세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
스피어피싱 공격에 당하는 가장 큰 이유? 호기심!
  |  입력 : 2016-08-14 23:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
피싱 위험 알고 있어도 순간 호기심 이기지 못하는 경우 있어
보안과 생산성의 균형 잡고, 사람 교육 꾸준히 하는 것이 중요


[보안뉴스 문가용] 호기심이 고양이를 죽인다고 한다. 그러니 사람은 안심해도 된다? 노노. 호기심이 회사도 죽일 수 있다. 독일 프리드리히 알렉산더 대학교(University of Erlangen-Nuremberg)에서 보안을 전공하고 있는 지나이다 베넨슨(Zinaida Benenson)은 최근 피싱 이메일 및 링크를 클릭하는 사람의 심리에 대한 연구를 진행했다. 그 결과 클릭한 사람들의 34%가 ‘호기심’에서 그와 같은 행동을 했다고 밝혔다.

▲ 공포영화에서도 호기심 못 이긴 캐릭터들이 주로 전개 부분을 맡는다.


베넨슨은 두 번에 걸쳐 실험을 진행했는데, 첫 번째 실험은 새해맞이 파티 때 찍은 사진으로 연결된다는 설명과 함께 링크를 몇몇 동료 학생들에게 메일로 보내면서 시작되었다. 당연히 베넨슨은 모르는 학생들이었고, 새해맞이 파티도 없던 일이었다. “수신자들에게 나중에 물어보니 대부분 누가 보냈는지 확인도 안 했다고 하더군요. 다만 사진이 정말 보고 싶었다고 했습니다.”

게다가 수신자의 78%는 ‘위험할 수도 있다’는 걸 인지하고 있었다고 한다. “그래도 클릭한 거죠. 위험을 감수하겠다는 마음을 먹은 겁니다.” 반면 클릭하지 않은 사람의 51%는 ‘누가 보냈는지 몰라서 메일을 열지도 않았다’고 답했다. “또한 알지도 못하는 누군가의 개인적인 사진을 굳이 볼 필요가 없어서 열지 않았다는 응답자들도 있었습니다.”

베넨슨은 이 응답자들을 소집해 온라인 환경에서의 행동 보고서를 작성하기 시작했다. 물론 ‘온라인 환경에서 보여주는 사람들의 행동 양식’이라는 주제는 비밀로 했다. 특히 피싱 공격을 염두에 둔 실험이라고는 아무에게도 발설하지 않았다.

“일단 실험에 참가하면 상품권을 준다고 약속을 했습니다. 그리고 위에서 말한 메일을 3주 후에 다시 보냈죠. 3주 정도면 그런 메일이 왔다거나 저와 만났다는 게 인식되지 않는 기간이라고 생각했습니다. 결과부터 말하자면, 첫 번째 실험에서 링크를 클릭한 사람들은 45%였는데, 두 번째 실험에서는 65%였다. 오히려 클릭한 사람의 수가 늘어난 것이다.

스피어피싱 공격을 막아야만 하는 보안담당자들은 이 실험 결과를 어떻게 받아들이고, 어떻게 적용해야 할까?

1. 회사 및 조직이 권장하거나 활용하고 있는 방어법이 뭔지 면밀히 검토해야 한다. 사람들의 직감적인 움직임을 막을 수 있는 방법은 존재하지 않는다. 있었다면 그 많은 실수들과 오류들은 존재하지 않았을 것이다. 그러니 피싱이 아무리 위험하다고 광고를 하고 캠페인을 벌여도 순간 혹해서 클릭하는 것이다. 그렇다고 딱딱한 평지인데도 살얼음 걷듯 살살, 느리게 걸어가는 태도가 바람직한 것도 아니다. 특히 회사 입장에서 직원들이 이렇게 움직이면 속이 터진다. 보안담당자는 이 둘 사이의 균형을 잡아야 한다.

2. 이런 식으로 사람의 취약점을 발견한다 해도 패치하는 건 매우 어렵다. 하지만 어느 정도의 경각심을 줄 수는 있다. 문제는 ‘왜 사람을 가지고 실험을 하느냐’고 항의할 수 있다는 건데, 이런 쪽으로의 문제를 일으키지 않기 위해 회사의 동의를 구해야 한다. 아무리 안전하기 위해서라고 하지만 사람을 특정 상황에 유인해서 직접 매개체로서 활용하려면 동의가 필요하다.

3. 사용자들과 대화하는 시간을 가지라. 자동화가 아무리 뛰어나다 한들, 보안 방책이 아무리 철저하다 한들, 완벽할 수는 없다. 이 틈새를 메우는 건 사람과 사람 간의 대화다. 온라인 환경에서 일반 사용자들이 어떤 식으로 사고하고 행동하는지를 파악해야 보호가 더 잘 된다. 굳이 자리를 만들어서 묻고, 설문지를 만들어 돌리고, 불만 사항도 전달 받고 하는 등 갖가지 채널을 동원하라.

글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)