2021. 6. 15. 15:36ㆍIT 트렌드가 한눈에!
만약 우리나라 연료 절반을 유통하는 기업이 해킹을 당한다면?! 상상만 해도 아찔합니다. 그럼에도 불구하고 대부분은 이내 그럴 가능성은 거의 없다고 생각하기 마련이죠.
하.지.만(!)
불과 한 달 전, 미국 동부의 연료 절반 가량을 책임 지는 송유관 업체인 ‘콜로니얼 파이프라인(Colonial Pipeline)’이 해커의 소행으로 서비스 불능 상태에 빠진 사건이 일어났습니다. 서비스 마비 원인은 송유관 흐름을 제어하는 시스템이 랜섬웨어에 감염됐기 때문인데요. 랜섬웨어는 도대체 어떻게 이렇게 거대한 기업의 시스템으로 진입할 수 있었을까요? 국가 핵심 기반시설로 분류되는 만큼 시스템 탈취가 결코 쉽지 않았을 텐데 말이죠.
만약, 내부 사용자가 악성 프로그램이나 파일을 다운로드 받았다면 얘기가 달라집니다. 사용자가 속아서 악성 프로그램을 사내 컴퓨터에 다운로드 받게 된다면, 해커의 침입은 훨씬 쉬워지죠. 대다수 사이버 전문가들 또한 콜로니얼 파이프라인 해킹 사건이 내부 직원의 실수로 인한 랜섬웨어 침투에서부터 시작됐을 가능성이 높다고 말하고 있습니다.
위 사건은 많은 보안 관리자에게 시사점을 주고 있습니다. 현실적으로 많은 내부 사용자들이 악성메일을 심각하게 생각하지 않고 있습니다. 악성메일은 위험성이 높지만 가장 흔한 해킹 수법이기 때문에, 사용자 스스로 악성메일의 덫에 걸리지 않는다고 쉽게 자신하기 때문입니다. 악성메일을 대수롭지 않게 여기는 사용자의 빈틈이 외부 침입을 허용하는 보안 사고로 이어질 수 있음을 보여주는 것이죠. 아무리 보안 설계가 탄탄하더라도 말입니다. (후덜덜…)
최근 재택/원격근무 확장으로 인해 이메일 커뮤니케이션이 늘며, 사용자의 ‘빈틈’을 노리는 악성메일에 더욱 유의할 필요가 높아지고 있습니다. 특히, 사용자의 특성을 파악해 이들에게 맞춤화된 악성메일을 보내는 ‘타깃 맞춤형 악성메일’이 등장하고 있는데요.
예를 들어, A는 반도체 기업의 연구원입니다. 이때 A에게 해외 연구원 B의 주소로 된 메일이 첨부파일과 함께 전송됐습니다. 동료의 주소로 위장된 악성메일이라면, 혹시 나도 모르게 첨부파일 다운을 누를 수 있지 않을까요? 이건 어떨까요? C는 한 기업의 인사담당자입니다. 평소에도 많은 이력서를 받겠죠. 이때 이력서로 위장된 악성메일이 전송된다면, 과연 완벽하게 피할 수 있을까요? 읽으시는 분들 모두 완전히 고개를 끄덕이시지는 못할 것 같습니다.
알 수 없는 언어와 첨부파일만 덩그러니 있을 때가 많았던 악성메일은 점점 발전해 사용자의 특성을 파악하고, 그 사용자가 누를 수 밖에 없는 형태로 진화하고 있습니다. 사용자 본인의 직업 특성 또는 관심사에 맞춰 보내는 악성메일은 당연히 이전보다 속을 가능성이 높겠죠. 이를 통해 아무리 보안 체계가 강력하더라도, 내부 사용자에 의해 랜섬웨어와 같은 보안사고가 발생하는 것입니다.
결과적으로, 사용자가 악성메일에 현명하게 대응할 수 없다면 아무리 보안 체계를 강화하더라도, 조직은 계속해서 보안 리스크를 가져가는 것과 마찬가지입니다. 이는 지속적인 악성메일 모의훈련이 필요한 이유와 직결됩니다. 반복적인 훈련을 통해 사용자의 보안 인식을 제고하고 다양한 유형의 악성메일을 미리 경험함으로써, 실제 악성메일을 받았을 때 대응 능력을 실질적으로 키울 수 있기 때문입니다.
그렇다면, 악성메일 모의훈련에서 가장 고려해야할 점은 무엇일까요? 앞서 언급 드렸듯이, 사용자가 악성메일에 대해 제대로 교육 받지 않는 한, 기업/기관 등 조직은 보안 리스크를 안고 있을 수 밖에 없습니다. 따라서 특정 사용자를 겨냥한 악성메일이 와도, 섣불리 넘어가지 않도록 사용자를 훈련시키는 것이 보안 위협에서 벗어나는 지름길입니다. 즉, 사용자 특성을 효과적으로 반영한 예상 시나리오를 만들 수 있는지가 보안 컨설팅 업체를 선택하는 기준이 돼야하는 것이죠.
파수의 악성메일 모의훈련(SAT) 서비스는 전문 컨설턴트가 사용자 환경에 맞춘 예상 시나리오를 철저히 검토해 기획합니다. 파수는 지금까지 공공기관 및 금융권에서 검증된 다수의 모의훈련 시나리오를 보유하고 있는데요. 이러한 시나리오 데이터베이스를 바탕으로 고객사 요구사항과 특성을 반영한 맞춤형 시나리오를 개발합니다. 또한, 시나리오 기획뿐만 아니라, 풍부한 경험과 우수한 역량을 지닌 전문 컨설턴트가 특정 기간, 메시지 설정 이후 대응 결과까지 공유하며, 모의훈련 전 과정에 함께합니다.
전문 컨설턴트와 함께하는 고객 중심의 악성메일 모의훈련 서비스를 통해 내부 사용자에 의한 보안 위협을 상쇄하는 건 어떨까요?
>>파수 악성메일 모의훈련 서비스 자세히 보러 가기
https://www.fasoo.com/services/security-awareness-training
데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo
디지털 전환, 디지털 트랜스포메이션, 디지털 뉴딜 시대를 리드하는 글로벌 소프트웨어 기업. 정보보안, 빅데이터, 비식별, 문서관리, 랜섬웨어, 블록체인 관련 솔루션 및 서비스 제공
www.fasoo.com
'IT 트렌드가 한눈에!' 카테고리의 다른 글
| 보험사 건강보험 데이터 활용 시동…잊지 말아야 할 것은 (0) | 2021.06.22 |
|---|---|
| 개인정보위원회의 AI 개인정보보호 자율점검표 빈틈없이 해부하기! (0) | 2021.06.17 |
| 폐암 환자 연구부터 대출모델의 근거까지, 비식별 데이터의 재탄생 (0) | 2021.06.07 |
| NFT? 블록체인? 회사에서도 활용 가능하다고? (0) | 2021.06.07 |
| 병원에서 환자정보를 최우선으로 보호해야 하는 이유 (0) | 2021.06.04 |