보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

[황민주 보안에세이] ‘백설공주’ 이야기를 통해 본 피싱(Phishing) 대응의 중요성

  |  입력 : 2021-05-06 09:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
외부 메일을 열기 전에 만약의 공격에 대해 상상을 해보자

[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] ‘위기는 왜 반복되는가?’, ‘사고는 왜 반복되는가?’라는 제목의 책이 있었다. 두 책의 공통점은 ‘경제 위기는 왜 반복되는가?’라는 내용을 다루고 있다. 사이버 보안 문제 또한 이 질문으로부터 자유로울 수 있을까? 위기의 반복이라는 관점에서 생각해 볼 수 있는 동화가 바로 ‘백설공주’ 이야기이다.

[이미지=utoimage]


백설공주는 왜 반복된 위기를 맞이했을까?
공주는 처음엔 방물장수 할머니로 변장한 왕비를 집 안으로 들여 빨간색 허리띠를 구경하다가 숨통이 조이는 사고를 겪는다. 그리고 다시 얼마 지나지 않아 또 다른 장사꾼을 집 안으로 들인다. 이번에는 예쁜 빗 때문이다. 이번에도 변장한 왕비에 의해 다시 위기에 처한다. 두 번의 위기에서 백설공주를 구한 난쟁이들은 ‘절대 낯선 사람을 집안에 들이지 말라’는 충고를 한다. 그러나 백설공주는 또 다시 낯선 이에게 문을 열어준다. 결국 독이 든 사과를 먹게 되고, 죽음과도 같은 깊은 잠에 빠지게 된다.

우리는 이 동화를 읽으면서 세 번씩이나 같은 실수를 하는 백설공주를 어리석다고 판단한다. 하지만 낯선 이에게 문을 열어준 백설공주에게만 책임을 물을 수 있을까? 여기서 우리가 같이 생각해 봐야 할 것은 ‘과연 난쟁이들의 충고는 적절했을까?’하는 것이다. ‘충고’가 ‘무지’와 만났을 때는 ‘강요’가 된다. 무조건적인 강요보다는 명징한 이유를 가지고 설득을 해야 했었다.

이런 반복되는 위기가 동화 속에서만 일어나는 일일까?
‘한 번 이상 사이버 공격을 당한 기업, 91%, 국내 응답자의 37%가 한 번 이상 랜섬웨어 공격 당해 …’ 뉴스에 자주 등장하는 내용들이다. 사이버 공격을 당한 기업이 또 당하는 것은 백설공주가 같은 위기에 처하는 것과 별반 차이가 없다.

이렇듯 반복적으로 일어나는 사이버 공격 중의 대표적인 것이 ‘피싱 공격’이다. 피싱(Phishing)이란 용어는 ‘Private Data’와 ‘Fishing’의 합성어이다. 물고기를 낚는다는 ‘Fishing’에서 유래했다고 한다. 즉, 복잡한 미끼를 사용해서 마치 신뢰할 수 있는 사람이 보낸 것처럼 가장함으로써 사용자의 금융정보와 패스워드를 얻으려는 ‘Social Engineering’ 의 한 종류인 것이다. 그리고 다른 해킹 도구와 마찬가지로 숙련된 해커(Skilled Hacker)가 아니어도 다크웹의 피싱 키트(Phishing Kits)를 이용하면 얼마든지 쉽게 공격할 수 있다.

피싱 메일의 특징은 업무와 관련이 있는 내용이나 사회적 이슈를 이용한 내용으로 메일을 위장한다. 마치 왕비가 장사꾼으로 변장을 해서 백설공주가 호기심을 갖는 물건을 제시하는 것과 같은 행위다. 예를 들어 최근 <보안뉴스>에 소개된 ‘암호화페 거래소 계정 노린 피싱’, ‘오스카 시상식을 테마로 한 피싱 공격 성행’ 보도가 이에 해당하는 공격들이다.

▲황민주 맥아피코리아 엔터프라이즈사업부문 대표[사진=맥아피코리아]

기업 컨설팅을 하면서 피싱 공격에 대한 대응방안과 관련해 많은 질문을 받는다. 우선은 최소 1년에 2번, 많게는 분기에 한 번씩 모의훈련을 권고한다. 만약 내부 감사가 있은 후 ‘내부 감사 보고 결과’라는 메일을 보낼 때, 본문에 URL 링크를 넣어서 보내면 많은 이들이 클릭을 하는 것을 알 수 있다.

이러한 모의훈련의 지속적인 반복은 사용자들에게 피싱에 대응하는 적확한 메시지를 주는 효과가 있다. 난쟁이들이 백설공주에게 무조건 낯선 사람에게 문을 열어주지 말라는 것이 아닌, 왜 낯선 사람을 집안에 들이면 안 되는 지에 대한 구체적인 설명과도 같은 것이다. 일곱 명의 난쟁이 중에서 한 명이라도 구체적인 설명을 했다면 하는 아쉬움이 ‘기업 보안 캠페인’에서는 없었으면 하는 바람이다.

최근에는 악성메일과 악성웹으로 인한 공격을 막는 기술이 다양하게 출시되고 있다. 그렇더라도 100%를 방어할 수 있는 보안 솔루션은 없다. 사용자 한 명 한 명이 보안의식을 가지고 대응해야 하는 이유다. 맥아피의 경우 모든 외부 메일에 대해서는 아래와 같은 경고처럼 “보낸 사람을 알지 못하거나 컨텐츠가 안전하다고 생각되지 않으면 URL 클릭이나 첨부 파일을 열지 마세요”라는 내용의 창을 띄우면서 사용자의 주의를 요구하고 있다.

▲맥아피에서 모든 외부 메일에 대해 공지하는 문구[이미지=맥아피코리아]


지난 칼럼에서 ‘보안설계’를 이야기할 때 설계의 시작은 ‘상상’이라고 이야기했다. 피싱 공격에 대응하기 위해서는 사용자의 상상 또한 필요하다. 외부 메일을 열기 전에 만약의 공격에 대해 상상을 할 수 있다면, URL 링크나 첨부파일을 무조건적으로 클릭하게 되진 않을 것이다. 그리고 ‘보안 캠페인’을 기획하고 운영하는 입장에서는 대상자들이 충분히 알아들을 수 있도록 교육하고 있는 지도 점검해봐야 할 것이다.
[글_황민주 맥아피코리아 엔터프라이즈사업부문 대표]

[필자 소개]
황민주_
20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸고 있다. 시만텍, 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북