보안

피싱 공격자의 침투를 막는 방법

Ryan Francis | CSO 2016.08.12
피싱(phishing) 공격은 실제 낚시와 똑같다. 피싱 공격자들은 미끼를 던져놓고, 누군가 미끼를 물면 여지없이 네트워크로 침투한다.

아이언스케일(IronScales) CEO인 에얄 베니시티는 피싱 공격자를 차단하기 위한 첫 단추는 직원 인식이라고 말했다. 베니시티는 "사이버범죄자들은 천성적으로 게으르다"면서 "조직이 호두와 같이 깨뜨리기 어렵다면 사이버범죄자는 더 쉽게 딸 수 있는 과일을 찾아 다른 곳으로 떠난다"고 말했다.

올해 초 출간된 버라이즌(Verizon)의 데이터 유출 조사 보고서에 따르면, 데이터 유출에서 가장 많이 사용되는 도구는 여전히 피싱이다. 또한 트렌드마이크로(TrendMicro)는 랜섬웨어가 2016년 가장 큰 위협 가운데 하나가 될 것이며, 단일 건의 데이터 몸값(ransom)도 훨씬 더 높아져서 100만 달러 단위까지 올라갈 것으로 예상했다. 기업을 위한 베니시티의 조언은 다음과 같다.

1. 피싱 시뮬레이션 실행
피싱 시뮬레이션, 그리고 이어지는 게임 방식의 특별 교육은 인식을 높이고 위험을 낮추는 데 있어 그 효과가 입증된 방법이다.
행동은 과정을 거쳐 변하므로 최소 2개월마다 이 프로세스를 반복한다. 교육도 중요하지만 올바른 마음가짐을 갖도록 하는 데는 지속적인 평가가 더 효과적이다.

2. 교육에 게임 요소 도입
교육을 좋아하는 사람은 없다. 이들은 비디오와 교육 프로그램, 지루한 슬라이드와 끝없는 목록에 진력을 낸다. 또한 보안 관리자 입장에서 측정도 할 수 없다. 인터랙티브 교육 또는 '게임화된' 교육이 훨씬 더 효과적인 이유가 여기에 있다. 사람들은 높은 점수를 따서 보상 받기를 좋아한다.
재미있고 인터랙티브한 게임을 통해 필요한 메시지를 전달하라!

3. 고위 경영진을 반드시 포함해야 함
특히 스피어 피싱과 웨일(whale) 피싱에서는 이들이 주 목표물이다. 예외는 없다. 고위 경영진의 참여를 공개적으로 촉구하라. 이들의 참여는 다른 직원들에게도 좋은 본보기가 된다.

4. 실제 사례를 사용
직원들이 실제로 받을 법한 이메일을 예시 공격으로 사용하는 방법이 가장 좋다. 난이도별로 가장 아래 단계부터 시작하라. 직원들이 첫째 날부터 높은 수준의 피싱을 이해할 것이란 기대는 금물이다. 피싱 시나리오와 교육 모듈을 단계별로 진행하라.

5. 교육을 의무화하고 직원들의 진도를 파악하라
효과를 보기 위해서는 직원들이 이 교육이 진지한 교육임을 인식해야 한다. 교육에 불참할 경우 상기시켜야 한다. 직원이 교육을 좋아하도록 하는 것이 보안 담당자의 의무다. 핵심은 메시지다. 직원은 회사와 회사의 자산을 보호하는 데 있어 자신이 중요한 역할을 맡고 있음을 이해해야 한다.

6. 지속적인 피싱 보고 장려
모든 직원이 의심스러운 이메일을 보안 팀에게 보고하는 방법을 숙지하도록 하라. 많은 사람이 회사 내에 구현된 보안기술이 모든 악성 이메일과 첨부 파일을 자동으로 차단해준다고 믿는 경향이 있다. 따라서 직원들 역시 방어 전선에 위치하고 있음을 주지시켜야 한다.

7. 끝없는 경계
피싱은 사이버 범죄자들이 악성 소프트웨어를 조직에 침투시키기 위해 가장 많이 사용하는 수단이다. 그 정교함의 수준도 대폭 높아져서 전통적인 방어 방법으로는 따라잡지 못한다. 위험을 명확히 인지하고, 맞닥뜨릴 경우 알아보고 보고할 수 있도록 사람들을 교육해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.