경영진을 노리는 개인 대상 사이버 공격이 급증하는 이유와 방어 전략
Taylor Long
Senior Analyst, Google Threat Intelligence Group
David Homovich
Advocacy Lead, Office of the CISO
Get original CISO insights in your inbox
The latest on security from Google Cloud's Office of the CISO, twice a month.
Subscribe해당 블로그의 원문은 2026년 3월 26일 Google Cloud 블로그(영문)에 게재되었습니다.
10년 전만 해도 경영진 보호란 장갑차, 전용기, 경호원들로 구축된 물리적 요새와 같았습니다. 하지만 비즈니스가 온라인으로 확장됨에 따라 비즈니스 리더를 향한 위협도 함께 커졌으며, 구글 위협 인텔리전스 그룹(GTIG)은 2024년부터 기업 임원들을 겨냥한 디지털 표적 공격이 눈에 띄게 급증하는 것을 목격하기 시작했습니다.
오늘날의 경영진은 그 자체가 브랜드의 살아있는 상징이며, 이로 인해 이념적, 정치적, 금전적 목적을 가진 위협 행위자들에게 매우 가치 있는 표적이 되고 있습니다. 디지털 괴롭힘과 물리적 폭력의 결합은 위험 수위에 도달했으며, 악의적인 행위자들이 경영진을 겨냥한 세간의 이목을 끄는 표적 공격을 수행하는 사례가 늘고 있습니다.
경영진과 그들의 고위급 접근 권한은 핵심 자산, 민감한 정보, 그리고 조직의 확장된 공급망으로 향하는 관문입니다. 구글의 새로운 이사회를 위한 보안 퍼스펙티브 보고서(Perspectives on Security for the Board report)에서 설명하듯, 조직은 경영진에 대한 현대적 위험을 최소화하기 위해 디지털 신호가 물리적 보안 전략에 직접 반영되는 통합 전략을 채택해야 합니다.
공격자들은 개인적인 신뢰와 관계를 악용하여 민감한 정보를 수집하고 특권 권한(Privileged credentials)을 탈취합니다. 여기에는 가족의 이름과 사진을 도용하거나, 친척 및 가까운 지인의 계정을 해킹하고, 가짜 계정을 만드는 행위 등이 포함됩니다.
이사회는 보안 예산이 조직의 전체 위험 관리 프레임워크에 통합되도록 보장함으로써 경영진을 보호하는 데 중추적인 역할을 할 수 있습니다. 이사회는 노출이 잦은 모든 리더에 대해 정기적인 위협 평가 및 모니터링을 의무화하는 명확한 정책을 수립하여, 경영진 보호 수준을 한층 더 높일 수 있습니다. 이러한 조치는 수동적인 대응보다 선제적인 인텔리전스를 우선시하는 문화를 조성하는 데 도움을 주어, 조직과 리더들이 물리적 피해와 평판 훼손으로부터 회복탄력성을 유지하도록 보장합니다.
위협 행위자들은 매우 치밀하며, 경영진을 표적으로 삼기 위해 다음과 같은 광범위한 개인 정보를 수집합니다.
- 사생활: 연락처, 취미, 건강 상태, 정치적 관심사, 가족 관계, 학력 및 경력 등
- 재정 및 기업 자산: 부동산 포트폴리오, 차량 세부 정보, 비즈니스 인맥 등
- 패턴 및 습관: 실시간 또는 예측 가능한 동선, 일과, 여행 일정 등. 이는 괴롭힘, 납치, 갈취 및 물리적 감시를 지원하는 데 악용될 수 있습니다.
그런 다음 공격자들은 수집한 데이터를 바탕으로 표적에 대해 고도로 맞춤화된 사이버 및 물리적 캠페인을 정교하게 설계합니다. 또한 그들은 가족, 가까운 친구, 업무상 지인을 포함한 임원 네트워크 전체의 온라인 활동을 파악하여 취약한 침투 경로를 확보하는 등 광범위한 정찰 활동을 수행합니다.
조직은 경영진의 디지털 발자국(Digital footprint)을 방어하는 일에 대해서도 동일하게 엄격한 기준을 적용해야 하며, 경영진이 위협 행위자들로부터 개인 데이터와 온라인 활동을 안전하게 보호할 수 있도록 적극적으로 조치를 취해야 합니다.
공격자들은 개인적인 신뢰와 관계를 악용하여 민감한 정보를 수집하고 특권 권한(Privileged credentials)을 탈취합니다. 여기에는 가족의 이름과 사진을 도용하거나, 지인의 해킹된 계정을 활용하고, 가짜 계정을 만드는 행위 등이 포함됩니다. 이러한 고도로 기만적인 소셜 엔지니어링 공격은 매우 우려스러운 일이지만, 보안 팀은 경영진의 디지털 생태계에서 나타나는 주요 패턴과 핵심 위험 벡터를 분석함으로써 위협을 선제적으로 차단할 수 있습니다.
궁극적인 목표는 경영진을 매력적인 표적에서 강력한 방어 체계를 갖춘 자산으로 탈바꿈시키는 것입니다. 이때 '디지털 상의 비노출'은 가장 효과적인 물리적 갑옷이 될 것입니다.
사이버 위협과 물리적 위협의 결합.
이사회가 다음에 취해야 할 조치
이사회의 핵심 우선순위는 표준 보안 프로토콜을 준수하는 것뿐만 아니라, 교육과 선제적 위험 완화를 통해 경영진을 지원하는 것이어야 합니다. Google Cloud CISO 사무국(Office of the CISO)은 광범위한 커뮤니티를 지원해야 하는 책임을 엄중히 여기고 있으며, 경영진 사이버 보안을 위해 다음의 세 가지 핵심 권장 사항을 제안합니다.
- 소셜 미디어 위생(Social media hygiene): 경영진과 그 가족의 사생활이 기업 침해를 위한 정찰 활동에 악용되지 않도록, 소셜 미디어 보안 설정을 적절히 관리하도록 지원하고 있습니까?
- 위치 프라이버시(Location privacy): 대외 노출이 잦은 행사에 참석하는 경영진의 이동 경로를 어떻게 보호하고 있습니까? 정확한 물리적 위치가 노출되는 것을 방지하기 위해 경영진과 가족의 실시간 위치 태그(Geo-tagging) 및 체크인에 관한 공식화된 정책을 갖추고 있습니까?
- 다중 인증(MFA)의 보편화: 신분 도용을 방지하기 위해 리더십 팀이 사용하는 모든 개인용 및 업무용 플랫폼에 다중 인증(MFA)이 적용되어 있습니까?
진화하는 위협 환경에 대한 명확한 통찰력은 경영진이 자신의 개인적인 삶과 업무적인 영역 모두를 안전하게 지킬 수 있는 힘이 됩니다. 경영진을 위한 전체 가이드라인과 이사회를 위한 보안 퍼스펙티브 보고서 전문은 여기에서 확인하실 수 있습니다.
