[데이터넷] 링크드인이 공격자들의 도구가 되고 있다. 공격자들은 타깃 사용자를 유인하기 위해 링크드인을 이용한다. 대표적인 예로 북한의 해킹그룹 라자루스는 가상자산 분야에서 일자리를 찾는 사용자에게 링크드인을 통해 접촉해 암호화폐 해킹을 위한 정보를 수집했다. 공격자는 신뢰할 수 있는 기업·기관의 공식 프로필을 사칭하거나 이 기업의 인사 담당자로 위조한 링크드인 계정을 만든다. 그리고 타깃이 될 수 있는 사용자에게 매력적인 일자리를 제안하면서 친분을 쌓으면서 필요한 정보를 얻어내거나 타깃 사용자에게 악성앱 설치를 유도해 감염시킨다.

링크드인은 2021년 하반기부터 위조된 프로필을 제거했는데, 이 작업이 시작된 후 1200만여개의 가짜 계정을 제거했다. 그리고 지난해 10월 보안기능을 추가해 프로필에 확인된 업무용 이메일이나 전화번호가 있다는 것을 보여주면서 프로필이 진짜인지 확인할 수 있게 했다.

이러한 노력에도 불구하고 링크드인을 통한 사회공학 기법의 공격은 계속되고 있다. 트렌드마이크로는 사이버 공격자가 링크드인을 이용해 데이터를 탈취하고 수익화하는 방법을 자세히 설명했다. 해커는 피싱이나 기타 다른 방법을 이용해 사칭하려는 기업·기관의 인사 담당자의 계정을 탈취, 링크드인 프로필을 만들거나 장악한다.

SNS 등을 통해 목표 기업에 종사하는 사람 중 회사에 불만이 있거나 이직을 검토하는 사람을 찾아 접근한다. 좋은 조건으로 이직을 제안하거나, 교육 프로그램을 안내하면서 개인정보 입력을 유도한다. 경영진도 공격자의 타깃이 된다. 회사 운영방식에 대한 우발적인 데이터 노출을 유도하거나 경영진 혹은 공식 링크드인 프로필 장악을 위한 데이터 탈취도 가능하다.

현재 링크드인은 새로운 프로필을 등록할 때 엄격한 계정 확인 정책을 시행하고 있기 때문에 공격자가 새로운 사칭 계정을 만드는 것이 어렵다. 그래서 공격자는 휴면계정을 입수하려고 시도하며, 국가별·연도별로 구분되된 데이터베이스 등 활용 가치가 높은 데이터가 1500달러 이상 거래된 사례가 보고되기도 했다. 보통 새 계정과 오래된 계정은 15달러 정도에 판매되는 것으로 알려지는데, 특정 국가 혹은 특정 업무에 종사하는 사람들의 계정을 별도로 요구하는 게시물이 지하포럼에서 자주 발견된다.

링크드인의 프리미엄 계정은 다양한 기능을 이용할 수 있다. 다수의 메시지 전송 기능, 채용 제안을 위한 온라인 양식작성 및 파일 송수신 등이 가능하다. 이러한 메시지를 받은 사람은 계정의 진위를 파악하지 않고 이력서를 보내는 경향이 있기 때문에 보다 쉽게 정보를 획득할 수 있다.

트렌드마이크로는 링크드인 등 SNS를 통한 공격으로부터 피해를 입지 않기 위해 주의할 점을 제안했다.

• 사용자: 프로필 소개에 전화번호, 주소, 이메일 등의 데이터를 게시하지 말고, 게시물 공유 전 공유해야 할 대상을 선별한다. 회사사의 소셜 미디어 정책을 숙지하고, 이를 위반할 경우 발생할 수 있는 피해에 대해 충분히 알고 있어야 한다. 인터넷에 개시되는 내용은 일반적인 내용만 공개하며, 정보의 양은 제한해야 한다.
• 기업: 임직원에 대한 소셜미디어 정책을 정확하게 수립하고 구현한다. 직원마다 기밀성이 다른 정보를 처리하기 때문에 역할에 따른 정보 공개 범위와 수준이 달라진다는 점을 고려해야 한다. 특히 권한이 높을수록 민감한 정보를 다루기 때문에 더 제한적인 지침이 필요하다.
  기업의 계정과 프로필, 규제준수, 검증, 사고관리 시나리오를 수립하고 운영하며, 사칭 계정을 처리할 담당자를 지정해 임직원이 사칭계정 발견 시 즉각 신고해 조치할 수 있게 한다. 모든 비즈니스 계정과 개인계정에 MFA를 적용하며, 올바른 암호 위생을 실천하게 한다.

김선애 기자 다른기사 보기