Offcanvas

SNS / 리더십|조직관리 / 보안

블로그 | 정교해진 소셜 엔지니어링과 피싱 공격, 기업은 어떤가?

2013.09.24 Steve Ragan  |  CSO
기업 경영진들이 보안 인식 교육에 초기에는 참여하고 있지만 이들 모두가 결과를 시험하는 것은 아니라는 조사 보고서가 나왔다.

이 보고서에 따르면 기업 경영진들이 사용자 인식 교육을 실시하고 있지만, 이들의 절반만이 교육의 효과를 측정하고자 후속 작업으로 추가 테스트를 실시하는 것으로 나타났다.

또한 보고서는 네트워크 방어가 강력한 성장세를 보이고 이러한 다양한 보호 계층간의 차이가 부상하면서 범죄자들이 공격을 시작하기 위해 정직원, 계약직, 고객 등 소프트 표적을 찾고 있다고 밝혔다. 이러한 사실은 비밀도 아니며 이는 사용자 인식 교육이 존재하는 이유이기도 한다. 이는 피싱과 소셜 엔지니어링 등 소프트 표적 공격과 관련한 위험을 완화하도록 해준다.

지난 여름, <CSO>는 헬프데스크에서 작동하는 소프트 표적에 관련한 위험을 조사한 연구 보고서를 발표한 바 있으며 이는 조직 내에서 하나의 사업부서보다 더 많은 문제가 있는 것으로 파악했다.

사람들이 교육받았다고 해서 공격자들이 좋아할만한 소프트 표적들을 만드는데 도움이 될 것으로 기대하는 것은 잘못된 생각이다. 사람들은 자신들이 관여하는 잠재적인 모든 공격을 인지하지 못한다.

2013 버라이즌 데이터 침해 조사 보고서에 따르면, 버라이즌이 조사한 공격의 29%는 전화, 이메일, 소셜 미디어(페이스북, 링크드인, 트위터) 등의 소셜 전술로 거슬러 올라갈 수 있다. 이러한 유형의 데이터는 종종 교육 프로그램의 동인이 되기도 하며 기업이 피싱 사기와 방법에 대한 노출을 온라인에서 제한하는 방법을 발견하도록 직원들에게 가르치고자 비용을 지불하는 이유가 되기도 한다.

그러나 테스트 없는 교육은 이러한 프로그램의 전반적인 유용성에 오히려 큰 격차를 벌려준다. 550개 이상의 기업에 있는 IT전문가들의 답변을 토대로 작성한 래피드7에 최근 보고서에서, 응답 기업의 66%가 사용자 보안 인식 교육을 실시하고 있지만 실제 효과를 측정하기 위해 테스트하는 곳은 33%에 불과한 것으로 나타났다.

래피드7의 조사에서, 중요한 것은 응답자의 50%가 잘못된 보안 인식 프로그램을 보유하고 있음을 인정했다는 점이다. 다시 버라이즌 보고서로 돌아가서, 피싱은 최소 22%를 차지했다. 동시에, 버라이즌 보고서는 기업에 가장 악의적이고 표적화된 공격이 종종 비교적 간단한 방법으로 시작할 수 있는 기술에 의존한다고 있음을 지적했다.

소셜 기반 공격에서 조금 더 나아가면 기업은 이메일 필터링과 엔드 포인트 보호와 같은 일반적인 기술 제어와 함께 보안 인식 프로그램을 테스트해야 한다.

"소셜 엔지니어링의 성공률을 낮추는 사용자 리스크의 핵심은 사용자에게 자신들이 배운 것을 연습할 수 있는 기회를 제공하는 것이다"라고 래피드7은 설명했다.

이러한 방법은 시간이 지남에 따라 더욱 정교해지며 내부 피싱 캠페인도 포함할 수 있다. 우선 서툰 문법과 구두점이 있는 이메일이나 누가봐도 이상한 회사 로고가 찍힌 이메일을 발견할 수 있을 것이다. 그러나 시간이 지남에 따라 공격자들은 메시지의 요구 사항을 준수하는 직원을 이메일을 합법적인 방법으로 획득하는데 주력할 것이다.

"공격자가 기업 리소스에 대한 접근 권한을 얻기 위해 소셜 엔지니어링을 사용하는 방법을 사용자들에게 가르친다면, 사용자들은 소셜 엔지니어링 공격의 징후를 발견하고 경계할 수 있다"라고 래피드7은 전했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.