was poorly executed. The CMS was not incorporated into routine maintenance or vulnerability scanning, so it remained unpatched, including a critical vulnerability in the password reset process. Poor coding habits meant that a webshell uploaded via the CMS admin portal was quickly able to discover hardcoded database credentials.

A second well-intended but poorly executed step was when the person who first discovered the breach tried to purge the webshell, scrubbing a lot of forensic artifacts in the process and significantly impeding the subsequent investigation.

사라진 노트북

The case of the missing laptop

한 의료 기관에서 관리자가 연휴 동안 작업용 노트북을 집으로 가져갔다가 노트북이 사라지는 사건이 발생했습니다. 이 노트북에는 환자의 개인정보와 재무 데이터가 담겨 있었으며, HIPAA 보호를 받는 민감한 정보였기 때문에 의료 기관은 데이터 유출로 보고할 위기에 처했습니다.

상황이 더욱 복잡해진 것은 연휴 다음 날, 이 관리자가 교통사고로 사망했다는 소식이 전해진 것입니다. 동료들은 그를 잃은 슬픔에 빠졌고, 동시에 노트북과 그 안에 담긴 민감한 정보에 대한 걱정도 커졌습니다. 가족에게 노트북을 반납해달라고 요청했지만, 노트북은 찾을 수 없었습니다.

의료 기관은 데이터 유출의 가능성에 직면했지만, 여전히 데이터의 보안을 지키고 싶었습니다. 다행히도 Managed Service Provider(MSP)를 통해 여러 보안 도구를 도입해 두었기 때문에 원격으로 데이터 접근을 차단하고 민감한 데이터를 삭제할 수 있는 기능이 있었습니다.

MSP는 노트북의 상태를 점검한 결과, 노트북이 온라인 상태라는 것을 발견했습니다. 이후 안티-도난 툴을 활용해 노트북의 웹캠을 켜서 위치와 사용자를 확인할 수 있었습니다.

놀랍게도, 웹캠 화면에는 사망한 관리자가 RV 안에서 유튜브를 시청하며 새로 산 오프로드 바이크를 벽에 세워두고 있는 모습이 포착되었습니다. 경찰에 신고하자, 추가적인 추적을 통해 도망친 관리자의 위치를 파악할 수 있었습니다. 당국은 그를 발견하고, 훔친 노트북과 함께 8,000달러의 현금을 소지하고 있다는 사실을 확인했으며, RV 역시 도난당한 것으로 드러났습니다.

이 사건은 단순히 암호화만으로는 충분하지 않다는 점을 보여줍니다. 가장 중요한 것은 원격으로 접근을 차단하고 민감한 데이터를 완전히 삭제할 수 있는 능력이었다는 것을 알게 되었습니다.

A medical practice administrator had work to do over a holiday weekend, so they took their work laptop home. This person was a long-standing employee, well-liked and had great employee reviews — the type of individual any organization would trust to be a responsible caretaker of any sensitive data in their possession.

The particular work laptop the employee took home contained patient information subject to HIPAA protections, as well as financial data that could very quickly do the organization damage if it fell into the wrong hands.

On the first workday after the holiday weekend, the medical practice received a phone call. A family member called to inform them that the administrator had died, killed in an auto accident.

Workers at the medical practice were appropriately distraught over losing the coworker they had known for years and offered their condolences to the family and each other. At the same time, there was concern about the laptop and the sensitive information it held. The family was informed about the need to return the laptop to the medical facility, but it could not be found.

The medical practice was now faced with the possibility of having to report the situation as a data breach, but still wanted to make sure the data would remain secure and private. The organization used a Managed Service Provider (MSP), which implemented security tools across the medical practice’s devices, including encryption and remote data security tools, like revocation of access, remote data wiping and other security and reporting tools.

The MSP quickly performed a check of the computer and discovered that it was indeed connected and online. By deploying another anti-theft tool, it was possible to activate the laptop’s webcam to see where the laptop was, and who was using it.

The image revealed none other than the deceased administrator — very much alive and holed up in an RV in the desert. Apparently, they were watching YouTube videos with a new dirt bike resting against the wall. The police were contacted, and further traces located the rogue employee’s position. The authorities discovered the administrator with the stolen laptop, $8,000 in cash, and soon learned that the RV was stolen as well.

Encryption would not have been enough on its own (since the administrator had the credentials). What was important was the ability to remotely remove access and remotely wipe sensitive data from a device altogether.

사이버 공포를 막는 방법

Stay safe from cyber horror

이런 사건들은 사이버 공격이 언제든지 발생할 수 있음을 보여줍니다. 하지만 교육과 보안 도구, 사전 대비가 있으면 사이버 공격이나 침해의 피해를 최소화할 수 있습니다.

There’s one thing these cybersecurity horror stories make clear: You can never truly know when or how a breach will occur. But when organizations use a combination of cybersecurity tools, education and planning ahead, the results of a cyberattack or breach don’t have to be downright terrifying.

https://securityintelligence.com/articles/cybersecurity-awareness-month-horror-stories/

Cybersecurity awareness month | Cyberattacks | Cybersecurity