최근 보이스 피싱으로 인한 사고가 발생했다는 안타까운 소식이 종종 들려옵니다. 한편, 이러한 피싱이 발생하는 것을 막은 은행원이나 경찰관의 소식도 전해지고 있습니다. 피싱 관련 뉴스를 접하는 사람들은 ‘피싱에 왜 걸리지?’라는 의문을 품곤 하는데요. 막상 피싱에 걸린 사람들을 인터뷰하면 모두 “당할 수밖에 없었다”라고 말합니다. 당해본 사람만 아는 것이죠.

이런 일이 기업에 발생할 수도 있을까요? 사람이 일하는 곳이니 당연히 발생할 수 있습니다. 이를 예방하기 위해 진행한 A 기업의 악성메일 모의 훈련 사례를 소개하겠습니다.

메일을 이용한 시나리오

이름과 메일 주소는 인터넷상에 많이 노출돼 있기에 민감한 정보라고 생각하지 않을 수 있습니다. 우리가 주고받는 명함에는 기본적으로 회사명, 이름, 전화번호, 이메일 주소, 직급 등이 적혀 있죠. 하지만 이런 정보만으로도 악성메일을 발송할 수 있다는 점을 기억해야 합니다.

악성메일 모의훈련을 살펴보겠습니다. 우선, 메일 수신자가 정리되면 그다음으로 메일 내용을 고려해야 합니다. 일반적으로 생활 속에서 자주 활용되는 관심 있는 주제로 악성메일을 만드는데요. 배송 정보 관련 안내, 주문 결제 관련 안내, 환급금 안내 등의 내용으로 메일을 구성합니다.

특히 카드 결제 관련 내용으로 메일이 오면 대부분의 사람은 관심을 보이게 됩니다. 메일을 열어 보게 된다는 것이죠. 이렇게 메일을 열어 보는 순간, PC가 감염되기도 하는데요. 더 위험한 것은 메일을 열고 악성 코드를 활성화할 수 있게 클릭을 유도하는 경우입니다. ‘결제에 대한 상세 내역을 조회하려면 클릭하라’고 사람들을 유인하죠. 사람들은 ‘내가 결제한 게 없는데… 최근에 내 카드가 도용됐나?’ 또는 ‘가족 중 누가 온라인으로 결제했나?’ 이렇게 반신반의하며 상세 내용을 보려고 합니다.

KISA에서도 카드 도용으로 문제가 되고 있다고 안내한 글이 있기 때문에 이런 내용을 아는 사람은 해당 메일이 진짜인지 헷갈리게 됩니다. 이 과정에서 PC가 감염되고, 이후 추가 정보가 유출돼 실제 문제가 발생할 수 있습니다.

훈련 준비사항

이러한 문제를 예방하기 위해 악성메일 발송 훈련을 진행합니다. 훈련을 위해 직접 메일을 발송하는 환경을 구성하기도 하고, 별도로 유상으로 서비스되는 솔루션을 사용하기도 합니다. (중소기업기본법 제2조에 해당하는 중소기업이라면 KISA에서 ‘해킹메일 모의훈련 플랫폼’을 제공하고 있으니 참고하시기 바랍니다.)

A 기업의 훈련은 유료 솔루션을 이용해 적용했습니다.

솔루션을 사용하려면 발송 대상 인원수, 횟수, 기간 등에 따라 라이센스를 발급받아야 합니다. 이를 토대로 훈련을 위한 대상자(대상자 정보에는 이름, 메일 주소, 기타 훈련 결과 분석을 위한 구분정보)를 업로드하고 메일 발송을 위한 시나리오를 조정하게 됩니다.

시나리오는 솔루션에서도 제공하고 있으니 이를 활용하고, 회사에 맞는 내용으로 변경해서 적용하면 됩니다.

실제 솔루션을 사용할 때는 제약이 있습니다. 즉, 대부분의 기업에서는 이런 악성메일 활동을 막기 위해 스팸메일 차단 환경이 구성돼 있습니다. 특정 패턴의 메일이 접수될 때 일차적으로 방어하는 목적이죠. 따라서 이런 솔루션의 특성을 고려한 예외가 필요합니다.

대부분은 상세한 예외를 하기보다는 발송지 IP를 등록해 예외를 적용하는 방식을 사용하곤 합니다. 그러나 사용자가 이상 메일로 신고를 할 수 있는 체계가 구성돼 있고 신고에 따라 유사한 메일을 필터링하도록 구현된 경우라면, 관련 로직에서 예외를 고려해야 할 수도 있으니 각 솔루션 담당자와 사전 협의가 필요합니다.

훈련 고려사항

다음으로 훈련 진행 시 고려 사항입니다.

일부 임직원은 훈련이 실제 같아 시간을 낭비했다며 이의를 제기하기도 합니다. 이를 예방하기 위해 이메일 모의 훈련을 한다고 사전 공지를 하면 훈련 효과는 어떻게 될까요?

상대적으로 메일을 클릭하는 비율은 낮아질 겁니다. 그러나 훈련 중이라는 사실을 통해 훈련 기간에 좀 더 주의를 기울일 수도 있습니다. 반대로 훈련 기간에 실제 악성메일이 발송돼도 훈련이라고 생각해 신고하지 않는 경우도 발생할 수 있죠.

어떤 부분을 더 중요하게 볼 것인지에 따라 공지 여부를 선택해야 하며, 단순하게 안전한 이메일 사용 안내 공지만 하는 경우도 고려해 볼 수 있습니다.

모의훈련을 진행하다 보면 대상자가 이를 실제 상황으로 인식하고 회사에 직접 전화해 항의할 수도 있습니다. 이렇게 난감한 상황이 발생할 경우, 상대 기업으로부터 컴플레인을 당하게 될 수도 있습니다.

따라서 시나리오 검토 시 관련 내용을 고려하면서 안내 전화 정보를 제공해 모의훈련으로 인한 피해를 최소화해야 합니다.

시나리오를 이용한 훈련 결과

A 기업의 경우, ‘구글플레이에서 카카오선물하기 기능으로 30,000원이 결제되었습니다.’라는 내용으로 모의훈련 시나리오를 수행했습니다. 그 결과 대상자의 50% 이상 메일을 보게 됐고, 메일 본 사람 중 50% 이상은 링크를 클릭하게 됐습니다.

일부는 본인 결제 이력이 없기에 다른 가족에게 확인까지 하는 상황이 발생했습니다. 또한 안내를 위해 넣은 전화번호로 많은 문의가 왔는데요. 특히 아이들이 무언가 선물한 것인가 하고 의심하기도 했습니다.

이처럼 시나리오를 정교하게 구성한다면 더 많은 사람이 메일을 클릭하게 됩니다. 우리는 이런 위험에서 자유로울 수 있을까요? 이는 말처럼 쉽지만은 않습니다.

KISA에서 언론에 공지한 훈련 결과를 보면 다음 그림과 같습니다.

마치며

지금까지 악성메일 모의훈련 사례를 소개했습니다. 보안영역에 있어 훈련을 진행한다는 것은 쉽지 않다는 점을 느끼셨을 텐데요. 그럼에도 임직원의 안전을 위해선 지속해서 정보를 제공해야 합니다. 훈련 과정에서 일부 비판적인 의견을 들을 수도 있지만, 이를 감내하고 진행하시는 것을 추천합니다.

훈련을 반복할수록 악성메일에 대한 대응능력이 높아진다는 것은 부정할 수 없습니다. 악성메일을 보내는 악의적인 사람으로부터 피해를 보는 선량한 사람이 줄어들기를 바라며 글을 마칩니다.

글 ㅣ LG CNS 사이버시큐리티팀 최원규 총괄