액션 영화 속 주인공들은 반드시 기나긴 수련을 거칩니다. 칼을 휘두르거나, 총알을 피하거나, 예측 불가한 상대의 공격에 재빠르게 반응하기 위해서죠. 그런 장면을 볼 때마다 ‘저건 본능처럼 몸이 먼저 반응해야 가능한 일이겠구나’라는 생각이 절로 듭니다. 그런데 이게 단지 영화 속 이야기만은 아닙니다. 디지털 시대의 사이버 보안에서도 똑같이 적용할 수 있습니다.
이메일 보안을 위해 ‘훈련’이 필요한 이유는?
최근 악성메일은 오타 가득한 문장 혹은 어색한 번역체로 수상한 링크를 함께 보내는 수준을 한참 넘어섰습니다. 공격자는 실제 임직원 이름을 도용하고, 기업의 프로젝트 진행 상황까지 파악한 뒤, 그럴듯한 메일을 보내 수신자가 ‘생각’하기도 전에 ‘클릭’하도록 유도합니다. 적게는 수십 명, 많게는 수백 명에 이르는 임직원들 중 단 한 명이라도 악성 링크나 첨부파일을 여는 순간, 기업의 보안에는 빈틈이 생기기 시작하고, 무너지는 건 시간 문제가 됩니다.
요즘 기업에 가장 큰 경제적 피해를 주고 있는 BEC (Business Email Compromise, 비즈니스 이메일 침해)는 잘 아는 회사 내부 임직원이나 신뢰하는 거래처 담당자를 위장해 메일을 보내는 사이버 범죄입니다. 공격자는 회사의 CEO나 회계팀을 사칭해 자금 이체를 요청하거나, 협력업체를 가장해 계좌번호 변경을 요구하기도 합니다. 때로는 신규 거래를 제안하며 보낸 계약서 안에 랜섬웨어를 첨부하기도 하죠. 문제는 이 모든 이메일이 누가 봐도 자연스럽고 현실적인 포맷으로 위장된다는 점입니다.
이처럼 다양한 공격을 보안 솔루션 하나로 막기는 어렵습니다. 진화하는 수법에 대응하기 위해서는 악성메일을 직감적으로 인식하고 빠르게 반응하는 ‘보안 반사신경’이 필요합니다. 실제로 BEC는 기술 방어선을 우회해 ‘사람의 실수’를 노리는 공격이기 때문이죠. 결국 최후의 방어선은 이메일을 직접 열어보는 직원입니다. 따라서 무엇보다 중요한 건, 직원이 악성메일을 받았을 때 위협을 알아차리고, 무심코 클릭하지 않도록 몸에 밴 경계심과 반응 속도를 갖추는 것입니다.
이건 단순히 이론을 보고 듣는 교육만으로는 한계가 있습니다. 영화 속 주인공들이 반복 훈련을 통해 반사신경을 기르듯, 이메일 공격에 대한 대응력도 실전 같은 훈련을 통해 체득해야 합니다. 그렇다면 임직원들의 잠재된 보안 반사신경을 깨우기 위해서는 어떤 훈련이 필요할까요?
올해 초 발생한 BEC ‘서울시 공무원 사칭 메일 사건’ / 출처: 경찰청
대표적으로는 악성메일 모의훈련이 있습니다. 실제 공격자가 쓸 법한 메시지와 현실적인 업무 상황을 녹여낸 시나리오를 설계해 직원들에게 메일로 전송하며 진행되는데요. 누가 링크나 첨부파일을 열었는지, 또 누가 응답하지 않았는지 등 데이터를 확인하고 분석할 수 있습니다. 반복 훈련을 통해 직원들은 점차 피싱 메일의 패턴을 식별하고, 메일을 열자마자 ‘이건 뭔가 수상하다’는 경계심을 자연스레 갖게 됩니다. 이렇게 단순한 교육이 아닌 ‘반복적이고 지속되는 훈련’을 통해 자연스레 임직원들의 보안의식이 제고되는 거죠.
사실 ISMS 및 ISMS-P 인증 요건상 연 1회 이상 모의훈련은 필수입니다. 그래서 이미 많은 기업들이 악성메일 훈련을 경험했을 텐데요. 하지만 일반적인 훈련은 교육이라는 사실을 인지한 상태에서 진행되다 보니 시간이 지날수록 긴장감이 떨어지고 참여율도 낮아지기 쉽습니다. 이러한 한계가 지속되면 실제 위협에 대한 경각심이 무뎌지고 직원들의 보안 감각을 유지하기 어려울 수 있습니다. 따라서 무엇보다 기본적인 모의훈련을 반복적으로 여러 번 수행하는 것이 중요합니다. 이에 더해 실전 대응 서비스와 훈련 결과를 기반으로 한 맞춤형 보안 교육까지 함께 제공하는 통합 서비스가 필요합니다.
모의훈련의 한계를 보완하는 악성메일 훈련 통합 서비스
파수에서 제공하는 Mind-SAT은 모의훈련부터 실전훈련까지 제공하는 악성메일 훈련 통합 서비스입니다. 훈련이 시작되기 전, 먼저 고객사의 전반적인 보안 수준을 점검하고, 산업군의 특성과 트렌드를 반영한 맞춤형 템플릿을 제작합니다. 여러 차례 훈련이 진행된 후에는 전문 컨설턴트가 신고율 및 참여율을 분석하고, 훈련 결과를 기반으로 개선할 점을 파악합니다. 모든 결과는 직관적인 대시보드 형태로 제공돼, 보안 담당자는 훈련 결과 및 효과를 한눈에 파악할 수 있습니다.
특히 Mind-SAT은 단순히 개인의 행동을 확인하는 데 그치지 않고, 조직 전체에 유입되는 악성 메일의 규모와 패턴을 구체적인 데이터로 보여줍니다. 이는 경영진에게 조직이 어떤 수준의 사이버 위협에 노출돼 있는지 명확하게 인식시켜 주기 때문에, 향후 기업 차원에서 보안 위협에 적극적으로 대응할 수 있게 됩니다.
단, 악성메일 훈련의 전 과정이 일회성으로 끝나서는 안 됩니다. 앞서 언급했듯, BEC는 수십 명에서 수백 명에 달하는 임직원 중 단 한 명만이 클릭해도 발생합니다. 지속적인 훈련을 통해 전체 임직원의 보안 의식을 제고하고, 나아가 악성메일에 경각심을 갖는 사내 분위기를 형성해야 악성메일 대응 체계 자체를 강화할 수 있는 겁니다.
임직원의 보안 의식을 높여 조직의 방어선을 완성해 보세요!
처음에는 피싱 메일을 무심코 클릭했던 직원들이, 몇 차례 모의훈련과 실전훈련을 병행하면서 스스로 의심하고 대응하는 능력을 갖추게 됩니다. 바로 저희 Fasoo의 실제 이야기입니다. 점점 조직 내부에 ‘메일 내 링크나 첨부파일을 클릭하기 전에 조심하자’라는 생각이 자리 잡고, 누군가 수상한 메일을 받으면 유관 부서에 바로 공유하며 대응하는 문화가 만들어집니다. 이것이 바로 기술에만 의존하지 않고, ‘사람’ 중심의 보안이 작동하는 조직의 모습입니다.
BEC 공격은 점점 더 정교해지고 있습니다. 공격자가 언제, 어떤 방식으로 침투할지 예측할 수 없는 상황에서, 임직원 개개인의 보안 의식을 강화하는 일은 이제 선택이 아닌 필수가 됐습니다.
파수 Mind-SAT과 함께 악성메일에 맞서 실전 대응 능력을 갖춘 조직으로 성장해 보세요! 체계적인 훈련과 보안 교육 서비스를 통해 기업의 가장 약한 고리를 가장 강한 방어선으로 바꿀 수 있습니다.
