소셜 미디어 플랫폼을 향한 해커들의 반격이 끊이지 않고 있다. 소셜 미디어는 우리 생활 속에 급속도로 전파되어 큰 영향을 미치기 시작했다. 때문에 해커들이 이 영향력을 악용해 다양한 방식으로 공격에 이용하고 있어 피해가 확산되고 있는 추세다.
일명 소셜 네트워크 서비스(SNS)라 불리는 트위터, 페이스북 그리고 비즈니스 중심의 SNS로 각광받고 있는 링크드인 등 이들을 향한 보안위협은 끊이지 않고 있다. 안철수연구소도 지난 상반기 10대 보안위협으로 SNS를 꼽았다. SNS는 확산 이후부터 꾸준히 보안 주의보에 시달려왔다.
하지만 소셜 미디어 플랫폼은 기업차원에서는 매우 중요한 홍보마케팅 수단으로 활용되고 있어 사회적 파급력이 크다. SNS는 기업들에게 브랜드 이미지구축과 정보제공 등의 순기능을 가지고 있지만 기업 브랜드 손상으로 인해 소송, 독점정보 노출 등 다양한 보안위협도 존재하고 있다. 떄문에 사용자들이 소셜 미디어를 이용할 때는 더욱 주의가 필요하다.
이처럼 SNS의 사회적 영향력 확산으로 보안위협이 심화되자 KISA는 '소셜 미디어의 보안위협 5가지'를 선정해 사용자들에게 주의를 당부했다. KISA는 5가지 주요 보안위협으로 ▲모바일 애플리케이션 ▲소셜 엔지니어링 ▲소셜 네트워킹 사이트 ▲내부 직원 ▲소셜 미디어 정책의 부재를 꼽았다.
■모바일 애플리케이션
먼저 소셜 미디어 확산에 가장 크게 기여한 모바일 기기의 확산으로 인해 모바일 애플리케이션이 위협요인으로 꼽혔다. 모바일 애플리케이션은 개방성을 강조하는 안드로이드 마켓 때문에 더욱 보안에 취약하다. 누구나 마켓에 애플리케이션을 공개할 수 있어 그만큼 더 다양한 악성코드가 존재하고 있다.
이미 올해 초 구글은 안드로이드 마켓에서 60개 이상의 악성코드를 제거하는 등 보안강화를 위한 조치를 취했다. 하지만 악성코드의 지능화·고도화 되고 있어 완전한 방어가 불가능한 상황이다. 일부 악성코드는 개인정보 복제 및 유출 뿐 아니라 데이터까지 파괴하는 경우가 발생하고 있다.
■소셜 엔지니어링(Social Engineering)
인적 네트워크에 기반한 소셜 미디어의 특성 때문에 개인정보 공유가 증가하고 있다. 공격자들은 때문에 공격자들이 이를 노린 잠재적인 사회공학적 기법을 통해 보안을 위협하고 있다.
소셜 엔지니어링이란 사람들의 민감한 정보를 유출하는 사회공학적 해킹기법을 말한다. 최근 SNS의 발달로 이용자 스스로가 페이스북, 트위터, 미니홈피 등의 SNS를 통해 다양한 개인정보를 공유하면서 소셜 엔지니어링 공격에 노출되어 있다.
■소셜 네트워킹 사이트
해커들은 최근 내부광고 및 애플리케이션 등을 통해 소셜네트워크에 악성코드를 유포하는 등의 공격을 감행하고 있다. SNS 대중화로 새로운 악성코드 전파 플랫폼이 된 것이다. 이를 활용한 주요 공격기법은 단축URL이다. 해커들이 수백만개의 단축URL을 SNS에 노출시켜 사용자들이 피싱이나 악성코드 사이트로 유입되도록 유도했다.
사용자들이 무심코 악성링크를 클릭하기 때문에 감염 성공률도 높다. 뿐만 아니라 리트윗 기능으로 인해 파급효과도 엄청나다. 시만텍 보고서에 따르면, 지난해 가장 많이 사용된 해킹기법은 단축URL로 전체 비율 중 65%에 달한다.
■내부 직원
기업 내부 직원들의 소셜 미디어 사용이 기업 보안을 위협하고 있다. SNS를 이용한 해킹기법의 성행으로 기업 내부자료 유출 및 해킹 위험을 증가시키기 때문이다.
이로 인해 기업들은 웹보안 공격에 대응한 애플리케이션 단에서의 보안을 강화해야 한다. 또한 내부 직원들을 대상으로 한 소셜 미디어의 사용에 대해 적절한 교육이 반드시 필요하다.
■소셜 미디어 정책부재
국내 소셜 미디어가 도입된지 얼마 되지 않아 이를 제어할 수 있는 방어수단이 부족한 상황이다. 특히, 기업은 직접적인 영향을 받고 있어 더욱 문제는 심각하다.
관련기사
- 당신은 이미 노출 되어있다!…‘SNS 신상정보 노출 심각’2011.07.16
- IE 사용자 '쿠키재킹' 주의보…"SNS 쓸 때 조심해야"2011.07.16
- 내 SNS정보가 회사 인사부로 팔린다2011.07.16
- 당신의 SNS 프로파일 괜찮을까?2011.07.16
때문에 보안 전문가들은 기업의 공식적인 소셜 미디어에 대한 정책을 수립해야 한다고 강조했다. 직원에 대한 적절한 교육정책도 강구해야 한다. 소셜 미디어에서 다양한 사회적·기술적 보안위협이 복합적으로 발생하는 점을 감안해 이를 위한 국가적 차원의 소셜 미디어 보안대책 및 가이드라인 수립도 필요하다.
이호웅 안철수연구소 시큐리티대응센터 센터장은 악성코드나 해킹이 점차 심각한 범죄로 확대되는 추세일 뿐 아니라 SNS, 검색, 온라인 뱅킹 등 인터넷 환경에 보안위협이 지뢰처럼 묻혀있다면서 사용자들 스스로 자신의 정보와 재산을 지켜야 한다는 보안의식을 가지는 것이 중요하다고 당부했다.
