2023. 6. 9. 17:51ㆍIT 트렌드가 한눈에!
혹시, ‘김수키(Kimsuky)’에 대해 들어보셨나요?
IT 관련 뉴스를 자주 보시거나, 보안 담당자 분들이라면 익숙할 거라 생각되는데요. ‘김수키’는 지난 10여년간 우리나라의 기업 및 기관을 대상으로 다양한 사이버 공격을 시도해온 북한의 대표적인 해킹 조직입니다. 보안 전문가들은 이들을 지능형지속위협(APT) 그룹으로 분류하고 있습니다.
얼마전 우리나라 정부는 ‘김수키’를 대북 독자제재 대상으로 지정하고, 미국과 함께 합동 보안 권고문을 발표했습니다. 해당 권고문은 ‘김수키’의 주된 해킹 수법과 이에 대응하기 위해 필요한 사이버 보안조치 관련 내용을 담고 있습니다.
‘김수키’는 주로 사람의 신뢰나 사회적인 관계를 이용한 공격을 시도합니다. 이를 소셜 엔지니어링, 즉 ‘사회공학적 기법’이라고 하는데요. 이는 어떤 기술적인 해킹 기법이 아닌, 사람의 신뢰와 공감 등 심리적인 부분을 악용해 정보를 탈취하는 기법입니다. 특히 이들은 특정한 개인이나 조직을 대상으로 한 맞춤형 피싱 공격인 ‘스피어피싱’을 통해 해당 기법을 적극적으로 활용하고 있습니다.
조금 더 구체적으로 설명하자면, ‘김수키’는 주로 기자나 학자, 연구원, 정부 관계자 등을 사칭하는 피싱메일을 통해 악성코드를 퍼뜨리고, 자신들이 필요한 정보를 탈취하는데요.
위는 ‘김수키’가 외교, 안보 전문가인 국립대 교수에게 보낸 메일입니다. 교수가 코멘트 요청에 동의하자 곧장 보고서가 첨부된 답장이 왔고, 보고서는 포털사이트 로그인 화면으로 연결돼 있었습니다. 하지만 이는 모두 가짜였습니다. 해당 교수의 개인정보를 탈취하기 위해 정교하게 만들어진 사이트였던 것이죠. ‘김수키’는 해당 교수 외에도 수많은 고위 공무원과 대학 교수, 전문가에게 비슷한 형식의 피싱 메일을 보낸 것으로 알려졌습니다.
실제로 스피어피싱 피해자는 아무런 의심도 하지 않고 공격에 걸려들 확률이 매우 높습니다. 해커들이 애초에 타깃을 지정한 뒤, 그 타깃이 친숙하게 느낄만한 정교한 템플릿으로 공격을 시도하기 때문입니다. 심리적인 취약점을 치밀하게 파고드는 것이죠.
여기서 알 수 있는 것이 바로 보안 의식 제고의 중요성입니다. 악성메일을 통한 공격은 한 순간의 방심이 곧바로 정보 유출이나 악성코드 감염 등의 결과로 이어지기 때문에, 메일을 통한 링크 클릭 및 정보 입력 시 우선적으로 경계하는 마음을 가지고 있는 것이 중요합니다.
보안 의식 제고를 위해선 반복적인 훈련이 반드시 필요합니다. 이는 파수가 계속해서 악성메일 훈련 서비스인 Mind-SAT과 함께 강조하고 있는 부분이죠. 이미 Mind-SAT을 이용중인 기업 및 기관의 보안 담당자 분들은 훈련이 반복될수록 전체 임직원들의 감염률이 현저히 낮아지는 현상을 직접 체험하고 있는데요.
하지만, 점차 고도화되는 악성메일에 보다 철저하게 대비하기 위해서 모의훈련만큼이나 중요한 것이 있습니다. 바로 실전훈련과 보안교육입니다. 파수 Mind-SAT은 기존에 다양한 메일 템플릿을 이용한 모의훈련 서비스를 주로 제공했지만, 이제는 악성메일 신고센터 운영을 통한 실전훈련과 보안 전문가의 교육 서비스까지 확대 진행하고 있습니다!
위에서 말씀 드렸듯이, 악성메일 공격은 수신자의 단 한번 실수라도 곧바로 심각한 상황에 직면할 수 있기 때문에, 단 한 번의 실수도 허용되지 않아야 합니다. 이는 모의훈련을 통해 임직원이 악성메일의 위험성을 인지하고 있더라도, 훈련 템플릿이 아닌 실제 악성메일을 받았을 때 제대로 대처하지 못한다면 그간의 훈련이 전부 물거품이 되는 상황이 발생할 수 있음을 의미합니다.
이러한 상황을 막기위해, 파수는 신고센터를 통해 들어온 메일의 악성 유/무를 확인해 고객사에게 전달하는 실전훈련을 함께 제공하고 있습니다. 이는 모의훈련과 함께 병행돼, 임직원 보안 의식 제고와 함께 실제 악성메일에 발 빠르게 대처할 수 있는 보안 환경을 조성합니다.
여기에 더해, 보안교육 서비스도 제공합니다. 해당 서비스는 파수의 보안 전문가가 고객사 산업군 관련 보안 이슈를 공유하고, 잠재적인 위협 요소를 점검하는 정기 교육, 사내 악성메일 모의훈련 결과를 기반으로 한 비정기 교육으로 구분돼 있습니다. 보안교육은 모의/실전 훈련과 함께할 때 큰 시너지를 발휘하기 때문에 악성메일을 비롯한 각종 APT 공격에 철저하게 대비할 수 있습니다.
지금 이 순간에도 사내 임직원들의 메일함에는 다양한 악성메일들이 쌓이고 있으며, ‘김수키’를 포함한 여러 해킹 조직은 이전보다 지능화된 방식으로 기업 및 기관의 중요 정보를 노리고 있습니다. 보안 솔루션 도입을 통한 데이터 보안과 함께 임직원의 보안 의식 제고 또한 반드시 필요한 시점입니다.
오늘 소개해 드린 파수의 Mind-SAT에 대해 더 자세하게 알고 싶으시다면 문의 주세요! 임직원 보안 의식 제고, 데이터 보안과 더불어 현재 파수가 가장 잘 하고 있는 일입니다.
'IT 트렌드가 한눈에!' 카테고리의 다른 글
구인구직 이력서 통한 악성코드 공격 (0) | 2023.06.28 |
---|---|
영화 <대외비> 속 문서 유출 과정의 핵심 포인트 (0) | 2023.06.21 |
지능화 되는 사이버 위협에 능동 대응하는 정부 움직임 (0) | 2023.06.07 |
개인정보보호페어 & CPO 워크숍 PIS FAIR 2023, <개인정보보호>하면 파수! (0) | 2023.06.02 |
ChatGPT 업무 활용 방안, 보안위협 대응 전략 (0) | 2023.05.25 |