보안담당자들이 악성메일 대응훈련(SAT)을 선택하는 이유

SAT하면, 우리나라에서는 흔히들 ‘미국 수능’이라는 개념으로 많이들 생각하시지만, 정작 미국에서 SAT는 그 시험만큼이나 ‘Security Awareness Training’이라는 의미로도 많이 통용됩니다. 그대로 직역하자면 보안의식훈련, 보안인식교육 정도의 뜻이 되겠고, 궁극적인 목적은 사내 임직원들이 모의 훈련을 통해 보안 인식을 제고하는데 있습니다.

 

 

 

SAT에 쉽게 설명 드리자면, 사내 임직원들을 대상으로 악성코드가 담겨있는 해킹메일을 발송하고, 첨부파일을 실행하거나 링크를 클릭하도록 유도합니다. 실제로 그렇게 됐을 경우, 마치 감염된 것처럼 알람을 띄워 대상자에게 경각심을 일깨워주는 방식이죠.

저희 파수에서는 이런 의심메일을 신고 센터로 전달하면, 복지 포인트로 전환해주는 사내 캠페인을 진행하고 있습니다. 벌써 이 캠페인 한지도 5년이 훌쩍 넘은 것 같네요~! 5년정도 SAT 관련 캠페인에 참여하다 보니, 저는 이제 기계적으로 의심되는 첨부파일이나 링크가 있는 메일들은 보지도 않고 1초만에 신고 센터로 포워딩을 합니다. 이게 아마도 교육훈련의 힘이 아닐까요^^;

얼마 전 과기정통부가 한국인터넷진흥원(KISA)과 함께 실시한 지난 2021년도 하반기 사이버 위기 대응 모의 훈련 결과를 보면, 왜 SAT가 필요한지 조금 더 상세하게 느낄 수 있습니다.

 

출처: 과기정통부

이번 해킹 모의 훈련에 참여한 45개사 중 40개사의 웹사이트에서, 그리고 50개사 중 32개사의 웹 서버 및 업무용 서버에서 보안 취약점이 상당수 탐지된 것으로 드러났기 때문입니다. 또한, 더욱 의미 있는 데이터는 이번 모의 훈련에 재참여한 기업의 감염율이 신규 참여 기업에 비해 45%나 낮게 나타나, 훈련이 거듭될수록 대응 능력이 향상됐다는 사실입니다. 놀랍지 않으신가요?

글로벌 리서치 그룹인 가트너 리포트에 따르면, “SAT는 조직의 보안 위협을 70%까지 줄일 수 있다”는 분석이 있습니다. 또한, 2020 Deloitte-NASCIO 사이버 보안 연구에서도 “SAT는 각 산업군에서 가장 많이 채택한 엔터프라이즈 보안 서비스”라는 연구 결과가 있습니다. 이렇게 보면, 사내 임직원들의 보안 인식 제고를 위한 SAT가 보안 영역에서 하나의 큰 트렌드로 자리잡을 가능성이 상당히 커 보이죠?

 

 

실제로 보안담당자들이 상당히 어려워하는 보안 위협 중 하나는 바로 ‘권한이 있는 내부자들의 실수’입니다. 사람이기 때문에 당연히 실수를 할 수 있고, 악의가 없는 행위이기 때문에 처벌 대상도 되기 어렵습니다. 대놓고 악의를 가진 외부의 공격은 오히려 대응이 쉬울 수 있지만, 반대의 경우는 예측도 쉽지 않고 후속 대응도 난감한 경우가 많죠.

그렇기에, 최근 글로벌 보안 업계의 분위기, 특히 CISO들이 SAT로 눈을 돌리는 이유가 분명히 있습니다. 권한을 가진 내부자들의 실수를 주기적이고 반복적인 교육을 통해 최소화하고, 보안 인식을 강화하는 것만큼 정보 유출 위협을 효과적으로 줄일 수 있는 방법은 없기 때문입니다.

국가대표 SW기업 파수도 앞서가는 SAT 서비스를 제공하고 있습니다. 흔히 바꾸기 힘든 사고방식이나 태도들을 마인드셋(Mind-Set)이라고 하죠? 사내 임직원들의 보안 인식을 새롭게 마인드셋 할 수 있는 파수의 악성메일 모의훈련, Mind-SAT입니다.

파수의 Mind-SAT 서비스는 풍부한 경험과 우수한 역량을 지닌 전문 컨설턴트들이 보안 훈련 전 과정에 직접 참여해, 고객사 맞춤형 시나리오를 개발 및 적용해 드립니다. 공공기관 및 금융권에서 검증된 모의훈련 시나리오 DB를 다수 보유하고 있어, 고객이 원하는 시나리오를 선택하실 수도 있습니다.

보안에 취약한 사용자들을 대상으로 점점 교묘해지는 악성메일 공격 수법에 대비할 수 있도록, 지금 바로 Mind-SAT을 준비하세요!

 

>> 파수 악성메일 모의훈련 자세히 보러가기

https://www.fasoo.com/services/security-awareness-training

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo