세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
피싱 성공률 높게 해주는 이메일 제목은? 인사부서와 SNS
  |  입력 : 2017-10-13 10:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
심리학자 수준으로 인간 감정 이끌어내는 이메일 제목들
사내 소통 채널과 인증 방식 바꾸면 여유롭게 대응 가능해


[보안뉴스 문가용 기자] 데이터 유출 사고와 관련된 소식이 메일함에 도착했다면 누군가 클릭해볼 가능성이 높다. 인사부서에서 ‘긴급’ 혹은 ‘중요’라는 표현을 달아 메일을 보냈다면, 이 역시 누군가 클릭해볼 가능성이 높다. 비밀번호 만료 기간이 다 됐다는 제목에도 마우스 커서가 도착할 가능성이 높다.

[이미지 = iclickart]


피싱 메일이라고 해서 다 같지 않다. 분명히 사람들의 클릭 욕구를 더 자극하는 것들이 있다. 사이버 범죄자들도 이 사실을 알고 있다. 그래서 요즘은 뭔가 다급하고 위험한 분위기를 물씬 풍기는 메일들을 보낸다. 보안 전문 업체인 노비포(KnowBe4)는 “가장 클릭할 가능성이 높은 피싱 메일”에 대한 조사를 실시해 2017년 3사분기에 대한 결과를 발표했다. 인사부서에서 온 ‘중요’ 이메일이 가장 많은 사람들을 속이는 데 성공했다.

성공 사례가 된 사이버 공격의 90%가 이런 심리학적인 분석을 통한 그럴듯한 피싱 이메일 공격으로부터 시작된다고 하원 첩보 위원회의 마이크 로저스(Mike Rogers)는 설명한다. 피싱 이메일이 이제 단순 ‘행운의 편지’와 유사한 장난 편지가 아니라 기업에게 막대한 손실을 입힐 수 있는 공격 도구가 되어버렸다.

“사람들이 가장 많이 클릭하는 피싱 이메일 제목에는 ‘만료’, ‘지금 즉시’, ‘통보’ 등의 단어들이 있습니다.” 노비포의 CSO인 그렉 크라스(Greg Kras)의 설명이다. “이러한 메일들의 공통점은 보는 사람들이 급한 마음을 가지게 한다는 겁니다. 뭔가 문제가 있다, 즉시 해결해야만 한다, 라고 생각한 사람들은 ‘보안’을 생각하지 않고 클릭부터 하고 보니까요.”

공격자들이 사냥감을 노릴 때 공포감부터 조성한다는 건 잘 알려진 사실이다. 그러나 사이버 공격에서는 크라스는 “4년 전만 해도 공격자들이 직접 ‘데이터 유출’과 같은 단어를 사용하지 않았다”고 말한다. “제발 저려서죠. 괜히 공격인 걸 들킬까봐 스스로 ‘데이터 유출’을 피싱 메일에 사용하지는 않았어요. 하지만 이제 데이터 유출이 너무 빈번히 일어나니까, ‘데이터 유출’이라고 자기들이 직접 말해도 상관이 없게 됐습니다. 비슷하게 ‘인사부서’에서 온 메일도 직원들의 불안감을 크게 자극하죠.”

올해 3사분기 동안 가장 많은 피해자를 발생시킨 이메일 제목들은 순서대로 다음과 같다.
1) 공식 데이터 유출 관련 안내사항(14%)
2) UPS 라벨지 배송 1ZBE312TNY00015011(12%)
3) IT 알리미 : 당신의 비밀번호가 24시간 안에 만료됩니다.(12%)
4) 지금 비밀번호를 변경하세요.(10%)
5) 인사부서에서 알려드립니다! 필독!(10%)
6) 전 직원 : 의료건강 정보 업데이트 관련(10%)
7) 휴가 및 병가 정책 변경 사항(8%)
8) 사내 설문조사 결과(8%)
9) 수상한 이메일이 성공적으로 차단됐습니다(8%)
10) 이메일 계정 업데이트(8%)

“결국 인간의 가장 본능적인 반응을 이끌어낼 수밖에 없는 것들이 피싱 공격에 활용됐을 때 성공률이 높다는 걸 알 수 있습니다.” 웜뱃 시큐리티(Wombat Security)의 마케팅 부회장인 에이미 베이커(Amy Baker)의 설명이다. “그 본능적인 반응이란 바로 ‘감정 대응’을 하도록 하는 것입니다. 주로 공포, 다급함, 불안감을 끌어냈을 때 사용자들은 냉정함을 잃는다는 걸 공격자들은 알아차렸습니다.”

기업의 직원들을 현혹하는 데에 위 10가지 이메일 제목이 가장 널리 활용되었다면, 일반 사용자들은 어떤 이메일 제목에 주로 클릭을 참지 못했을까? 순서대로 다음과 같다.
1) 링크드인 : 중요 보안 업데이트
2) 아마존 : 아마존에 접속하셔서 계정 업데이트를 진행하지 않으시면 정지될 예정입니다.
3) 이메일 계정이 곧 닫힐 예정입니다.
4) 오피스 365 : 이메일이 막혀 있습니다.
5) 서버 업그레이드 할인권이 도착했습니다.

사이버 공격자들은 피해자들의 욕구나 걱정거리 등 심리상태를 잘 노리고 있다는 걸 알 수 있다. 크라스는 “심지어 트위터 팔로워가 1000명이 넘었다는 헤드라인이나, 페이스북 좋아요 수가 수천 개를 넘어섰다는 헤드라인도 사용한다”고 말한다. “요즘 SNS에서 팔로워나 좋아요에 사람들이 얼마나 목말라 하는지를 잘 알고 있는 것이죠.” SNS 중에서는 링크드인이 가장 많이 언급된 것으로 나타났다.

어떻게 대처해야 하나?
“일단 기본적으로 모든 이메일에 경계태세를 취해야 합니다. 직원들에게 이 점을 항상 주지시켜야 합니다. 인사부에서 메일을 보낼 거면 다른 통로로도 그 사실을 알려주도록 하는 분위기를 만들고요. 이메일로 뭔가 통지가 가기 전에 오프라인 통지도 갈 테니까 이메일부터 급히 클릭하지 말라고 알려줘야 한다는 겁니다. 어쩌면 회사 내 소통 및 통지 방법을 바꾸는 게 맞을 수도 있습니다.”

또한 크라스는 “이중인증 역시 큰 도움이 될 것”이라고 강조한다. “실수로 피싱 메일을 클릭해서 크리덴셜을 빼앗겼다 한들 애초에 이중인증을 도입한 기업이라면 여유롭게 대처할 수 있거든요. 인증 장치 중 절반만 빼앗긴 것과 같으니까요. 그들이 사람의 본능을 살살 노린다면 우리는 조직적으로 대처할 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#피싱   #공격   #심리   #HR   #인사   #SNS   #좋아요   #팔로워   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)