세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
늘 강조되는 보안 교육, 정말 효과가 있는 걸까?
  |  입력 : 2017-01-11 18:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
교육을 통해 배운 사실들, 실제 상황에선 무용지물
미래 기술, 인공지능 및 머신 러닝을 잘 활용해야


[보안뉴스 홍나경 기자] 2016년에는 산업의 분야와 크기를 막론하고 수백 만 개의 기관들이 사이버 공격의 표적이 됐다. 안티피싱 워킹 그룹(Anti-Phishing Working Group)의 최근 보고서에 따르면 400,000개의 피싱 사이트들이 2016년에 매달 발견됐고 작년 2사분기에는 피싱 공격이 사상 최고치에 달했다. 또한, 사이버 공격은 양적으로도 증가했을 뿐 아니라 고급화되기도 했다. 이런 상황에서 피싱 당한 사람이 잘못했다고 몰아가는 분위기는 현실적일 수 없다.

피싱 방지 대책 전문가로서 할 말은 아니지만 나는 피싱 교육의 효과가 미비하다고 생각한다. 또한, 사람이란 게 항상 완벽할 수 없기 때문에 아무리 교육 효과가 좋다고 한들 피싱 공격으로부터 100% 안전할 수는 없는 게 사실이다. 왜 우리는 피싱 공격에 당하고 또 당하는 것일까?

1. 점점 집중력을 잃어가는 현대인들
오늘날 사람들은 일상생활을 할 때 쉽게 방해를 받는데 특히 스트레스를 받게 되면 악성 링크 클릭 및 파일 다운로드를 통한 공격에 더 쉽게 노출이 된다. 마이크로소프트의 연구에 따르면 사람의 집중력은 8초도 안 되며 이는 금붕어의 집중력보다도 짧은 것이라고 한다. 그리고 이에 대한 원인으로 오늘날 다양한 스마트폰의 등장과 디지털화 된 일상을 뽑았다. 많은 전자 기기들이 사람들의 일상생활을 방해하기 때문에 노골적인 피싱 이메일에도 당한다는 것이다.

2. 스피어피싱
몇몇 공격들은 사전 준비가 철저히 되어 있어 이것을 예상하고 막는 것이 거의 불가능하다고 한다. 스냅챗 사건과 클린턴 이메일 해킹 사건이 이러한 스피어피싱 공격의 예이다. 해커들이 마음만 먹으면 스피어피싱은 꽤나 정교하고 날카롭게 들어간다. 스피어피싱 전문가들은 변장과 속임수의 귀재들이다.

미국의 스토리지 전문 기업인 시게이트(Seagate Technology) 또한 스피어피싱으로 인해 피해를 봤다. 또한, 사건 이후 시게이트의 직원이 회사를 상대로 자신의 개인정보가 유출이 됐다며 소송을 낸 것으로 알려졌다. 피싱 공격들은 점점 더 현실적으로 변하고 있고 심지어 사이버 관련 전문 지식이 있는 이들도 공격 대상이 될 수 있을 것으로 보인다.

3. 호기심
사람의 호기심 또한 무시할 수 없는 것으로 자리 잡았다. 독일 국립대인 프리드리히-알렉산더 대학교(FAU: Friedrich-Alexander University Erlangen-Nuernberg)에 따르면 조사 응답자 중 56%의 사람들이 익명의 발신자에게서 온 링크가 안전하지 않을 수도 있다는 사실을 인지하고도 이것을 클릭했다. 그저 내용에 포함된 사진이 궁금해서였다. 호기심은 사람은 본능이기 때문에 상황에 따라 안전하지 않다는 사실을 배웠음에도 불구하고 링크를 열어볼 수도 있다.

직원들을 제대로 교육시키는 것이 피싱 완화에 있어서 중요한 부분이지만 최근 사건들을 돌이켜 본다면 교육만으로는 피싱 공격 완화가 충분하지 않다는 사실이 드러나고 있다. 해커들의 수법이 더 교묘해지고 있고 매일 방대한 양의 피싱 이메일들이 공격에 사용되고 있기 때문에 직원들이 피싱을 스스로 완벽하게 막을 거라 기대하는 게 오히려 이상하다.

따라서 기업들은 현존하는 기술의 허점을 보완하고 직원들이 효과적으로 일할 수 있도록 지원하기 위해 미래의 기술들을 이용하는 것이 좋을 듯하다. 몇몇 이들은 암호화, 다중 인증, 데이터베이스 보안이 피싱 공격자들을 막는 데 효과적일 것이라고 하지만 이러한 장치들은 이미 구식이며 많은 단점을 갖고 있다.

보다 새로운 피싱 차단 기술들로는 메일서버 등록제(Sender Policy Framework), DKIM(DomainKeys Identified Mail), DMARC(Domain Message Authentication Reporting and Conformance) 등이 있다. 하지만 이러한 방법들도 완벽한 건 아니다. 예를 들어 해커가 도메인을 합법적으로 사들인다면? 일시적으로라도 각종 차단 기술을 우회할 수 있게 된다. 여기에 인공지능과 머신러닝이 합세한다면 상황이 더 나아질 것으로 보인다.

다시 한 번 강조하지만, 교육만으론 부족하다. 교육도 해주고, 기술로도 지원해줘야 피싱 공격을 더 잘 막을 수 있다. 이미 해킹도 다양한 전략 전술을 복합적으로 사용하는 시대다. 방어 책략도 그러해야 한다.

글 : 에얄 베니시티(Eyal Benishiti)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)