※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1789호(2017. 3. 29 발행)에 기고한 원고입니다. 


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

왜 피싱에 속는가_뇌과학 보안.pdf



[요 약]


기업이나 정부 기관은 사이버 공격의 위험으로부터 조직과 데이터를 보호하기 위해 막대한 비용과 시간을 투자해 보안 시스템을 구축하고 있지만내부 직원들이 의심스러운 첨부 파일을 생각 없이 열어 악성 코드가 침입하거나 중요 정보가 유출되는 일은 빈번히 발생함그 동안은 사용자 보안 교육 강화에서 해법을 찾으려 했으나최근에는 왜 인간이 간단한 트릭에 속아 피싱 피해가 끊이지 않는지를 신경과학 관점에서 규명하고 보안 제품 개선으로 해결하려는 시도가 전개되고 있음



[본 문]


ž 작년 미국 대선에서는 사이버 보안이 선거 기간 내내 이슈로 제기되었으며, 트럼프 취임 이후에도 연일 해킹 관련 뉴스가 보도되며 논란이 지속되고 있음


Ø
미국의 대통령 선거 운동이 한창이던 작년 7, 2만여 개에 달하는 민주당 전국위원회(DNC) 관계자들의 이메일이 해킹을 당하고, 이 메일들이 폭로 전문 사이트인 위키리크스(WikiLeaks)를 통해 공개되는 사건이 발생하였음


Ø 공개된 메일을 통해 DNC 의장과 당 지도부 인사들이 민주당 경선 후보 중 힐러리 클린턴을 편향적으로 지지한다는 사실이 드러나면서, 민주당 대선 후보로 힐러리와 경합을 벌이고 있던 버니 샌더스 상원의원의 지지자들은 당 지도부를 거세게 비판하였음


Ø 이 사건으로 결국 논란의 중심에 섰던 데비 와서먼 슐츠 DNC 의장이 사임했지만, 10월에 위키리크스가 힐러리 선거

대책본부 인사들의 이메일을 추가 공개하면서 힐러리 캠프는 또 다시 곤란한 상황에 직면하게 되었음


Ø 위키리크스에 공개된 힐러리 선거대책본부장 존 포데스타의 메일은 2만 페이지에 이르는데, 이 중에는 힐러리가 과거 월가에서 거액의 강연료를 받고 월가를 옹호했던 연설 내용도 포함


Ø 공개된 내용들은 당시 힐러리가 선거 유세에서 했던 발언들과 상반되는 것이어서, 겉과 속이 다른 힐러리를 믿지 못하겠다는 비난 여론이 비등하며 선거전에서 큰 타격을 받게 되었음



<자료> WikiLeaks


[그림 1] 위키리크스 공개 민주당 내부 이메일


Ø 실제 힐러리 패배의 중대 이유 중 하나로 위키리크스에 공개된 메일이 꼽히고 있는데, 민주당 측은 논란 초기부터 이메일 해킹의 배후에 러시아가 있다고 지목하면서 러시아가 트럼프 후보를 돕기 위해서 민주당의 전산망을 해킹했다는 주장을 제기하였음


Ø 미국 첩보기관 연합체(US Intelligence Community) 역시 미국 대통령 선거에서 러시아가 힐러리 후보의 활동을 방해했다고 결론 내렸는데, 미국 정보 기관들은 크렘린과 관계 있는 인물이 DNC의 메일 시스템에 침입한 뒤 이를 위키리크스에 제공했다고 보고 있음


ž DNC 메일에 침입한 해킹 기술은 스피어 피싱(Spear Phishing)으로 알려졌는데, 이는 발신자를 신뢰할 수 있는 사람으로 위장해 수신자의 기밀 정보를 훔치는 기법임


Ø 불특정 다수의 개인정보를 빼내는 피싱(phishing)과 달리 스피어 피싱은 특정인의 정보를 캐내기 위한 피싱 공격을 말하는데, 열대지방 어민의 작살 낚시(spear fishing)에 빗댄 표현임



<자료> Kenyon College

[그림 2] 구글 메일 팀을 사칭한 피싱 사기 예


Ø 스피어 피싱은 주로 수신자가 믿을 만한 지인이나 익숙한 웹사이트에서 보낸 메일의 형태로 시도되는데, 수신자 외에도 수신자가 알 만한 사람들을 공동 수신자나 참조자로 같이 포함시키며 수신자들이 최대한 신뢰할 수 있는 표현을 사용함


Ø 스피어 피싱 공격을 위해서는 먼저 웹에 존재하는 사용자의 정보를 악용해 수신자의 친구, 혹은 물건을 구입한 온라인 쇼핑몰을 알아내며, 이들의 계정으로 가장하여 메일을 보내 수신자의 개인 정보를 요청하거나 정상적인 문서 파일로 위장한 악성코드를 실행하도록 유도함


Ø 힐러리 캠프에 대한 공격의 경우 해커들은 존 포데스타의 지메일을 표적으로 삼았는데, 긴 사이트 주소를 짧은 주소로 바꿔 주는 비틀리(Bitly)로 단축된 URL을 클릭하면 지메일 로그인 페이지가 나타나 ID와 비밀번호를 입력하도록 설계하였음


Ø 존 포데스타는 입력 후 이상한 느낌이 들어T 부서에 확인을 요청했는데, 이미 속임수에 넘어가 ID와 비밀번호를 입력한 후였기에 정보 누출을 막을 수 없었음


Ø 스피어 피싱의 경우 사기범들이 이전에 거래한 적이 있는 곳이나 아는 사람을 가장해 정보나 송금 등을 요청하는 탓에 피해자들이 해킹을 당하고 있다는 의심을 하기가 쉽지 않음


Ø 게다가 SNS 등으로 인해 특정인에 대해 수집할 수 있는 정보의 유형과 양이 늘어남에 따라, 스피어 피싱은 어찌 보면 간단한 속임수이지만 성공 확률 높은 해킹 수단이 되고 있음


ž 이처럼 스피어 피싱에 사람이 속는 데에는 인간의 뇌 구조가 관여하는 것으로 알려져 있으며, 이에 따라 최근에는 뇌 과학을 활용한 보안 기술 연구가 진행되고 있음


Ø 브리검 영 대학(Brigham Young University)의 앤서니 밴스 교수 등은 뇌 과학 및 보안에 관한 논문, 득보다 실? 작업 중 보이는 보안 메시지가 사람을 어떻게 공격에 취약하게 만드는가(More Harm Than Good? How Messages That Interrupt Can Make Us Vulnerable)를 발표하였음

More Harm Than Good How Messages That Interrupt Can Make Us Vulnerable_BYU.pdf


Ø 이 논문은 인간이 멀티 태스킹을 하는 때가 많다는 점에 주목하여, 어떤 작업을 하는 도중에 보안 메시지가 제시될 경우 인간의 뇌가 어떻게 반응 하는지를 기능적 자기공명영상(functional Magnetic Resonance Imaging: fMRI)를 이용해 분석하였음


<자료> Jenkins et al.


[그림 3] 브리검 영 대학의 뇌과학보안 연구


Ø 피험자에게는 두 가지 작업을 동시에 해내는 과업을 부여하였는데, 구체적으로 피험자에게 7자리의 숫자를 기억하라고 요구하는 동시에 보안 메시지를 보여 줌으로써, 이런 경우 보안 메시지에 제대로 대응할 수 있는지를 시험하였음


Ø 연구 팀은 두 가지 과업을 동시에 할 경우 한가지 과업이 다른 과업(보안 대응)에 간섭하는 정도를 측정한다는 의미에서 이 실험을 DTI(Dual Task Interference, 듀얼 태스크 인터피어런스)라 부르고 있음


Ø 피험자가 두 가지 작업을 할 때 뇌의 혈류를 fMRI로 측정하였는데, 측정 부위는 중앙 측두엽(Medial Temporal Lobe, MTL)으로, 이곳은 사람의 장기 기억을 담당하는 것으로 알려져 있음


Ø 실험 결과 피험자가 듀얼 태스킹 상태에서 보안 메시지를 읽을 때 MTL의 혈류가 부족한 것이 관찰되었는데, 이는 멀티 태스킹이 MTL 부위의 활동을 저하시켜 장기 기억에 접근하여 보안 메시지에 반응하는 기능을 현저하게 제한한다는 것을 의미함


<자료> Jenkins et al.


[그림 4] 평상시와 멀티태스킹을 할 경우 중앙 측두엽(MTL)의 혈류 변화 비교


Ø [그림 4]의 왼쪽은 평범한 상태에서 보안 메시지를 읽고 있을 때의 fMRI 사진이고, 오른쪽이 DTI가 작용한 상태의 fMRI 사진인데, 듀얼 태스킹을 할 때와 비교할 때 평상시 상태인 경우 주황색 부위에서 혈류가 증가함을 확인할 수 있음


ž 이련 연구 분야를 최근에는 뇌신경보안(Neurosecurity)이라 부르는데, 뇌 과학 연구성과를 보안에 응용한 제품을 만들고 보안 제품의 인터페이스 개선을 목표로 삼고 있음


Ø 앤서니 밴스 교수의 논문 역시 보안 메시지를 표시하는 인터페이스를 개선할 필요가 있다고 제언하고 있는데, 멀티 태스킹 동안 보여지는 인간 뇌의 반응을 볼 때, 이용자가 현재 작업을 마치는 타이밍을 가늠한 후 보안 메시지를 표시해야 한다고 권고하고 있음



<자료> Jenkins et al.


[그림 5] 비디오 재생 시 표시되는 보안 메시지


Ø 브리검 영 대학 연구팀은 구글과 공동으로 자신들의 연구 결과를 크롬 브라우저에 응용하는 시도를 진행하고 있는데, 그 결과물이 크롬에서 제공하고 있는 크롬 클린업 툴(Chrome Cleanup Tool)이라는 보안 애플리케이션의 작동 방식 개선임


Ø 크롬 클린업 툴을 브라우저에 설치하면, 브라우저에서 보안상 문제를 감지할 경우 이용자에게 클린업 툴을 실행시킬 것을 촉구하는 메시지를 표시하게 되고, 사용자가 이 도구를 실행하면 브라우저에 침입한 악성 코드 등을 제거 할 수 있게 됨


Ø 크롬 클린업 툴은 매우 편리한 브라우저 보안 도구이지만, 그 동안 경고 메시지를 표시해도 이용자가 조치를 제대로 취하지 않는 문제를 어떻게 개선할 것인가 하는 과제를 안고 있었음


Ø 실제로 856 명의 피험자를 대상으로 시험을 실시한 결과, 이용자가 크롬 브라우저로 비디오를 볼 때 보안 메시지를 노출했을 때 79%가 무시하는 것으로 나타났음


Ø , 논문의 결과처럼 멀티 태스킹 상태에서 이용자는 보안 메시지에 제대로 반응하지 않는 것으로 나타난 것인데, 비디오 시청 외에 이용자가 정보를 입력할 때나 정보를 전송하는 등의 멀티 태스킹을 할 때에도 80%의 빈도로 메시지가 무시되는 것으로 나타났다고 함


Ø 이런 실험 결과를 받아 들여 구글은 브라우저가 보안상 문제점을 감지하더라도 즉각 메시지를 내보내는 것이 아니라 현재 이용자가 브라우저를 통해 진행하고 있는 작업 여부를 판단해 메시지를 표시하도록 크롬 브라우저의 인터페이스를 개선하였음


Ø 이용자가 비디오를 보고 있는 중이라면 보안 메시지를 비디오의 재생이 끝난 후에 표시하도록 했는데 이렇게 하니 메시지를 무시되는 경우가 44%로 내려 갔다고 하며, 웹 페이지가 로딩되는 것을 기다리는 동안 메시지를 표시할 경우 무시되는 경우가 22%로 크게 감소했다고 함


[1] 컴퓨터 작업 조건 별 보안 메시지 무시 비율

코드

조건

무시 비율

Low DTI-5

웹 페이지가 로딩되기를 기다리고 있을 때

22.11%

Low DTI-4

데이터가 처리되고 있는 동안

24.47%

Low DTI-2

비디오의 재생이 끝난 다음

43.75%

Low DTI-1

첫 페이지가 로딩되었을 때

44.79%

Low DTI-3

도메인을 전환하는 동안

46.32%

High DTI-4

윈도우가 닫히고 있는 동안

74.47%

High DTI-2

타이핑을 하고 있는 동안

77.89%

High DTI-1

비디오를 보고 있는 동안

79.38%

High DTI-3

정보를 전송하고 있는 동안

87.23%

<자료> Jenkins et al., 2016. 8


ž 스피어 피싱 등의 해킹은 인간 심리의 맹점을 파고드는 것이므로, 이용자에게만 주의 의무를 떠넘길 것이 아니라 뇌과학 연구 성과를 보안제품 개선에 적용하는 등의 맞대응이 필요


Ø 기업이나 정부, 그리고 개인 차원에서도 스피어 피싱으로 인한 피해가 끊이지 않고 있지만, 여기에는 인간의 뇌가 가지고 있는 기본적인 작동 메커니즘이 크게 관련되어 있다는 것이 뇌과학보안 연구자들의 강력한 주장임


Ø 우선은 이용자 본인의 부주의에 책임이 있겠지만, SNS의 일상화에 따라 사람을 속여 정보를 탈취하거나 금전적 손실을 입히는 소셜 엔지니어링이 더욱 정교해지고 있는 지금, 피싱 피해의 모든 책임을 개인에게 떠넘기려 해서는 안 된다는 것이 뇌과학 보안 연구의 결론임


Ø 개인의 부주의라는 측면 외에, 브라우저 및 응용 프로그램의 인터페이스가 정밀하지 못한 것도 해킹 피해의 중요 요인이 되는 것인데, 가령 바쁘게 작업을 하고 있는 도중에 보안 메시지가 표시되면 집중력이 분산되어 조작을 잘못 하게 되는 것은 누구나 한번쯤 경험해 봤을 문제임


Ø 사람의 생각이나 마음이라고 하는 것이 스스로의 결정이 아니라 실제로는 뇌가 작동하는 메커니즘의 결과이고, 뇌의 작동 방식이란 것이 종종 본인 스스로를 속이는 경우도 있다는 것이 뇌과학 연구자와 심리학자들의 견해임


Ø 피싱을 당한 사람들이 가장 괴로워하는 것은 정보 탈취로 인한 피해나 금전적 손실보다도, 어떻게 그런 것에 속아 넘어가냐는 주위의 핀잔과 본인 스스로 그런 간단한 속임수에 속아 넘어갔다는 것에서 느끼는 자괴감이라고 함


Ø 그러나 최신 해킹 수법들이 뇌과학과 심리학의 연구 결과를 적극 활용해 피해자를 공격하는 것이라면, 이를 방어하는 방법 역시 개인의 주의를 촉구하는 것이 아니라 뇌과학과 심리학의 연구 성과를 보안 메커니즘에 반영해 개선하는 데에서 찾아야 할 것임


Ø 구글 같은 대기업이 뇌과학보안 분야의 연구 성과를 제품 개발 및 인터페이스 개선에 활용함에 따라, 뇌과학에 근거한 보안 디자인에 앞으로 더 많은 관심이 쏠리게 될 것으로 예상