보안

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

Michael Hill | CSO 2021.05.28
규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다.

보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.
 

피싱 테스트에 제기된 윤리적 문제

하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다.

WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.
 

윤리적인 피싱 테스트

일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것과 공정하지 않은 것, 윤리적인 선을 넘지 않도록 만드는 방법에 대한 의문을 제기한다. 또 피싱 테스트가 유용하고 효과적이며 이익이 되는 사이버보안 교육이 되고, 득보다 실이 되는 위험을 초래하지 않도록 만들려면 어떤 조치를 취해야 할까?

보안 업체 사이젠타(Cygenta)의 CEO 제시카 바커는 “기업은 피싱 테스트 때 윤리적 경계를 지켜야 한다. 피싱 시뮬레이션이 지나칠 때 초래될 수 있는 피해 때문이다. 특히 팬데믹 상황인 점을 감안할 때 보너스나 의료 같은 감정과 크게 관련된 부분으로 대상의 감정적 ‘웰빙’을 자극하면 심리적인 안정, 신뢰, 문화 등에 해가 될 수 있다”고 설명했다.

이는 사이버보안 팀의 노력을 훼손시키고, 이들이 참여시키려는 사람들과의 관계를 소원하게 만든다. 그는 “사람들은 일반적으로 속는 것을 좋아하지 않고, 자신을 속이는 사람을 신뢰하지 않는다. 내가 자주 듣는 반론 중 하나는 ‘범죄자들은 피싱에 감정적인 부분들을 이용하는 데 우리는 왜 그러면 안 되는가?’라는 주장이다. 범죄자들은 실제 재산 피해를 야기하고, 시스템을 무력화시키고, 서비스를 중단시키지만, 소셜 엔지니어와 침입 테스트 담당자는 그러지 않는다. 선의의 목적에서 이런 일을 한다. 시뮬레이션이 실제 피해를 초래해서는 안 된다”고 말했다.

또 다른 보안업체인 사이브세이프(CybSafe)의 행동 과학 책임자인 존 브라이스 박사에 따르면, 기업은 직원들을 화나게 만들 가능성이 있는 주제를 피하는 등 이메일 템플릿을 신중하게 선택해야 한다.

디지털엑스레이드(DigitalXRAID)의 릭 존스 CEO는 “심지어 레빌(REvil) 같은 일부 범죄 조직들조차 특정 기준을 강조한다. 자신들의 SaaS 랜섬웨어로 정부와 공공부문, 의료 및 보건부문, 교육기관을 타깃으로 삼는 것을 금지하고 있다. 다크사이드(DarkSide) 또한 최근 콜로니얼 파이프라인(Colonial Pipeline) 공격으로 정치, 경제, 사회적 혼란을 야기할 의도는 없었다. 금전적인 이득을 염두에 두고 작전을 펼쳤다고 언급했었다. 피싱 시뮬레이션을 수행하는 사람들은 실제 작전을 펼치는 범죄 집단과 동일한 스킬을 갖고 있지만, 이들에게는 반드시 지켜야 할 기준과 윤리가 있다”고 강조했다.

다음은 피싱 테스트를 더 낫게 만들기 위해 고려해야 할 5가지 사항들이다.
 
ⓒ Getty Images Bank
 

피싱 테스트의 목적 이해

바커에 따르면, 피싱 시뮬레이션을 윤리적이면서 생산적으로 만들기 위해서는 먼저 피싱 테스트의 목적과 목표를 이해해야 한다. 바커는 “피싱 시뮬레이션을 ‘단속(Gotcha)’을 위한 훈련으로 생각하고 있다면 다시 생각하는 것이 좋다. 이는 교육이 아닌 속임수이기 때문이다. 테스트를 교육으로 생각한다면, 가르쳐야 할 행동은 무엇일까? 이를 생각해야 한다”고 말했다.

존스는 테스트 시나리오는 피싱 이메일의 형태에 대한 기준선을 만들어, 사용자가 신호를 파악하는 능력을 확실히 터득하는 것에 목적이 있다고 설명했다.

바커는 “여전히 클릭률에 초점을 맞추고 있는 피싱 시뮬레이션들이 아주 많다. 사람들은 잘 만들어진 피싱 이메일을 중심으로 항상 링크를 클릭할 것이다. 피싱 테스트를 더 효과적으로 만들기 위해서는 클릭률을 낮추는 것보다 보고율을 높이는 것에 초점을 맞춰야 한다. 궁극적으로 조직과 관련된 맥락을 이해하고, 이를 지켜야 적절한 피싱 시뮬레이션을 만들 수 있다”라고 강조했다.
 

커뮤니케이션을 통한 신뢰 구축

브라이스는 피싱 테스트에서 다음으로 중요한 요소는 투명성이라고 주장했다. 그는 “기업은 직원들에게 투명해야 한다. 시뮬레이션 피싱 테스트를 실시하는 시기에 대한 정보를 제공하고, 교육 목적의 피싱이라는 점을 강조해야 한다. 신뢰를 쌓지 않으면, 직원들은 금방 분개하게 된다. 자신이 감시를 받고 있고, 회사가 자신을 적발할 기회를 보고 있다는 생각을 하게 된다”고 말했다.

존스 또한 이런 투명한 접근법에 동의했다. 그는 “사용자에게 피싱에 대해 점진적으로 소개하고, 주의야 할 부분과 여기에 대응하는 방법을 가르쳐야 한다. 이런 과정을 통해 커뮤니케이션 문화를 구축해야 한다”고 말했다.
 

긍정적인 강화

긍정적인 강화(Positive reinforcement)는 피싱 테스트의 단기, 장기 효과성에 아주 중요한 역할을 한다. 또 조직이 여기에 접근하는 방식이 윤리적인지 여부에 큰 영향을 미칠 수 있다.

예를 들어, 피싱 테스트를 통과하지 못한 직원을 비난하거나 처벌하지 않는다. 이는 부정적인 감정이나 환멸을 초래할 수 있다. 대신 장려하고 싶은 대응이나 행동을 공개적으로 칭찬한다. 바커는 “긍정적인 강화가 훨씬 더 효과가 크다. 사회적 증명의 원칙을 바탕으로 사람들을 훨씬 더 효과적으로 관여시킨다”고 말했다.

다크타워(DarkTower)의 인텔리전스 디렉터인 개리 워너에 따르면, 피싱 시뮬레이션에는 ‘막대가 아닌 당근’과 유사한 방식을 사용하는 것이 좋다. 그는 이와 관련, 자신이 IT 디렉터로 일하던 때의 사례를 소개했다.

그는 “상사에게 100달러에 의심스러운 이메일에 대한 보고율을 향상시킬 수 있다고 말했었다. 우리가 가장 최근 받은 보고들을 가져와 아주 상세히 분석했다. 그리고 전사적으로 이메일 한 통을 보냈다. ‘서비스 센터의 조는 이런(스크린샷) 의심스러운 이메일을 받았습니다. 조는 자신이 할 일을 알고 있었습니다! 이메일을 phishing@myoldjob.com으로 전달한 것입니다. 조가 이메일을 전달하는 대신 링크를 클릭했다면, 그의 컴퓨터는 XYZ 바이러스에 감염이 됐을 것이고, 우리 네트워크에서 러시아로 데이터가 유출되었을 것입니다! 회사를 지켜준 조에게 레스토랑에서 2명이 스테이크를 즐길 수 있는 사례를 했습니다. 조, 회사를 지켜줘서 고맙습니다! 의심스러운 이메일을 받으셨나요? Phishing@myoldjob.com으로 전달해주십시오! 그러면 엄청난 사이버 공격에서 회사를 구하고, 이에 대한 사례도 받을 수 있습니다!’ 보고율은 1,000% 향상되었고, 여기에 투자한 비용은 월 100달러의 저녁 상품권이었다”고 말했다.

위 사례에서 가너가 사용한 방법은 WMT가 피싱 테스트에서 사용한 방법과 비교된다. 두 방법은 크게 다르다. 명확히 커뮤니케이션을 하고, 정보를 많이 제공했다. 그러나 철도 회사처럼 아주 감정적인 ‘지금 클릭’ 형태의 언어와 표현을 사용하지 않았다(또 가짜 약속이 아닌, 실제 무료 식사를 제공). 긍정적 강화를 활용, 사용자가 좋은 보안 행동을 체득하도록 유도한 아주 좋은 사례이다.
 

피싱 테스트 실패를 보안 성과로 전환

테스트 과정에 데이터를 획득한 후의 후속조치는 테스트 계획 및 시행 단계만큼 중요하다. 사용자에게만 초점을 맞추면 안 된다. 시뮬레이션 결과가 전사적으로 도움이 될 수 있는 방법에 초점을 맞춰야 한다.

존스는 “진부한 이야기이지만, 사이버보안에서는 데이터가 정말 중요하다. 보안 로그나 장치의 기술 데이터부터 사용자의 정보에 이르기까지 모든 것이 아주 중요한 지식을 제공한다. 직원들은 기업의 ‘제일선’ 이다. 따라서 의사결정자들이 이들로 인해 초래될 수 있는 위험을 인식하는 것이 중요하다. 무엇보다 피싱 공격이 성공하면 악성코드가 구축된 모든 보안 도구를 뚫고 들어올 수 있다”라고 강조했다. 시뮬레이션에 통과하지 못한 사람들의 경우, 비난보다는 장려, 보안 교육이 앞서야 한다.

브라이스는 “누군가 시뮬레이션한 피싱 이메일을 클릭했다면, 적시에 도움이 되는 피드백을 제공해야 한다”라고 말했다. 피드백은 긴 의무 교육이나 처벌의 형태가 아닌, 짧고 몰입도가 높은 형태여야 한다. 그래야 최상의 결과가 나온다. 그는 “인적 사이버 위험에 대한 우리의 접근법은 공감에 토대를 두고 있다. 직원들이 행동을 변화시키도록 돕고, 힘을 보태는 더 이해심 있는 방법이 시뮬레이션 공격에 굴복한 사람들을 비난하는 방법보다 장기적으로 더 큰 성과를 거둘 확률이 높다”라고 말했다.

존스는 영국 ICO(Information Commissioner’s Office) 같은 정부 당국과 연락할 때 피싱 시뮬레이션 데이터를 이용할 수도 있다고 덧붙였다. 그는 “기업은 이런 방법으로 내부 위협을 인식하고 있으며, 이를 경감하기 위한 조치를 취했다는 증거를 제시할 수 있다”라고 덧붙였다. 직원들이 조직에 초래할 수 있는 위협의 수준을 드러내고, 격려와 커뮤니케이션을 통해 긍정적인 변화를 견인하는 증거를 제시하는 것은 아주 중요한 성과다.
 

적시에 적합한 도구 활용

조직이 살펴봐야 할 중요한 마지막 고려사항은 특정 시점에 피싱 테스트가 올바른 훈련인지 여부이다. 바커는 “피싱 시뮬레이션이 전혀 도움이 되지 않는 경우들도 있다. 사이버보안에 대해 두려워하는 문화가 이미 형성되어 있는 경우를 예로 들 수 있다. 피싱 시뮬레이션은 도구에 불과하다. 따라서 적시에 적합한 방법으로 활용되어야 한다”라고 강조했다.

이와 관련, 영리한 사이버 범죄자가 공격에 사용하는 더 까다로운 전술을 조금 더 부드럽게 소개하기 위한 방편으로 약화시킨 피싱 테스트를 사용할 수도 있다. 그는 “직원들이 실제 위험에 대해 교육이 되지 않은 상태로 방치되지 않도록 만들기 위해, 시뮬레이션에서 직접 노출시키지 않고 사이버범죄자들이 사용할 수도 있는 전설에 대해 건설적으로 대화를 하는 방법을 활용할 수도 있다”라고 말했다. 

어느 쪽이든, 시뮬레이션 피싱은 장기간에 걸쳐 직원들이 좋은 보안 행동을 체득하도록 만드는 전략의 일부에 불과하다. 그는 “피싱 공격의 피해자가 되는 직원들의 수를 줄이는 것이 궁극적인 목적이라면 해결해야 할 다른 보안 행동들이 있다”라고 설명했다.

궁극적으로 피싱 테스트의 목적이 사용자를 속여 클릭하도록 만드는 수단을 활용, 이들이 더 나은 행동을 하도록 나무라는 것이라면, 이는 사용자에게 피싱 공격의 위험에 대해 교육하는 효과가 없을 가능성이 있을 뿐만 아니라, 의욕을 떨어뜨리고, 더 나아가 감정을 상하게 만들 수도 있다. 대조적으로 윤리적이고 공감할 수 있는 방법을 사용하고, 조직의 문화를 여기에 부합시키고, 긍정적인 강화와 건설적인 접촉으로 이메일 기반 공격이 초래하는 실제 위협에 대해 가르치고, 직원들에게 더 안전한 행동을 연습하도록 유도하고 장려한다면, 이때 피싱 테스트는 조직의 보안 인식 태세를 높이도록 도움을 주는 유용한 도구가 될 수 있다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.