보안 교육, 횟수와 시간만 늘린다고 되는 것이 아니다

많은 기업들이 직원들을 대상으로 가짜 피싱 공격을 실시한다. 미리 공격을 체험케 함으로써 실제 공격에 대한 면역력을 기르겠다는 것이다. 그러나 그 효과는 미비하다. 중요한 것이 빠져있기 때문이다.

[보안뉴스 문가용 기자] 직원들 중 한 사람의 메일함에 긴급함 가득 담은 이메일이 날아드는 건 ‘어쩌다 한 번 있을 수도 있고 없을 수도 있는 일’이 아니다. 항상 발생하는 일이다. 그것도 하루에 수없이 많이 말이다. 그러면 누군가는 그날의 컨디션에 따라 이런 메일 중 하나를 열어보게 될 수도 있다. 그리고 그 가짜 메일의 지시에 따라 어디론가 회사 돈을 송금할 수도 있다. ‘만약’의 일이 아니라, 실제 세계 곳곳에서 일어나고 있는 사례들이다.

[이미지 = Pixabay]

팬데믹으로 인한 재택 근무 체제가 아직 여러 지역에서 유지되고 있는 가운데, 기업들의 ‘보안’은 현재 상당 부분 임직원 개개인의 대응 능력에 좌지우지 되고 있다. 그리고 이 임직원들은 거의 대부분 ‘본능’에 입각한 방어력을 발휘하고 있는 게 현실이다. 어쩌면 보안 담당자들이 오랜 시간 두려워하고 있었던 악몽이 현실에 이미 도래한 듯도 하다. 그러면서 보안 기술도 기술이지만, 보안 교육의 중요성이 더 강조되고 있다.

필자가 속한 회사는 보안 전문 업체로서 이러한 상황에 대한 보다 분명하고 정확한 판단을 위해 한 유통 업체를 대상으로 모의 소셜엔지니어링 공격을 실시했다. 코로나 바이러스를 테마로 삼아 임직원들을 속여 보았다. 사내 IT 부서에서 보낸 것과 같은 이메일 주소로 가짜 메일을 발송했다. 내용도 정교하게 다듬었다. 그 결과 무려 임직원 전체의 51%가 속았고, 크리덴셜을 순순히 내놓았다.

그 외에도 여러 실험을 비슷하게 진행했는데, 어떤 테마를 사용하느냐에 따라 결과가 상당히 다르게 나옴을 알아챌 수 있었다. 2020년 100건이 넘게 진행한 모의 소셜엔지니어링 공격에서 ‘음성을 통한 피싱’ 즉 비싱(vishing) 공격이 상당히 효과가 높은 것으로 나타났다. 링크를 건 텍스트 기반 피싱 공격과는 현격한 차이를 보여주었다(성공 확률이 무려 37%였다). 아직 음성을 동반한 피싱 공격에 사용자들은 대체적으로 무방비 상태인 것을 확인할 수 있었다.

이렇게 성공 확률이 높은 비싱 공격을 통해 우리는 크리덴셜 확보는 물론 회사 인프라에 직접 접속할 수도 있었다. 무려 23명의 직원이 백업 포털의 경로와 접속 방법을 알려준 경우도 있었다. 모의 해킹이어서 다행이었지, 정말 아찔한 상황이 아닐 수 없다. 이렇게 지난 한 해 우리는 총 75%의 성공률을 기록했다.

많은 조직들이 “더 많은 모의 실험을 진행한다면 직원들의 대처 능력이 좋아질 것”이라고 생각한다. 그래서 매달 하던 가짜 피싱 공격을 2주에 한 번 하다가, 매주 한 번 진행하기도 한다. 결론부터 말하자면 ‘아니’다. 임직원들이 익숙해지는 건 그런 ‘모의 훈련’이지, 실제 피싱 공격이 아니다. 모의 피싱 공격은 그 자체로는 큰 효과를 갖지 않는다. 다른 교육 요소들과 결합해야만 한다.

예를 들어 이런 것이다. 한 고객사는 모의 소셜엔지니어링 공격을 의뢰했고, 우리는 직원들 몰래 피싱 공격을 실시했다. 많은 직원들이 속았다. 이 결과를 두고 고객사는 고민을 시작했다. 그런 후 1년에 네 번 모의 피싱 공격을 하기로 결정했다. 하지만 매번 결과는 비슷했다. 즉, 나아지는 모습을 찾을 수 없었던 것이다. 누군가는 반드시 속았고, 공격자의 덫에 걸려들었다. 교육 없이 시험만 진행하니 발전이 없을 수밖에 없었다.

교육에서 특히 집중해야 할 건 ‘소셜엔지니어링 공격’ 혹은 ‘피싱 공격’에 대한 대처법이다. 보안 교육 과정 대부분 소셜엔지니어링 공격이 무엇인지를 사례와 함께 알려주지만 실질적인 대처법은 건너뛴다. 공격을 인지하는 것도 중요하지만 대처할 수도 있어야 한다. 스스로 공격자와 직접 연락을 취하면서 대응하는 것이 가장 위험하며, 즉각 보안 팀에 알려야 한다는 것 정도는 알고 있어야 한다. 하지만 실제 현장에서 실험을 하다보면 이런 기본 수칙에 대해 모르는 임직원이 훨씬 많음을 알 수 있다.

스스로를 공격하는 것에도 전략과 지혜가 필요하다. 주구장창 공격만 한다고 맷집이 길러지지 않는다. 실제 공격 상황을 연출하고, 그 결과에 따라 이중 인증 시스템을 도입하고, 멀웨어 탐지 솔루션을 설치하는 것들 모두가 중요하다. 하지만 내부적으로 모의 해킹을 실시한다고 했을 때 그 궁극적인 목적은 ‘회사 내 임직원들 간 효율적인 소통의 장을 마련하는 것’임을 잊지 말아야 한다. 실제 공격이 어떤 식으로 진행되는지 체감하고, ‘실제로 내가 할 수 있는 일’을 명확하게 알려주는 것이 최종 목적이라는 것이다.

그러므로 창의력을 발휘해야 한다. 게임처럼 재미있는 방식으로 목적에 대한 성취감을 부여하고, 그럼으로써 최대한의 참여를 유도해야 한다. 예를 들어 한 고객사의 경우 모의 해킹을 실시할 때마다 속지 않은 직원들에게 부상을 수여한다. 지금은 마치 회사가 성공적으로 속이느냐, 직원이 멋지게 속지 않느냐의 재미있는 경쟁 분위기가 형성되어 보안 훈련이라는 자각도 없이 훈련이 이뤄지고 있다고 한다. 또한 속은 사람들은 ‘내가 왜 속았는가’를 발표하기도 하는데, 이는 생각지도 못한 공격 시나리오를 파악하는 데 도움이 된다고 한다.

보안 교육은 - 사실 모든 교육이 다 그렇지만 - 전형적인 형태를 띄어서는 안 된다. 공격자들은 계속해서 전략을 바꾸고 또 바꾸는데, 교육은 몇 년이 지나도록 예전 형태를 유지한다고 했을 때, 그 결과는 누가 봐도 뻔하다.

글 : 파벨 수푸루뉵(Pavel Supurunyuk)
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)