2018.07.10

'가장 취약한 고리를 튼튼하게'··· 사내 보안 교육 가이드

Laurie Clarke | CIO UK

2017년 기업에 대한 온라인 범죄 공격이 증가했다는 영국 국가사이버보안센터(National Cyber Security Center)의 보도만 봐도 사이버 공격은 분명 증가 추세에 있다. 여기에는 1분기와 3분기 사이에 91%나 증가한 랜섬 시도가 포함돼 있다. 그러나 다양한 조직 규모를 막론하고 여러 유형의 사이버 공격들이 있다.



다국적 대기업의 해킹이 가장 널리 알려져 있지만 중소기업에 대한 공격도 증가하고 있다. 해커들이 중소기업들의 취약한 사이버 보안을 악용하려는 경향을 갖고 있는 탓이다.

이러한 추세를 반영하여 2018년 CIO 100에 속한 기업의 절반 이상은 지난해 보안 침해를 발견했으며 82%는 사이버 공격에 대한 방어력을 높이기 위해 보안 예산이 증가할 것으로 예상했다.

모든 규모의 비즈니스를 겨냥한 일반적인 공격은 피싱, 바이러스, 랜섬웨어이며, 특히 피싱 이메일이 먹히는 경우가 많다. 그러나 종종 중소 규모 비즈니스에서는 이러한 사이버 공격에 대한 지식이 무시되곤 한다.

2017년 설문 조사에 따르면 사실 약 25%가 피싱에 대해 듣지 못했으며 3분의 1은 랜섬웨어가 뭔지 모르고 거의 50%가 POS 악성 코드의 개념을 인식하지 못했다. 이러한 유형의 악성 코드가 2017년 호텔 및 레스토랑 업계에 있었던 사이버 침해의 약 4분의 1에 해당한다는 것을 감안하면 충격적이다.

사이버 보안 인프라에 크게 투자하기란 쉽지 않은 가운데 가장 취약한 연결 고리가 사람의 실수라는 점에 주목할 필요가 있다. 이는 직원들에 대한 보안 인식 향상 교육을 통해 다양한 형태의 공격에 대응할 수 있다는 것을 의미한다. 실제로 보안 암호 사용, 바이러스 백신 및 악성 코드 소프트웨어 사용, 소프트웨어 업데이트 다운로드 및 직원 교육 같은 상당한 조직 내 기본 보안 조치를 적용하여 사이버 보안 침해의 약 80%를 예방할 수 있었다.

기업이 보안 의식 교육을 도입해야 하는 이유
조직에서 보안 의식 교육을 도입하는 주된 이유는 법이다. 금융기관이나 정부기관, 의료기관 같은 특정 형태의 조직에서는 직원이 항상 철저한 사이버 보안 교육을 받도록 법으로 정해져 있다. GDPR이 도입됨에 따라 이런 규정은 훨씬 더 많은 조직에 필요하게 되었다. 이제 잠재적인 공격 범위를 넘어서는 사이버 보안 개념과 고객의 민감한 정보를 올바르게 처리하는 방법을 직원에게 교육해야 한다.

보안 의식 교육을 도입하는 또 다른 주요 이유는 때로 직원 교육을 통해 일반적인 공격 유형을 효과적으로 방어할 수 있다는 점이다. 예를 들어 유명한 '피싱' 공격을 살펴보자. 여기에는 스푸핑 기법의 도메인 이름으로 된 이메일이 포함돼 있다. 이는 공격자가 직원에게 친숙하고 평판이 좋은 사람으로 행동한 뒤 사기성 링크를 클릭하거나 중요한 정보를 제공하도록 요청하는 방식이다.

고위직을 사칭하는 웨일링 공격(Whaling attacks)은 피싱 공격과 동일하지만 임원급 멤버와 같은 회사 내 서열이 높은 사람들을 이용한다. 마찬가지로 스푸핑 이메일 도메인 이름을 사용해 피해자가 신뢰할 수 있는 출처에서 이메일을 보낸 것으로 믿게 만든다. 그런 다음 이메일을 통해 대상으로부터 민감한 기밀 정보를 얻으려고 시도하고 더 안전한 정보를 손상시킬 수 있다. 이 사건의 예로는 스냅챗(Snapchat)의 고위 직원이 CEO로 위장한 사람에게 직원 급여 정보를 누설했던 사례가 있다.

피싱이나 고래잡이 공격 외에도 이메일은 직원이 회사 네트워크에 악성 코드를 다운로드 하도록 첨부 파일을 클릭하게 하는 랜섬웨어의 수단으로 활용될 수도 있다.

따라서 보안 의식 교육을 통해 직원을 교육하는 간단한 행위로 특정 유형의 공격 위험이 크게 줄어들 수 있다는 점은 명백하다.

보안 의식 교육에서 무엇을 다뤄야 하나
보안 의식 교육은 공격자가 직원의 데이터를 탈취하는 방법, 중요한 정보를 수집하는 방법 또는 악성코드 공격을 수행하는 방식을 포함한 다양한 영역을 포괄해야 한다.

기본적인 사례부터 시작해서 암호가 손상될 수 있는 방법, 누군가가 암호를 추측할 수 있는 기회를 줄이는 방법, 서로 다른 사이트에 대해 2단계 인증 및 다른 암호를 사용하는 방법을 포함하여 보안성이 높은 암호에 대한 모범 사례가 대표적이다.

특히 피싱과 랜섬웨어 공격이 이메일에 포함될 수 있다는 점을 감안할 때 직원에게 사기성 전자 메일을 스푸핑 주소에서 찾아내는 방법과 함께 의심스러운 항목이나 그로 인한 잠재적 결과를 클릭하지 말아야 한다는 점을 교육시키는 것이 중요하다. 

공격자는 가능한 한 합법적으로 접근하기 위해 소셜 미디어와 기타 출처에서 해당 직원에 관한 개인 정보를 훑어볼 것이다. 은행이나 정부 기관 같이 평판이 좋은 외부 출처를 가장하는 경우 피해자를 좀 더 효과적으로 속이기 위해 공식 로고와 이메일 템플릿을 사용할 것이다. 


유나이티드 리빙(United Living)의 CIO인 그레그 몰리는 CIO UK와의 인터뷰에서 "워크숍, 인트라넷, 게시판 또는 이메일 소개 및 자문을 통해 조직의 모든 단계에 걸쳐 정기적으로 정보를 공유하고 있다. 정기적인 이메일과 인트라넷 권고를 통해 '악의적인 이메일 해부(Anatomy of a malicious email)' 같은 정보를 지속적으로 알려주는 방법이 대표적이다. 이는 신규 입사자를 환영하는 날 선보이는 사이버 보안 섹션으로, 전 사에 있는 직원 게시판용 안내문에서 해야 할 것과 하지 말아야 하는 것을 알리는 사이버 보안 컬렉션이다. 그리고 사이버 보안 위험과 완화에 대한 이사회 워크숍도 개최한다”라고 전했다.

직원들 또한 자신이 배운 것을 시험할 수 있다. 영국 더들리 종합병원(Dudley Group NHS Foundation Trust)의 CIO인 마크 스탠턴은 "사이버 보안에 있어 우리를 보호하기 위해 IT와 기술 투자에 좋은 관행을 적용하고 있지만 가장 취약한 부분은 언제나 직원들이 될 것이다”라고 말했다.

그는 이어 “의무 교육의 일환으로 직원들이 매년 수행해야 하는 IT 보안 모듈을 통해 우리는 스스로 바이러스를 만들고 테스트하는 과정에서 수많은 미스터리 쇼퍼 유형의 활동을 하고 있다. 직원들에게 가짜 바이러스가 담긴 이메일을 보내서 누가 그 링크를 클릭했는지도 보고 있다”라고 말했다.

요즘 모바일 장치를 이용해 일하는 사람들이 많아진다는 점을 고려할 때 모바일 보안은 직원 교육에 필수적인 또 다른 영역이다. 직원에게 모바일 장치를 사용하면서 발생할 수 있는 위험성과 보안이 손상될 수 있는 가장 보편적인 방법에 대해 알려야 한다. 일부 문제는 직원이 원격으로 작업할 때도 동일하게 적용될 수 있으므로 역시 함께 다뤄져야 한다.

증가하고 있는 또 다른 문제는 직장과 개인 생활에서 직원들이 소셜 미디어를 안전하게 사용할 수 있는 방법이다. 소셜 미디어에 공개적으로 개인 정보를 드러내지 않게 하는 방법과 가장 일반적인 형태의 부당 이용을 방지하는 방법을 다룰 수 있다.

기술 중심적 회사에서는 직원을 사이버 보안 전략에 참여시키는 것이 좋은 접근법이 될 수 있다. 예를 들어, BMJ는 보안상의 비즈니스 문제를 해결할 때 직원들의 창의성을 요구하는 해킹 데이(hack day)를 구성한다.

BMJ의 샤론 쿠퍼 CDO는 “보안은 다양한 팀이 함께 지식을 공유하면서 다각도 단계에서 모두가 가져야 하는 기술이다. 해킹 데이는 비즈니스 문제를 해결하고 신제품을 개발하거나 기존 정책을 개선할 수 있는 제안을 제시할 수 있다” 라고 말했다. ciokr@idg.co.kr 


2018.07.10

'가장 취약한 고리를 튼튼하게'··· 사내 보안 교육 가이드

Laurie Clarke | CIO UK

2017년 기업에 대한 온라인 범죄 공격이 증가했다는 영국 국가사이버보안센터(National Cyber Security Center)의 보도만 봐도 사이버 공격은 분명 증가 추세에 있다. 여기에는 1분기와 3분기 사이에 91%나 증가한 랜섬 시도가 포함돼 있다. 그러나 다양한 조직 규모를 막론하고 여러 유형의 사이버 공격들이 있다.



다국적 대기업의 해킹이 가장 널리 알려져 있지만 중소기업에 대한 공격도 증가하고 있다. 해커들이 중소기업들의 취약한 사이버 보안을 악용하려는 경향을 갖고 있는 탓이다.

이러한 추세를 반영하여 2018년 CIO 100에 속한 기업의 절반 이상은 지난해 보안 침해를 발견했으며 82%는 사이버 공격에 대한 방어력을 높이기 위해 보안 예산이 증가할 것으로 예상했다.

모든 규모의 비즈니스를 겨냥한 일반적인 공격은 피싱, 바이러스, 랜섬웨어이며, 특히 피싱 이메일이 먹히는 경우가 많다. 그러나 종종 중소 규모 비즈니스에서는 이러한 사이버 공격에 대한 지식이 무시되곤 한다.

2017년 설문 조사에 따르면 사실 약 25%가 피싱에 대해 듣지 못했으며 3분의 1은 랜섬웨어가 뭔지 모르고 거의 50%가 POS 악성 코드의 개념을 인식하지 못했다. 이러한 유형의 악성 코드가 2017년 호텔 및 레스토랑 업계에 있었던 사이버 침해의 약 4분의 1에 해당한다는 것을 감안하면 충격적이다.

사이버 보안 인프라에 크게 투자하기란 쉽지 않은 가운데 가장 취약한 연결 고리가 사람의 실수라는 점에 주목할 필요가 있다. 이는 직원들에 대한 보안 인식 향상 교육을 통해 다양한 형태의 공격에 대응할 수 있다는 것을 의미한다. 실제로 보안 암호 사용, 바이러스 백신 및 악성 코드 소프트웨어 사용, 소프트웨어 업데이트 다운로드 및 직원 교육 같은 상당한 조직 내 기본 보안 조치를 적용하여 사이버 보안 침해의 약 80%를 예방할 수 있었다.

기업이 보안 의식 교육을 도입해야 하는 이유
조직에서 보안 의식 교육을 도입하는 주된 이유는 법이다. 금융기관이나 정부기관, 의료기관 같은 특정 형태의 조직에서는 직원이 항상 철저한 사이버 보안 교육을 받도록 법으로 정해져 있다. GDPR이 도입됨에 따라 이런 규정은 훨씬 더 많은 조직에 필요하게 되었다. 이제 잠재적인 공격 범위를 넘어서는 사이버 보안 개념과 고객의 민감한 정보를 올바르게 처리하는 방법을 직원에게 교육해야 한다.

보안 의식 교육을 도입하는 또 다른 주요 이유는 때로 직원 교육을 통해 일반적인 공격 유형을 효과적으로 방어할 수 있다는 점이다. 예를 들어 유명한 '피싱' 공격을 살펴보자. 여기에는 스푸핑 기법의 도메인 이름으로 된 이메일이 포함돼 있다. 이는 공격자가 직원에게 친숙하고 평판이 좋은 사람으로 행동한 뒤 사기성 링크를 클릭하거나 중요한 정보를 제공하도록 요청하는 방식이다.

고위직을 사칭하는 웨일링 공격(Whaling attacks)은 피싱 공격과 동일하지만 임원급 멤버와 같은 회사 내 서열이 높은 사람들을 이용한다. 마찬가지로 스푸핑 이메일 도메인 이름을 사용해 피해자가 신뢰할 수 있는 출처에서 이메일을 보낸 것으로 믿게 만든다. 그런 다음 이메일을 통해 대상으로부터 민감한 기밀 정보를 얻으려고 시도하고 더 안전한 정보를 손상시킬 수 있다. 이 사건의 예로는 스냅챗(Snapchat)의 고위 직원이 CEO로 위장한 사람에게 직원 급여 정보를 누설했던 사례가 있다.

피싱이나 고래잡이 공격 외에도 이메일은 직원이 회사 네트워크에 악성 코드를 다운로드 하도록 첨부 파일을 클릭하게 하는 랜섬웨어의 수단으로 활용될 수도 있다.

따라서 보안 의식 교육을 통해 직원을 교육하는 간단한 행위로 특정 유형의 공격 위험이 크게 줄어들 수 있다는 점은 명백하다.

보안 의식 교육에서 무엇을 다뤄야 하나
보안 의식 교육은 공격자가 직원의 데이터를 탈취하는 방법, 중요한 정보를 수집하는 방법 또는 악성코드 공격을 수행하는 방식을 포함한 다양한 영역을 포괄해야 한다.

기본적인 사례부터 시작해서 암호가 손상될 수 있는 방법, 누군가가 암호를 추측할 수 있는 기회를 줄이는 방법, 서로 다른 사이트에 대해 2단계 인증 및 다른 암호를 사용하는 방법을 포함하여 보안성이 높은 암호에 대한 모범 사례가 대표적이다.

특히 피싱과 랜섬웨어 공격이 이메일에 포함될 수 있다는 점을 감안할 때 직원에게 사기성 전자 메일을 스푸핑 주소에서 찾아내는 방법과 함께 의심스러운 항목이나 그로 인한 잠재적 결과를 클릭하지 말아야 한다는 점을 교육시키는 것이 중요하다. 

공격자는 가능한 한 합법적으로 접근하기 위해 소셜 미디어와 기타 출처에서 해당 직원에 관한 개인 정보를 훑어볼 것이다. 은행이나 정부 기관 같이 평판이 좋은 외부 출처를 가장하는 경우 피해자를 좀 더 효과적으로 속이기 위해 공식 로고와 이메일 템플릿을 사용할 것이다. 


유나이티드 리빙(United Living)의 CIO인 그레그 몰리는 CIO UK와의 인터뷰에서 "워크숍, 인트라넷, 게시판 또는 이메일 소개 및 자문을 통해 조직의 모든 단계에 걸쳐 정기적으로 정보를 공유하고 있다. 정기적인 이메일과 인트라넷 권고를 통해 '악의적인 이메일 해부(Anatomy of a malicious email)' 같은 정보를 지속적으로 알려주는 방법이 대표적이다. 이는 신규 입사자를 환영하는 날 선보이는 사이버 보안 섹션으로, 전 사에 있는 직원 게시판용 안내문에서 해야 할 것과 하지 말아야 하는 것을 알리는 사이버 보안 컬렉션이다. 그리고 사이버 보안 위험과 완화에 대한 이사회 워크숍도 개최한다”라고 전했다.

직원들 또한 자신이 배운 것을 시험할 수 있다. 영국 더들리 종합병원(Dudley Group NHS Foundation Trust)의 CIO인 마크 스탠턴은 "사이버 보안에 있어 우리를 보호하기 위해 IT와 기술 투자에 좋은 관행을 적용하고 있지만 가장 취약한 부분은 언제나 직원들이 될 것이다”라고 말했다.

그는 이어 “의무 교육의 일환으로 직원들이 매년 수행해야 하는 IT 보안 모듈을 통해 우리는 스스로 바이러스를 만들고 테스트하는 과정에서 수많은 미스터리 쇼퍼 유형의 활동을 하고 있다. 직원들에게 가짜 바이러스가 담긴 이메일을 보내서 누가 그 링크를 클릭했는지도 보고 있다”라고 말했다.

요즘 모바일 장치를 이용해 일하는 사람들이 많아진다는 점을 고려할 때 모바일 보안은 직원 교육에 필수적인 또 다른 영역이다. 직원에게 모바일 장치를 사용하면서 발생할 수 있는 위험성과 보안이 손상될 수 있는 가장 보편적인 방법에 대해 알려야 한다. 일부 문제는 직원이 원격으로 작업할 때도 동일하게 적용될 수 있으므로 역시 함께 다뤄져야 한다.

증가하고 있는 또 다른 문제는 직장과 개인 생활에서 직원들이 소셜 미디어를 안전하게 사용할 수 있는 방법이다. 소셜 미디어에 공개적으로 개인 정보를 드러내지 않게 하는 방법과 가장 일반적인 형태의 부당 이용을 방지하는 방법을 다룰 수 있다.

기술 중심적 회사에서는 직원을 사이버 보안 전략에 참여시키는 것이 좋은 접근법이 될 수 있다. 예를 들어, BMJ는 보안상의 비즈니스 문제를 해결할 때 직원들의 창의성을 요구하는 해킹 데이(hack day)를 구성한다.

BMJ의 샤론 쿠퍼 CDO는 “보안은 다양한 팀이 함께 지식을 공유하면서 다각도 단계에서 모두가 가져야 하는 기술이다. 해킹 데이는 비즈니스 문제를 해결하고 신제품을 개발하거나 기존 정책을 개선할 수 있는 제안을 제시할 수 있다” 라고 말했다. ciokr@idg.co.kr 


X