2022. 12. 29. 13:43ㆍIT 트렌드가 한눈에!
‘새로운 환경에서 로그인 됐습니다’
‘OOO 계정 휴면 알림 메일입니다’
‘계정 정보가 업데이트 됐습니다’
일상 생활에서 자주 접하는 메일 형식입니다. 하단에는 “회원님의 활동이 맞는지 확인해주세요” 또는 “본인이 로그인 하지 않았다면 ‘아니오’를 눌러주세요” 등의 문구와 하이퍼링크가 걸린 버튼이 나오죠.
정상적인 메일이라면 버튼을 눌러 지시에 따라 개인정보를 입력해도 아무 문제가 없겠지만, 일상적인 메일을 모방한 악성메일이라면 이야기가 달라집니다. 개인정보 탈취, 해킹, 랜섬웨어 감염 등 다양한 사이버 공격을 받아 큰 문제가 생길 수 있기 때문입니다.
오늘 포스팅에서는 다양한 악성메일의 특징과 이를 방어할 수 있는 ‘진짜’ 예방법을 말씀드려보고자 합니다.
해킹 이메일, 피싱 이메일, 혹스 메일, 스피어피싱…
악성메일은 다양한 용어로 불리고 있습니다. 용어마다 중점을 둔 포인트가 조금씩 다르긴 하지만, 모두 사람의 심리를 이용해 부당한 금전적 이득을 취하는 악성 메일을 가리키는 단어입니다.
이 중 ‘혹스(Hoax) 메일’은 조금 생소할 수 있는데요. 주로 ‘당신의 사생활을 알고 있다’ 등의 거짓 협박으로 금전적 요구를 하는 악성메일을 가리킵니다. 최근에는 이 혹스 메일에 대상자가 실제로 사용하는 비밀번호를 기재해 심리를 극도로 자극하는 수법이 사용되기도 합니다. 사실은 이미 다양한 경로로 유출된 비밀번호를 사용한 협박이고, 실제로 모든 접속 기록이나 웹캠 영상 등을 가지고 있을 가능성은 현저히 낮습니다.
일상적인 메일의 모방부터 직접적인 협박까지 악성메일은 정말 다양하고, 기발하기까지 합니다. 분야를 막론하고 사회적 이슈가 생길 때면 순식간에 이를 이용한 악성메일이 유행한다는 뉴스가 쏟아집니다.
이렇게 다양한 형태의 악성메일을 완벽하게 방어할 수 있는 방법이 있을까요?
놀랍게도 아직까지 그런 방법은 없습니다. 계속해서 다른 수법이 등장하고, 그 내용 또한 시기나 상황에 따라 변화하기 때문에 완벽하게 방어한다는 것은 불가능에 가까울 수 있습니다.
그렇다면, 악성메일의 진짜 예방법은 무엇일까요?
결국 그 방법은 ‘반복적인 모의훈련’ 뿐입니다. 정부에서 기업들을 대상으로 실시하는 사이버 위기 대응 훈련 프로세스에 ‘해킹 메일 모의훈련’이 빠지지 않는 것이 이를 증명합니다.
정부 주도 사이버 위기 대응 훈련이 반복되며 도출된 분명한 사실은, 훈련의 반복이 대응 능력을 향상시킨다는 점입니다. 2022년 하반기에도 이 훈련이 실시됐는데요. 해킹 메일 훈련 결과 5회 이상 반복적으로 참여한 기업이 신규 참여 기업보다 30% 이상 낮은 감염률을 보였습니다.
추가적으로 해당 훈련에서 지속적으로 강조되는 있는 사항이 시나리오의 확대입니다. 훈련이 실시될 때마다, 전년 대비 확대된 수의 시나리오가 활용되고 있습니다. 이는 앞서 말씀드린 악성메일의 다양한 수법 및 내용과 관련이 있습니다. 계속해서 같은 시나리오로 훈련한다면 예측불가능한 실제 악성 메일에 제대로 대응하기 어렵다는 판단이죠.
최근 파수에도 악성메일 모의훈련에 대한 문의가 늘어나고 있습니다. 임직원들의 보안 의식 향상을 위해 가장 부담이 적고, 효과적인 방안이라는 인식이 점점 퍼지고 있다는 의미겠죠?
악성메일 모의훈련 서비스
악성메일 모의훈련 서비스, 전문 컨설턴트가 훈련 전 과정에 참여, 다양한 악성메일 템플릿 보유 및 고객사 맞춤형 시나리오 제공, 훈련 진행 상황 공유 및 관리자 인사이트 제공, 감염자 및 미
www.fasoo.com
파수의 악성메일 모의훈련 Mind-SAT 또한 반복과 시나리오에 크게 신경을 쓰고 있습니다. 고객사에 맞게 커스터마이징 가능한 시나리오를 개발해 훈련을 진행하기 때문에 악성메일의 다양한 수법과 내용을 반복적으로 경험할 수 있습니다. 또한, 정보보호 전문서비스 기업이라는 신뢰성과 전문 컨설팅 인력, 보안 교육 등의 부수적인 조건들이 결합되면서 지속적인 문의가 이어지고 있습니다.
사이버 공격의 대부분이 메일을 통해 이뤄지는 만큼, 대비책을 찾고 계신 분들이 많을 텐데요. 변화무쌍하고 무궁무진한 악성메일의 ‘진짜’ 예방법은 모의훈련입니다. 반복적인 훈련은 배신하지 않는 법이죠.
물론, 그 과정이 우리에게 자주 일어날 수 있는, 보다 정교한 시나리오로 이뤄진다면 훈련의 효과는 배가 될 수 있습니다. 한 번의 클릭으로 자신은 물론 소속된 기업 및 기관에 엄청난 피해를 가져올 수 있는 악성메일, 이제는 대비해야 합니다.
유비무환(有備無患)! 준비돼 있다면, 걱정할 것이 없습니다!
'IT 트렌드가 한눈에!' 카테고리의 다른 글
| 정보보안 관리실태 평가, 데이터안심구역 지정의 의미 (0) | 2023.01.17 |
|---|---|
| 익명정보? 가명정보? 유명 클라우드 서비스의 개인정보 침해 논란 (0) | 2023.01.13 |
| 내부 개인정보 비식별화와 컴플라이언스 대응 (0) | 2022.12.23 |
| 2023 IT 트렌드, 멀티 클라우드 환경에서의 데이터 보안 방법은? (0) | 2022.12.02 |
| 바둑 승부와 보안 플랫폼의 공통점 (0) | 2022.11.21 |