피싱 시도는 통 안에서 낚시를 하는 것과 같다. 시간이 충분하면 위협 행위자가 피해자를 낚을 가능성은 100%에 가깝다. 피싱 공격자는 사이버보안 위생이 취약한 기업을 표적으로 삼고 낚시를 반복한다.
SSSC(Strategic Security Solutions Consulting)의 CEO 겸 설립자 요한나 바움은 “공격자는 의욕이 있고 재정을 확보하고 있다. 1번의 시도로 단 1명의 피해자만 끌어들이면 된다. 하지만 기업은 모든 잠재적인 피해자를 보호해야 한다”라고 말했다. ⓒ Getty Images Bank
IT 보안 위생을 간과하거나 오판하면 공격 민감도가 크게 증가한다. 아주 깔끔한 보안 관행을 따르고 직원에게 교육을 제공하며, 직원이 의심스러운 의사소통을 검증하도록 계속해서 상기시키고 주의를 게을리하는 사람을 속이는 최근의 비도덕적인 캠페인을 감지한다 하더라도 기업은 지금도, 그리고 앞으로도 항상 취약할 것이다.
기업의 피싱 전략은 왜 효과가 없을까? 6가지 이유가 있다.
피싱 공격이 더욱 그럴듯하고 정교해지고 있다
사이버 범죄자는 피해자가 민감 정보를 넘기도록 속이는 새로운 전략을 지속해서 개발하고 있다. 그 결과, 피싱 공격이 더욱 정교해지고 있다. 컨설팅 기업 프로티비티(Protivity)의 상무이사 겸 글로벌 공격 및 침투 테스트 활동 리더 크리시 사피는 “많은 피싱 방지 솔루션이 정적인 규칙을 기반으로 피싱 공격을 감지하는데, 공격자는 더욱 발전된 기법을 이용하여 쉽게 우회할 수 있다. 또한 ChatGPT가 출시되면서 문법과 영어가 완벽해 사이버 범죄자가 보낸 피싱 이메일임을 알아보기 어려워지는 경우가 생길 것이다”라고 말했다.
위협 행위자가 ChatGPT 같은 오픈소스 프로그램을 자유롭게 사용하는 환경이 마련되면서 한 기업에서 훔친 의사소통 자료는 사기꾼에게 만병통치약이 되고 있다. AI가 자료를 학습하면 공격 목표를 찾을 확률이 높아지기 때문이다.
챗봇을 도입하지 않더라도 공격자는 더욱 능숙해지고 있다. 2022년 클라우드 기반 커뮤니케이션솔루션 제공업체 트윌리오(Twilio)의 데이터 유출 사고를 생각해보자. 당시 공격자들은 공개된 데이터베이스를 사용해 직원 이름과 전화번호를 대조했다. 트윌리오는 사고 보고서에서 소셜 엔지니어링 공격으로 “일부 직원들이 자격증명을 제공하도록 속였다. 그리고 공격자들은 훔친 자격증명을 사용해 일부 내부 시스템 액세스를 확보했고 특정 고객 데이터에 액세스할 수 있었다”라고 밝혔다.
기술에만 의존한다
많은 기업이 기술만을 사용해 피싱 문제를 해결하려고 한다. 이런 기업은 의심스러운 이메일을 감지하기 위해 모든 최신 도구를 구매하고 직원에게 의심스러운 이메일을 보고한 후 차단할 수 있는 수단을 제공한다.
하지만 방산기업 탈레스 그룹의 미주 CISO 에릭 리보위츠는 “그렇게 하는 것도 물론 좋지만, 더욱 정교해지는 위협 행위자에게 결국 당할 것이다. 직원 교육에 집중하는 기업은 드물다. 모든 훌륭한 도구를 갖추더라도 직원을 교육하지 않으면 문제가 발생할 것이다”라고 경고했다.
IT 컨설팅 기업 아바나드(Avanade)의 북미 보안 책임자 저스틴 하니는 “일부 기업은 피싱 캠페인에 대응하기 위해 적절한 도구를 배치하고 워크플로와 프로세스를 마련했지만, 이런 도구를 사전 예방적으로 구성하지 않았다”라고 설명했다.
이어 “가령 악성 이메일을 확인하고 감지할 수 있지만, 자동으로 차단하지는 않는 도구가 있다고 가정하자. 이런 경우 기업은 애널리스트의 수작업이 아니라 SIEM(Security Information and Event Management) 및 SOAR(Security Orchestration, Automation, and Response) 기술을 활용해 식별된 잠재적인 피싱 캠페인에 대한 구체적인 플레이북을 배포해야 한다”라고 조언했다.
전체론적인 심층 방어 전략을 취하지 않는다
피싱 방지 전략이 실패하는 대부분 기업은 전체론적인 심층 방어 전략을 취하지 않는다. 하니는“이메일 피싱 방지, 다중 인증, 데이터 암호화, 엔드포인트/모바일 보안처럼 특정한 기술에만 집중하고 해킹된 ID 감지 등 사이버 킬 체인(Kill Chain)에 따라 위험을 완화하는 다른 기술을 살펴보지 않을 수 있다”라고 말했다.
전체론적 심층 방어전략을 구현하지 않고 피싱 방지 프로그램에만 의존하면 공격이 1번만 성공해도 시스템 전체가 무너진다. 프린터 제조기업 렉스마크(Lexmark)의 CISO 브라이언 윌렛은 이메일 기반 방어 접근방식이나 사용자 교육에만 전적으로 의존하는 관행도 문제가 있다. 사용자가 실수를 범하기 쉽고 1번의 실수로도 공격에 성공할 수 있기 때문”이라고 경고했다.
윌렛은 피싱 공격을 방어하기 위한 최고의 방법이 계층화된 방어 접근방식이라고 강조했다. 여기에는 모든 워크스테이션에 적절한 EDR(Endpoint Detection and Response) 시스템을 확보해 강력한 취약성 관리 프로그램을 마련함으로써 모든 사용자 및 관리자 계정에 다중 인증을 지원하는 것뿐 아니라 LAN/WAN 전반에 걸친 세그먼테이션으로 감염된 시스템의 확산을 제한하는 것이 포함된다.
울렛은 “이런 사항에 주의하고 다중 방어 체계를 구현함으로써 기업은 피싱 공격을 잘 방지할 수 있다. 공격자가 언젠가는 성공할 것이라고 가정하면서 포괄적이고 계층화된 방어 접근방식을 사용해야 한다”라고 덧붙였다.
직원 교육에 소홀하다
전체론적 심층 방어전략을 구현한다는 가정하에 알려지지 않은 발송자의 이메일에 포함된 링크를 클릭하거나 첨부파일을 열지 않도록 직원을 교육하면서 직원에게 사기성 이메일을 인식하는 방법에 관해 교육하는 것은 매우 중요하다.
맨해튼 대학교(Manhattanville College) CIO 짐 러셀은 “진정성 있는 목소리는 사기성 이메일을 인식할 때 가장 중요한 요소다. 이메일에서 신속하게 의사소통하려고 하는 사람은 일종의 보안 공백이다. 하지만 다행히도 대부분 사람은 완전한 문장을 작성하고 있다. 이런 부분이 결여되어 있거나 ‘로렌, 안녕하세요?’ 같은 일반적인 인사말 누락된 경우 진정성이 없는 이메일이다”라고 말했다. 맨해튼 대학교의 직원들은 의심스러운 이메일을 러셀의 팀원들에게 전달하도록 교육받았다.
델 테크놀로지스(Dell Technologies)의 CISO 케빈 크로스 역시 피싱 이메일을 확인하고 이를 보고하는 방법을 직원에게 교육하는 것이 성공적인 피싱 방지 전략의 시작이라고 말했다. 이런 접근방식은 많은 기업이 사용하는 보편적인 “클릭하지 마시오” 전략과는 매우 다르다.
크로스는 클릭률 0%는 터무니없고 비현실적인 목표라며, “그 대신 직원에게 의심스러운 이메일을 보고하는 방법을 교육하면 보안팀이 잠재적인 위협을 신속하게 평가하고 유사한 공격의 표적이 된 다른 사람들 영향을 완화할 수 있다. 기업은 직원이 의심스러운 이메일을 쉽고 보고하도록 이메일 플랫폼에 도구를 내장할 수 있다”라고 말했다.
하지만 컨설팅 기업 마자스(Mazars)의 미국 PCI 사이버 보안 활동 책임자 제이콥 안사리는 이런 유형의 교육으로는 충분하지 않다고 지적했다. 안사리는 “사용자 행동은 빙산의 일각이다. 사용자 행동을 대상으로 한 피싱 방지 교육은 효과가 제한적이다. 피싱 스키마를 정당한 비즈니스 활동과 구분할 수 있을 때만 효과적이라고 설명했다.
교육을 중심으로 한 피싱 방지 노력은 직원이 피싱 스키마와 유사성이 있는 종류의 활동에 개입할 것으로 예상될 때 곧 실패하게 된다. 안사리는 “가령 일반적인 활동으로써 사용자가 배경정보 확인을 위해 제3자 발송자가 보낸 링크를 클릭해야 하거나 다른 곳에서 호스팅 되는 웹 양식에 개인정보를 입력하여 수당을 신청해야 하는 경우에는 피싱 방지 교육의 가치가 희석된다”라고 강조했다.
안사리는 사용자 교육 외에도 이메일에서 연결 링크 사용을 최소화하고 직원과의 제3자 상호작용이 보안 통신에 대한 기준을 따르도록 비즈니스 프로세스를 개편해 일반적인 프로세스가 피싱 스키마와 유사해 보이지 않도록 해야 한다고 조언했다. 이어 “인사, 마케팅, 재무 등 비즈니스의 모든 부분이 책임감 있는 방식으로 참여해야 한다”라고 덧붙였다.
강제성이 없고 유인책이 부족하다
사피는 기업에 강력한 교육 프로그램과 정책이 마련되어 있다 하더라도 정책을 위반하는 직원에 대한 처벌이 없으면 효과적이지 않을 수 있다고 말했다. 예를 들어, 피싱 이메일에 속은 후 보고하지 않은 직원이 추후에는 더 나은 행동을 하도록 조치를 마련해야 한다.
러셀에 따르면, 맨해튼 대학교에서는 피싱 이메일에 속은 직원은 10일 동안 일정 횟수의 온라인 교육 세션을 이수해야 한다. 악성 링크를 클릭하면 1개의 교육 세션만 이수하면 되고 자격증명을 실제로 제공한 경우 3개를 이수해야 한다.
러셀은 “피싱 시도에 속은 직원 목록에 부사장 등 높은 권한을 보유한 사람이 있는지 확인하고 이들과 대화의 시간을 갖는다. 또 목록에 반복적으로 이름을 올린 사람과 교육을 받지 않은 사람들을 계속 추적해 이런 사람과도 대화를 나눈다”라고 덧붙였다.
시뮬레이션 피싱 테스트에 의존한다
IT 컨설팅 기업 캡제미니(Capgemini)의 사이버 보안 서비스 책임자 수실라 네어는 모든 직원이 속지 않도록 교육하는 것을 목표로 삼는 것 역시 오늘날 피싱 방지 전략의 아킬레스건이라고 지적한다.
네어는 “피싱 공격에 넘어간 최종 사용자를 비난한다는 전제가 만연하다. 하지만 기업은 ‘100%의사용자가 피싱 시뮬레이션에 속지 않도록 한다는 목표에서 어떤 가치를 찾으며, 이를 어떻게 측정하고 있는지’ 자문해야 한다”라고 말했다. 테스트가 정교하다면 많은 사람이 실패할 것이다. 테스트가 꽤 쉽다면 모두가 성공할 것이다.
일부 CISO는 이사회 회의에서 개선된 지표를 제시하고 싶을 수 있다. 하지만 보안 책임자는 기업의 교육에 상관없이 누군가는 링크를 클릭할 것이며, 스트레스가 많을 경우 클릭률이 증가할 것임을 인정해야 한다.
네어는 “많은 기업이 링크를 클릭하면 ‘당신은 속았다’라는 메시지를 보여주는 포털로 이동시키는 식으로 피싱 시뮬레이션을 실시하고 있다. 하지만 시뮬레이션으로 교육을 강제하면 역효과가 있다. 링크를 클릭할 가능성이 높아진다. 바쁘고 스트레스가 많은 날에 교육을 받게 되면 주의를 집중하지 않고 가능한 한 빨리 끝내고 싶은 마음에 링크를 클릭할 수 있다”라고 지적했다.
이어 “피싱 시뮬레이션은 사용자가 피싱 이메일에 대응하는 방식에도 영향을 미친다. 이상한 이메일을 테스트라고 생각해 클릭하지도 않고 보고도 하지 않을 것이다”라고 말했다.
사람은 결국 속을 수 있기 때문에 피싱 방지 프로그램이 실패하는 경우가 많다. 교육과 최선의 노력에도 불구하고 사람은 실수를 범할 때가 있다. 로펌 BF(Burr & Forman LLP)의 변호사 겸 사이버 보안 및 데이터 프라이버시팀 공동 의장 엘리자베스 쉴리는 “사람은 감정적이고 절박성과 필요성을 요구하는 피싱 이메일에 직감적으로 반응하는 경우가 많다. 이런 환경은 바뀌지 않을 것이다. 피싱 이메일은 계속될 것”이라고 말했다.
editor@itworld.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.
2023.03.16
Linda Rosencrance | CSO
추천기사