2013.03.08

기업 사이버공격의 95%를 차지하는 스피어 피싱, 어떻게 예방할 것인가

Neal Weinberg | Network World
SANS 인스티튜트(SANS Institute)의 연구 이사 앨런 폴러에 따르면, 기업 네트워크에 가해지는 공격의 95%는 스피어 피싱(spear phishing), 다시 말해 무심코 수상한 이메일의 링크를 클릭하거나 첨부 파일을 다운로드해 벌어지는 피싱의 결과물인 것으로 조사됐다. 
 
스피어 피싱의 대표적인 사례로는 중국 해커들의 뉴욕 타임스 공격 사건 등이 있을 것이다. 그렇다면 IT는 어떻게 스피어 피싱으로부터 기업 네트워크를 보호할 수 있을까?
 
안티피싱 교육 프로그램 제공업체인 피시미(PhishMe)의 짐 헨슨은 "대부분의 스피어 피싱이 인간의 탐욕이나 두려움을 이용하는 방식으로 공격한다"고 설명했다. 전자의 경우에는 사실이라기엔 너무 매력적인 당첨금이나 쿠폰, 혜택을 제공하는 방식이, 그리고 후자의 경우에는 계좌나 이베이(eBay) 계정에 문제가 발생했다고 알리며 인증서나 개인 정보를 요구하는 방식이 있다. 
 
정교하지 못한 방식으로 불특정 다수를 공략하는 일반적 피싱과 달리 스피어 피싱은 기업의 IT 부서나 경리과, 혹은 친구나 동료를 사칭해 대상에게 접근한다. 
 
그렇다면 이런 스피어 피싱으로부터 직원들을, 그리고 나아가서는 기업을 보호할 방법에는 어떤 것이 있을까? 헨슨이 소개하는 스피어 피싱 회피 교육법을 소개한다. 
 
1. 회신 URL의 뒷부분을 살펴보자. 수신함에 www.bankofamerica로 시작해 뱅크 오브 아메리카에서 보내온 듯한 이메일이 있다면, 그 뒷부분을 한번 살펴보자. 그 뒷부분이 말이 안되는 문자들의 조합으로 이뤄져 있다면, 스피어 피싱을 의심해볼 필요가 있다. 
 
2. 이른바 '2중 피싱'에 주의하라. 의심스러운 이메일이 도착했을 때 '정말 원 빈 씨가 맞습니까'라는 식의 확인 메일을 보내보는 것은 좋은 전략이다. 여기에 이상한 답변이 돌아오거나 메일을 보냄과 동시에 회신이 온다면 자동화 시스템을 의심해볼 수 있기 때문이다. 
 
그러나 오늘날의 피셔들은 우리의 생각보다 더 똑똑해졌다. 공격자들은 의심을 피하기 위해 얼마 정도 시간을 둔 뒤 '네, 제가 원 빈입니다'라는 답장을 보내올 것이다. 기왕 한 의심은 한번 더 해보는 것이 좋다. 
 
3. 모르는 이가 보낸 PDF 파일은 절대 열어보지마라. 전혀 해가 되지 않을 것 같은 PDF 파일 안에 악성 zip 파일을 숨기는 것은 요즘 스피어 피싱 해커들이 애용하는 방법 가운데 하나다.
 
4. 정말 확실한 경우가 아니라면 절대 자신의 패스워드와 개인/주요 정보를 제공하지 마라. 
 
5. IT 보안 그룹은 스피어 피싱만을 위한 교육 프로그램을 마련할 필요가 있다.
 
피시미는 클라이언트 IT 그룹이 직원들에게 가짜 스피어 피싱 이메일을 보내 그 성공률을 확인할 수 있도록 하는 SaaS 기반 프로그램을 제공하는 대표적 업체다.
 
헨슨은 "피시미의 이런 가상 스피어 피싱 실험을 진행해 본 많은 기업들이 그 성공률(스피어 피싱 링크를 클릭하고 패스워드를 입력한 최종 사용자의 비율)에 충격을 받곤 한다"고 말했다. 헨슨에 따르면 가상 스피어 피싱 실험의 평균 성공률은 80% 수준에 달했다. 
 
피시미의 프로그램은, 최종 사용자가 피싱에 걸려들면 스크린에 커다란 플래시 문구로 자신이 피싱당했으며 그 원인은 어떤 실수에 있는 지를 알려줌으로써 직원들에게 경각심을 불러 일으킨다. 헨슨은 피시미가 사전 구축 피싱 탬플릿을 갖추고 있으며 고객들은 각자의 상황에 맞춰 테스트용 피싱 이메일을 커스터마이징할 수 있다고 설명했다. 
 
이렇게 확인된 스피어 피싱 테스트 프로그램 성공률 자료는 개별 직원들에게도 공개된다. 헨슨은 기업들이 계속적으로 피싱 수법에 걸려든 직원들에게 적정한 처분을 내리거나 좋은 이메일 습관을 보여준 직원들에게 보상을 제공하고 격려하는 등의 방식으로 이 프로그램을 활용할 수 있을 것이라고 덧붙였다. 
 
헨슨은 많은 직원들이 교육 프로그램이 종료되면 기존의 잘못된 습관을 다시 반복하는 경향이 많다고 설명하며 따라서 안티 스피어 피싱 프로그램은 지속적으로 운영될 필요가 있는 요소라고 강조했다. editor@itworld.co.kr


2013.03.08

기업 사이버공격의 95%를 차지하는 스피어 피싱, 어떻게 예방할 것인가

Neal Weinberg | Network World
SANS 인스티튜트(SANS Institute)의 연구 이사 앨런 폴러에 따르면, 기업 네트워크에 가해지는 공격의 95%는 스피어 피싱(spear phishing), 다시 말해 무심코 수상한 이메일의 링크를 클릭하거나 첨부 파일을 다운로드해 벌어지는 피싱의 결과물인 것으로 조사됐다. 
 
스피어 피싱의 대표적인 사례로는 중국 해커들의 뉴욕 타임스 공격 사건 등이 있을 것이다. 그렇다면 IT는 어떻게 스피어 피싱으로부터 기업 네트워크를 보호할 수 있을까?
 
안티피싱 교육 프로그램 제공업체인 피시미(PhishMe)의 짐 헨슨은 "대부분의 스피어 피싱이 인간의 탐욕이나 두려움을 이용하는 방식으로 공격한다"고 설명했다. 전자의 경우에는 사실이라기엔 너무 매력적인 당첨금이나 쿠폰, 혜택을 제공하는 방식이, 그리고 후자의 경우에는 계좌나 이베이(eBay) 계정에 문제가 발생했다고 알리며 인증서나 개인 정보를 요구하는 방식이 있다. 
 
정교하지 못한 방식으로 불특정 다수를 공략하는 일반적 피싱과 달리 스피어 피싱은 기업의 IT 부서나 경리과, 혹은 친구나 동료를 사칭해 대상에게 접근한다. 
 
그렇다면 이런 스피어 피싱으로부터 직원들을, 그리고 나아가서는 기업을 보호할 방법에는 어떤 것이 있을까? 헨슨이 소개하는 스피어 피싱 회피 교육법을 소개한다. 
 
1. 회신 URL의 뒷부분을 살펴보자. 수신함에 www.bankofamerica로 시작해 뱅크 오브 아메리카에서 보내온 듯한 이메일이 있다면, 그 뒷부분을 한번 살펴보자. 그 뒷부분이 말이 안되는 문자들의 조합으로 이뤄져 있다면, 스피어 피싱을 의심해볼 필요가 있다. 
 
2. 이른바 '2중 피싱'에 주의하라. 의심스러운 이메일이 도착했을 때 '정말 원 빈 씨가 맞습니까'라는 식의 확인 메일을 보내보는 것은 좋은 전략이다. 여기에 이상한 답변이 돌아오거나 메일을 보냄과 동시에 회신이 온다면 자동화 시스템을 의심해볼 수 있기 때문이다. 
 
그러나 오늘날의 피셔들은 우리의 생각보다 더 똑똑해졌다. 공격자들은 의심을 피하기 위해 얼마 정도 시간을 둔 뒤 '네, 제가 원 빈입니다'라는 답장을 보내올 것이다. 기왕 한 의심은 한번 더 해보는 것이 좋다. 
 
3. 모르는 이가 보낸 PDF 파일은 절대 열어보지마라. 전혀 해가 되지 않을 것 같은 PDF 파일 안에 악성 zip 파일을 숨기는 것은 요즘 스피어 피싱 해커들이 애용하는 방법 가운데 하나다.
 
4. 정말 확실한 경우가 아니라면 절대 자신의 패스워드와 개인/주요 정보를 제공하지 마라. 
 
5. IT 보안 그룹은 스피어 피싱만을 위한 교육 프로그램을 마련할 필요가 있다.
 
피시미는 클라이언트 IT 그룹이 직원들에게 가짜 스피어 피싱 이메일을 보내 그 성공률을 확인할 수 있도록 하는 SaaS 기반 프로그램을 제공하는 대표적 업체다.
 
헨슨은 "피시미의 이런 가상 스피어 피싱 실험을 진행해 본 많은 기업들이 그 성공률(스피어 피싱 링크를 클릭하고 패스워드를 입력한 최종 사용자의 비율)에 충격을 받곤 한다"고 말했다. 헨슨에 따르면 가상 스피어 피싱 실험의 평균 성공률은 80% 수준에 달했다. 
 
피시미의 프로그램은, 최종 사용자가 피싱에 걸려들면 스크린에 커다란 플래시 문구로 자신이 피싱당했으며 그 원인은 어떤 실수에 있는 지를 알려줌으로써 직원들에게 경각심을 불러 일으킨다. 헨슨은 피시미가 사전 구축 피싱 탬플릿을 갖추고 있으며 고객들은 각자의 상황에 맞춰 테스트용 피싱 이메일을 커스터마이징할 수 있다고 설명했다. 
 
이렇게 확인된 스피어 피싱 테스트 프로그램 성공률 자료는 개별 직원들에게도 공개된다. 헨슨은 기업들이 계속적으로 피싱 수법에 걸려든 직원들에게 적정한 처분을 내리거나 좋은 이메일 습관을 보여준 직원들에게 보상을 제공하고 격려하는 등의 방식으로 이 프로그램을 활용할 수 있을 것이라고 덧붙였다. 
 
헨슨은 많은 직원들이 교육 프로그램이 종료되면 기존의 잘못된 습관을 다시 반복하는 경향이 많다고 설명하며 따라서 안티 스피어 피싱 프로그램은 지속적으로 운영될 필요가 있는 요소라고 강조했다. editor@itworld.co.kr


X