Home > 전체기사

보안 교육, 원래 최고 임원진들부터 시작해 내려오는 게 맞다

  |  입력 : 2022-01-13 16:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
임원진들이 피싱 공격에 당했다고 생각해 보라. 임원진의 회사 계정이 털렸다고 생각해 보라. 일개 직원이 당했을 때보다 파급력이 훨씬 클 것은 분명한 일이다. 그런데도 왜 우리는 보안 교육을 직원들 대상으로 하고 있는가?

[보안뉴스 문가용 기자] 사이버 범죄자들은 회사의 직원들만 골라서 노리지 않는다. 오히려 C레벨 임원들이라면 더 ‘땡큐’다. 데이터 침해 사건은 해마다 크게 증가하고 있는데, 이 사건 중 상당수가 ‘임원’을 겨냥한 것이었다. 기업들에 가장 큰 피해를 일으키고 있다는 BEC 공격의 경우에도 C레벨이 피해자가 될 때가 많다. 참고로 BEC 공격은 2020년 전 세계에서 18억 달러의 피해를 일으켰고, 이 수치는 계속해서 오르고 있다.

[이미지 = utoimage]


C레벨 임원이 BEC 공격에 직접 당하면 기업이 입는 피해는 더 커진다. C레벨이 가진 권한이 높을 수밖에 없는데, 그 권한을 공격자가 활용할 수 있기 때문이다. 게다가 C레벨만큼 한 기업 내에서 큰 신뢰를 얻고 있는 사람(과 계정)들도 없다. C레벨들은 민감한 정보에도 마음껏 접근하고, 비밀 통신 채널도 많이 보유하고 있다. 이런 C레벨을 사이버 범죄자들이 공략하는 데 성공했다면 기업에 어떤 영향이 있을까? 상상만으로도 그 피해를 짐작할 수 있을 것이다.

“조직원 누구나 사이버 공격에 당할 수 있다, 그런데 임원진들이 당하면 문제가 더 커진다”는 건 보안 담당자들에게 꽤나 골치 아픈 명제다. 왜냐하면 보안 담당자들의 역할에는 ‘교육’도 포함되는데, C레벨들을 가르친다는 건 분야를 막론하고 힘든 일이기 때문이다. 실제로 현재까지 여러 나라 여러 조직에서 진행된 사이버 보안 교육은 거의 전부 직원들을 대상으로 한 것이었다. C레벨들은 권한을 내세워 교육에서 빠지거나, 참석하더라도 늘 다른 일에 집중하곤 했다. 이런 현상이 지금도 벌어지고 있기 때문에 보안 전문가들에게는 전략이 필요하다.

1. 보안 문화는 위에서 아래로 내려오며 형성된다
이제는 더 이상 논란이 될 것도 아닌데, 보안 문화라는 것은 100% 위에서 아래로 내려오면서 형성된다는 특성을 가지고 있다. 이 점을 임원진들도 분명하게 알고 있어야 한다. 보안 문화라는 건 ‘모범 사례’와 ‘반례’ 즉 ‘본보기’를 통해 형성되고 확산되는 것이 보통이다. 그리고 사람은 어지간해서는 아랫사람으로부터 본보기를 찾지 않는다. 보안 문화를 기업에 퍼트리고 싶다면 윗분들이 본을 보이셔야 한다는 것이다. 경영진이 보안 교육에 뜨듯 미지근하게 임하면 직원들도 보안 교육에서 얻어가는 것이 없게 된다.

C레벨 임원들은 알게 모르게 ‘나는 규정을 다 지키지 않아도 되는, 예외적인 존재’라는 생각을 한다. 그래서 회사가 승인하지 않은 장비를 무심코 사용하기도 하고, 습관처럼 메일을 열거나 파일을 주고받는다. 사람이라면 대부분 그럴 수밖에 없는데, 이것이 임원들을 대상으로 한 보안 교육을 어렵게 만든다. 회사를 안전하게 꾸리고 싶다면, 임원진들의 이러한 부분이 개선되어야 한다.

2. 가상이 아니라 현실에서의 시나리오를 활용하라
기업을 이끌어가는 임원진들은 대부분 굉장히 실용적이고 현실적인 감각을 갖춘 사람들이다. 그러므로 가상의 공격 시나리오로서는 이들의 관심을 끌기가 힘들다. 실제로 발생한 일, 경쟁사의 누군가가 겪어서 피눈물 흘렸던 일들을 사례로 들고 오면 이들의 눈이 빛나기 시작한다.

현재 임원진들이 가장 흔하게 마주하는 위협은 ‘소셜 엔지니어링’ 공격이다. 공격자들은 소셜 엔지니어링 공격을 갈고 닦았기 때문에 매우 정교하게 속임수를 부릴 수 있다. 그러니 이런 부분에서 사례들을 찾고 C레벨 임원진들을 준비시키는 게 효과적일 것이다. 사례만이 아니라 실제 공격을 그대로 모방해 임원진들이 실제 사례를 겪도록 시뮬레이션 환경을 만드는 것도 좋은 방법이다. 피싱 공격자들 사이에서 흔히 나타나는 오타와 문법적 오류를 찾아내도록 지도하고, 급한 연락이 왔을 때 대처하는 심리를 알려주는 것도 현명하다.

3. 개인 장비 문제, 생각보다 심각하다
코로나로 인해 원격 근무가 활성화 되면서 임원진과 직원들 모두 빛나는 보안 위협들이 되었다. 그들이 집에서 일어나 원격에서 회사 네트워크에 접속하는 순간부터 기업들은 기존에 없었던 각종 위협 그 자체가 된다. CEO조차도 예외가 아니다. 가장 간단한 건 누구나, CEO도 예외 없이, VPN을 사용하도록 하는 것이다. 물론 VPN을 사용한다고 해서 완전히 안전해지는 건 아니다. 임원진의 개인 이메일 계정을 통해서도 얼마든지 공격이 성립되기 때문이다.

그래서 필요한 게 ‘회사 네트워크에 회사 계정으로 접속할 때는 반드시 회사에서 준 장비만 활용한다’는 정책이다. 개인 장비는 오로지 개인적인 일을 처리할 때만 사용하도록 하는 것이 바람직하다. 하지만 이 부분 역시 임원진들의 규정 위반이 예상되는 지점이다. 아무리 집에서 접속을 하는 것이어도 어떤 장비를 활용했는지 기록에 남으며, 따라서 이 역시 직원들에게 본보기가 될 수 있다는 점을 임원진들에게 상기시키는 게 좋다.

4. 사업적 리스크라는 맥락에서 대화하라
임원진들에게는 그들만의 언어라는 것이 있다. 보안 담당자가 정말로 임원진들을 설득하고 싶다면 이 임원진의 언어를 익혀야 한다. 세부적으로 들어가면 임원진 개인마다 달라지겠지만, 큰 선에서 이야기했을 때 경영진의 언어란 바로 ‘돈’이다. 보안을 투자 대비 위험성 혹은 안전성이라는 언어로 번역해 이야기하면 임원진들의 이해도가 급상승하는 걸 경험할 수 있을 것이다.

물론 ‘우리 회사를 어떤 해커가 공격하겠는가?’라고 느끼는 임원진을 상대해야 한다면 아무리 투자와 돈으로 보안을 포장해도 별 효과가 없다. 그들에게는 ‘리스크’라는 게 존재하지 않기 때문이다. 그럴 때는 ‘모든 회사가 결국 어느 시점에는 해킹을 당하는 게 사실’이라는 걸 납득시켜야 한다. 혹은 단 한 번의 공격이 성공하는 것만으로도 수백만 달러의 손해가 날 수 있다는 현실을 직시하게 하는 것도 좋다.

실제로 보안 사고는 직접적으로 금전적 손실을 일으키고, 경영에 있어 커다란 손해를 끼친다. 이를 설명하는 사례와 보고서는 너무 많아서 임원진들과 이야기를 할 때 자료가 모자라는 일은 없을 것이다.

팬데믹이 언제 끝날지 모르는 상황에서 임원진을 대상으로 한 보안 교육의 중요성은 그 어느 때보다 높아지고 있다. 아무리 말을 안 듣던 과거가 있어도 다시 한 번 보안 담당자로서 교육 전략을 짜서 시도해 보라. 그래도 임원진의 태도가 바뀌지 않을 것 같으면 해커들이 그 회사를 뒤집어놓기 전에 미리 탈출 계획을 세우는 것도 개인적으로는 손해가 아닐 것이다.

글 : 애슐리 로즈(Ashley Rose), CEO, Living Security
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화