• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

피싱 전성시대에 해볼 만한 ‘모의 피싱 실험’ 2016.08.17

악성 링크 클릭하는 일반 사용자, 좀처럼 줄어들지 않아
보안은 공동체적인 접근 필요, 실험도 반복적으로 진행해야 정확

[보안뉴스 문가용] 악성 링크와 첨부파일을 클릭하려는 사람들을 막을 수 있는 방법은 사실상 존재하지 않는 것처럼 보인다는 연구결과가 속속 발표되고 있다. 보안 전문업체인 듀오 시큐리티(Duo Security)에서 실시한 연구에 의하면 사용자의 1/3이 아무런 거리낌 없이 실험용 가짜 메일을 열어 악성 링크를 클릭했다고 한다. 게다가 17%는 사용자 이름과 암호를 입력하기까지 했다고 한다.

▲ 이건 전혀 도움이 되지 않는다


“저희가 제작한 툴로 가짜 피싱 캠페인을 진행했는데, 공격에 걸리는 시간은 5분이 채 되지 않았고, 이 공격을 통해 기업의 민감한 데이터에까지 도달하는 데에 걸린 시간은 25분이 되지 않았습니다. 굉장히 짧은 시간이죠.” 듀오 시큐리티의 설명이다. 듀오 시큐리티는 기업들이 자체적으로 모의 피싱 캠페인을 진행할 수 있게 해주는 툴인 듀오 인사이트(Duo Insight)를 지난 달 공개하고, 약 400개 기업에서 실험을 진행한 바 있다. 약 11542명의 사용자가 여기에 참여했다.

“피싱 캠페인을 가짜로 진행하고 나서 어떤 운영 시스템이 제대로 패치가 되어 있지 않은지, 직원들 중 누가 악성 이메일을 열고 링크를 클릭했는지, 누가 자신들의 로그인 정보를 노출시켰는지를 적나라하게 보여주는 툴입니다. 문제를 곧바로 발견할 수 있도록 해두었죠.”

그 결과들을 수집했더니 피싱 공격을 성공시키는 가장 큰 요인은 엔드포인트에서 발견된 약점들이었다. “로그인 및 크리덴셜을 훔쳐내는 공격이 아니라는 점이 상당히 의외였습니다.” 일례로, 피실험자의 약 62%가 업데이트 안 된 브라우저를 사용하고 있었다. 업데이트 안 된 OS를 사용하는 사람은 68%였다. 듀오 시큐리티는 피싱 공격을 막는 노하우 네 가지를 암울해 보이는 이번 연구 결과와 함께 발표했다.

1. 모의 피싱 공격을 전사적으로 진행해보라
회사의 어느 부분이 가장 취약한지는 실제 공격을 당하거나 그에 준하는 사건이 있을 때에야 드러난다. 모의 해킹 및 침투 테스트도 중요하지만 실제로 피싱 캠페인을 가상으로 진행해보는 것도 상당한 도움이 된다. 취약점을 알아야 고치든 뭐든 할 것 아닌가.

모의 피싱 공격을 실험해보고자 한다면 1회성으로 끝내는 것보다는 여러 번에 걸쳐서 하는 것이 좋다. 어떤 실험이든 그렇지만 횟수가 결과의 질을 보장한다. 또한 회사의 보안 상태가 얼마나 좋아졌는지 알아보는 척도가 되기도 한다. 또한, 너무나 당연한 말이지만 네트워크 관리자 등 최소한의 인원 외에는 회사에 실험 진행 전이나 후나 알리지 않는 편이 좋다.

2. 효과가 없어 보여도 교육만한 게 없다
위 실험과 이어지는 내용이다. 몇 번의 모의 피싱 캠페인을 통해 ‘누가 클릭을 하는지’가 실험 운영자들에게 드러나는 것까지는 좋다. 그런데 문제는, 회사가 그 사람에게만 집중한다는 것에 있다. 누군가를 콕 짚어내서 잘못을 지적하는 게 반드시 좋은 효과를 거두지는 않는다. 임직원을 하나의 커다란 공동체로 보고, 그 공동체 전체의 실수나 잘못을 교정하는 식으로 접근해야 한다. 사람은 환부취급 받기 싫어한다.

모의 피싱 캠페인의 가장 중요한 목적은 실수가 잦은 사람을 파악해내고 그 사람을 자르거나 윽박지르는 게 아니다. 집단 전체의 목적의식을 고취시키는 것이다. 정보보안이란, 물론 개개인이 잘해야 하겠지만, 집단적인 노력이 필요한 분야다. 특별히 한 사람만 10번 연속으로 실험에 당하지 않는 한, 최대한 전체 교육을 통해 보완해나가는 편을 권장한다.

3. OS, 브라우저, 플래시, 자바 - 업데이트 특히 주시
소프트웨어를 제 때 업데이트 하라는 건 보안의 기본 중 기본이다. 그러나 모든 ‘기본’이 다 그렇듯 잘 지켜지지 않는 게 기본이다. 하지만 아무리 귀찮아도 OS, 브라우저, 플래시, 자바 업데이트는 빼놓지 않는 게 좋다. 현재 공격자들이 가장 많이 활용하는 취약점들이 다 이 네 가지 소프트웨어군 범주 안에 들어가 있다. 특히 피싱을 주요 공격 수단으로 활용하는 해커들에겐 단골 루트다.

4. 사탕도 줘야 참 교육이죠
피싱에 당하지 말라고 아무리 말해도 당할 사람은 당한다. 누구나 아는 사실이다. 여기에 한 가지 방법을 더 추가해보는 것도 괜찮다. 바로 피싱 이메일을 발견한 사람에게 보상을 해주는 것이다. 실제로 이런 사이버 공격 시도를 발견한 직원들에게 후한 보상을 해주는 기업들이 꽤 된다. 이 회사에 있는 한 피싱 이메일을 제일 먼저 발견하는 사람이 되고 싶어 죽을 지경으로 분위기를 조성하라.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>