기업 겨냥한 피싱 공격 어떻게 막을까

2017년 4월 17일 2017.04.17 [1269]

개방적인 대화 분위기 조성하는 등 사이버 보안의 최전선인 직원들의 참여를 통한 대책 수립해야

1
최근의 사이버 보안 전문가 대상 설문조사에서 지난해 76%의 기업이 피싱 공격을 받았다.

기업들은 날마다 빗발치는 피싱 공격(일종의 개인 금융정보 낚시)에 시달린다. 전 세계 사이버 보안 전문가 500여 명을 대상으로 한 최근 설문조사에서 지난해 76%의 기업이 피싱 공격을 받은 것으로 나타났다.

피싱 사기는 직원들을 속여 악성 첨부파일을 내려받거나, 의심스런 링크를 클릭하거나, 개인정보나 기타 민감한 데이터를 요구하는 이메일의 형태를 띤다. 우크라이나에 대규모 정전 사태를 유발한 최근의 사이버 공격은 특정 표적을 겨냥해 공략하는 ‘스피어 피싱(spear phishing)’ 메일 캠페인으로 밝혀졌다.

요즘엔 피싱 공격이 표적 조직의 네트워크에 랜섬웨어(ransomware)를 유포하는 가장 일반적인 방법으로 떠오르며 큰 우려를 자아낸다. 랜섬웨어는 통상적으로 파일을 암호화하거나 컴퓨터 스크린에 자물쇠를 채운 뒤 ‘몸값’을 요구하는 유형의 소프트웨어다. 대체로 요구액이 상당히 적어 그냥 돈을 주는 기업이 많다.

물론 시스템의 잠금장치가 해제되리라는 어떤 사전 보장도 없다. 조직 구성원은 이들 피싱 공격에 맞서는 사이버 보안의 최전선이다. 따라서 피싱 공격을 당할 만한 약점을 줄이는 것이 기업들에 중대한 과제가 됐다.

조직들이 피싱 위협의 저지에 어려움을 겪으면서 피싱 메일을 클릭하는 직원에 대한 징계 절차가 한 가지 방안으로 호응을 얻는다. 추가 교육의 이수로부터 특히 이른바 ‘반복적 클리커’(피싱 메일에 두 번 이상 반응하는 사람)에 대한 공식 징계조치까지 다양하다. 이들은 사이버 보안 상의 특정한 취약점으로 지목된다.

하지만 징계는 썩 좋은 아이디어가 아니다. 우선 애당초 사람들이 피싱 메일에 반응하는 원인도 아직 제대로 파악되지 않았다. 사람들이 반응하는 이유에 대한 연구가 수박 겉핥기 수준에 그치기 때문이다. 이메일 습관, 작업장 문화와 규범, 개인의 지식 수준, 직원이 다른 데 정신이 팔렸는지 또는 큰 스트레스를 받는지 등 온라인 위험 요소는 다양하다. 이 요인들은 사람들이 어떤 특정 시점에 피싱 메일을 식별할 수 있는지에 영향을 미칠 수 있다.

2
맨눈으로는 식별하기 어려울 정도로 정확한 가짜 구글 로그인 페이지.

불행히도 이는 아직 해법보다 의문이 더 많다는 것을 의미한다. 특별히 해킹 공격에 더 취약한 업무 유형이 있을까? 직원들에게 피싱 공격의 위험성을 인식시키는 데 교육·훈련이 효과적일까? 유사시 직원들이 업무보다 보안을 더 우선할 수 있을까? 이들 미지의 요인들 중 문책에만 초점을 맞추는 것은 성급한 듯하며 더 효과적일 수 있는 다른 노력을 등한시할 위험성이 있다.

특정 표적을 겨냥한 피싱 공격은 또한 갈수록 고도화하고 IT 담당자들조차 적발해내기 어려워진다. 예컨대 페이팔과 구글에 대한 최근의 공격이 이를 뒷받침한다. 요즘엔 진본과 매우 유사하고 심지어 거의 구별이 안 되는 위조 메일을 작성하기가 어처구니없을 만큼 쉬워졌다. 위장 메일 주소에 로고를 정확하게 넣고 레이아웃과 메일 서명을 제대로 하면 피싱 메일과 진본을 구분하기가 어려울 수 있다.

피싱 공격자들은 또한 사람들의 반응을 극대화하는 시나리오의 구성에 매우 능하다. 조직 내 권위자를 흉내 내는 식으로 위기의식을 조성해 당황하게 만든다. 또는 응하지 않으면 좋지 않은 결과를 초래할 수 있다는 점을 부각시킨다. 피싱 수법이 더 정교해졌음을 인정하면 ‘낚시질’에 걸려든 직원의 문책을 정당화하기가 어려워진다.

모의 피싱 공격 대응훈련이 그에 대한 직원들의 의식을 강화하는 방편으로 종종 사용된다. 그런 프로그램이 실시된 뒤 클릭 비율이 낮아졌다는 주장도 있지만 직원에게 잠재적으로 어떤 영향을 미칠지에 대한 종합적인 평가는 없다. 그리고 승산 없는 싸움으로 보이는 탓에 직원들이 위협에 대한 대처를 포기할 수 있다는 지적도 있다.

비난과 문책의 문화에선 직원들이 자신의 실수를 쉬 인정하지 않게 된다. 이 같은 결과는 조직의 보안 담당자와 다른 직원들 간의 관계를 해칠 가능성이 크다. 나아가 조직의 보안 문화에 부정적인 영향을 미치게 된다. 보안이 권위주의적 성격으로 돌아가게 된다는 의미다. 조사 결과 이는 보안 프로그램에 직원들의 전적인 참여가 필요한 상황에서 역효과를 초래하는 것으로 나타났다.

조직의 피싱 공격 방어 업무가 갈수록 복잡해지고 어려워진다. 호주 정부는 최근 의심스런 메일을 받으면 다른 사람에게 물어보는 #AskOutLoud(큰 소리로 묻자) 캠페인을 시작했다. 이 문제에 어떻게 대처할 수 있는지를 보여주는 좋은 본보기다. 대화와 경험의 공유를 장려하는 방법이다. 이렇게 하면 직원들이 주인의식을 갖고 더 적극적으로 의심스런 메일을 신고할 수 있다. 이는 사이버 보안의 유지에 필수 요소다.

사이버 보안은 개방적인 대화, 직원들의 참여를 통한 대책 수립, 조직 내 보안 담당자와 다른 직원 간의 신뢰에 달려 있음이 조사에서 확연히 드러난다. 옛 말마따나 다 잘해도 작은 약점 하나로 무너질 수 있다. 따라서 모든 직원이 조직 방어의 효과적인 최전선을 이루도록 지원하는 것이 필수과제다.

– 데비 애션든, 엠마 윌리엄스

[ 엠마 윌리엄스는 영국의 배스대학 연구원이며 데비 애션든은 포츠머스대학 사이버보안학 교수다. 이 글은 온라인 매체 컨버세이션에 먼저 실렸다.]