해커, 경찰 사칭해 개인 정보 탈취... 기업 보안의 허점

해커들이 경찰을 사칭하여 이메일 스푸핑, 전화번호 변조 등의 수법으로 대형 기술 기업으로부터 개인 정보를 탈취함

기업들은 신원 확인 절차의 허점을 노출하며, 소셜 엔지니어링 공격에 취약한 모습을 보임

커뮤니티에서는 법적 규제 강화와 아웃 오브 밴드 인증 도입을 통해 문제 해결을 촉구함

소셜 엔지니어링 공격의 기술적 허점

해커들은 이메일 스푸핑과 전화번호 변조 기술을 활용하여 경찰을 사칭한다. 구체적으로, 실제 기관의 도메인과 유사한 도메인을 구매하거나, 발신 번호를 위조하여 기업의 신원 확인 시스템을 우회한다. 따라서, 기업은 피싱 공격에 대한 방어 체계를 강화하고, 다단계 인증 도입을 고려해야 한다.

기업 보안 시스템의 취약성

대부분의 기업은 2FA(2단계 인증)를 포함한 기본적인 보안 시스템을 갖추고 있지만, 소셜 엔지니어링 공격에 취약하다. 반면, 헬프 데스크 직원의 부주의로 인해 IP 제한 및 비밀번호 없는 로그인이 가능해지는 사례가 발생한다. 결과적으로, 기업은 직원 교육을 통해 보안 의식을 높이고, 접근 권한 관리를 강화해야 한다.

법적 규제 및 보안 강화 방안

커뮤니티에서는 정부 기관의 정보 요청 시 아웃 오브 밴드 인증을 의무화하는 법적 규제를 제안한다. 구체적으로, 수사 영장과 같은 법적 절차를 통해 정보 요청의 적법성을 검증해야 한다. 따라서, 기업은 법률 전문가와 협력하여 데이터 요청 처리 절차를 개선하고, 보안 감사를 정기적으로 실시해야 한다.