직접 체험해 본 ‘악성 메일 모의 훈련’
상태바
직접 체험해 본 ‘악성 메일 모의 훈련’
  • 최형주 기자
  • 승인 2020.05.08 14:21
  • 댓글 0
이 기사를 공유합니다

사이버 공격에 대한 내성이 필요한 시대

최근 코로나19 사태를 악용한 피싱 이메일이 기승을 부리고 있다. 업계는 이러한 악성 이메일에 대처하는 가장 좋은 수단으로 예방을 꼽고 있으며, 기업 해킹 사고 피해를 줄이기 위해선 구성원들에 대한 교육이 필수적이라고 입을 모은다.

이에 본지는 내부 직원들을 대상으로 지난 4월 9일부터 14일까지, 6일간의 악성 메일 모의 훈련을 통해 보안 인식을 점검해봤다.

 

수억 원의 거래 대금 탈취하는 피싱 메일

최근 구글은 코로나19 관련 스팸 메일을 2억 4천만 건 이상 차단했다고 밝혔다. FBI는 코로나19 사태 이후 일 사이버 공격 신고 건수가 평균 4배가량 늘었다고 발표했다.

이 같은 악성 메일들의 가장 큰 특징은 개인정보를 활용해 수신자 맞춤형 피싱 메일을 보내는 ‘스피어 피싱 기법’이나 누구나 관심을 가질 법한 사회 이슈를 활용하는 ‘사회공학적 기법’을 활용한다는 점이다.

대표적인 사례로는 대한무역투자진흥공사(KOTRA)가 매년 발표하는 기업 이메일 침해(Business Email Compromise, BEC) 무역 사기가 있다.

KOTRA에 따르면 지난 2015년부터 2019년 8월까지 해외 진출한 국내 기업에 대한 이메일 무역 사기는 99건이다. 스피어 피싱 침해 사례들을 살펴보면, 대부분 개인의 부주의가 원인인 경우가 많다.

캐나다에 진출한 한 업체는 거래처 직원과 ‘비슷한 아이디’를 통해 받은 이메일에 속아 공격자의 계좌로 무역 대금을 송금했다. 프랑스의 A 기계 제조업체와 수입 계약을 체결한 국내 B기업은 해커의 이메일에 속아 중국 상하이로 보내려던 40만 달러를 해커의 계좌로 송금한 사건도 있다.

이 같은 메일 사기 사례들은 그 방식이 단순해 더욱 속기 쉽다. 따라서 기업들은 철저한 보안 수칙을 세우고 구성원들의 보안 인식 제고를 위한 교육을 소홀히 해서는 안 된다. 언급한 사례들도 담당자들이 계좌가 바뀐 것에 대해 한 번 더 확인했다면 침해 사고는 발생하지 않았을지 모른다.

 

한시큐리티의 악성 메일 모의 훈련

지난 3월말부터 4월말까지 지란지교에스엔씨는 기업들을 대상으로 디도스 공격 및 악성 메일 공격 모의 훈련을 무료로 제공했다. 해당 훈련은 국내 모의 해킹 및 보안 컨설팅 기업 한시큐리티(HAN Security)의 악성메일 모의훈련 솔루션인 ‘DTS-FM(Defense Training System-Fake Mail)’을 이용해 진행됐다.

한시큐리티는 ▲천재교육 ▲경상북도교육청 ▲한국공항공사▲SBI 저축은행 ▲해양경찰청 ▲서울특별시 교육청 ▲한국저작권보호원 ▲우체국 물류지원단 등 다수의 기관 및 기업을 대상으로 DTS-FM을 통한 모의 훈련을 진행한 공신력 있는 기업이다.

특히 DTS-FM 솔루션은 HTML5를 지원하고, 다양한 콘텐츠를 지정하면 개인별로 랜덤하게 발송된다. 모의 악성코드 커스텀을 지원하고, 반복적 누적 훈련을 통해 훈련 현황을 가시성 있는 대시보드로 제공한다.

또한 훈련 중 악성 링크나 파일 다운로드 실행 시, 단순 정보 수집을 통해 결과만을 기록하는 정도로 훈련이 진행돼 실제 악성 프로그램 설치로 인한 회사 내부 인프라 피해 등은 걱정하지 않아도 된다.

 

맞춤형 악성 메일 설계로 훈련 효과 증대

우선 훈련에 임할 대상 직원 21명을 선정해 한시큐리티 측에 제출했다. 실질적 점검을 위해 메일을 받는 직원들에겐 훈련 내용에 대해 알리지 않았다.

다음 단계로는 한시큐리티와 훈련 콘텐츠를 기획했다. 훈련 기업은 거래서 발주문서나 영수증 등 부서와 개인에 적합한 훈련 시나리오를 만들 수 있고, 최근 이슈가 되고 있는 코로나, 선거, 재난지원금 등의 내용을 활용한 악성메일 훈련 시나리오를 만들 수도 있다.

개인 맞춤형 시나리오를 구성할 수 있는 점은 고도화되는
사이버 공격에 대비할 수 있는 힘을 길러준다.

이후 한시큐리티는 작성이 완료된 시나리오를 토대로, 훈련용 메일에 악성 페이지로 연결하는 링크와 첨부파일을 삽입해 발송했다. 만약 수신자가 해당 링크나 첨부파일을 실행하면 해당 정보가 한시큐리티 측 서버에 전달돼 기록된다.

본지의 경우 훈련 기간이 마침 국회의원 선거기간과 겹쳐, 선거 관련 시나리오를 선택해 훈련을 진행했다. 훈련 메일 내용은 선관위를 사칭해 ‘달라진 선거법’으로 위장, 악성 링크 클릭을 유도했다. 특히 메일 발신 도메인은 선관위의 nac.go.kr을 사용해 메일에 대한 신뢰성을 높였다.

선관위를 사칭한 이메일 주소에서 발송된 훈련용 악성 메일

훈련 진행 결과, 총 21명 중 9명이 메일을 열람했고, 이중 파일을 다운로드해 실행한 인원은 1명, 링크를 클릭한 인원은 없었다. 훈련 참가 직원 중 파일이나 링크를 실행을 하지 않은 인원들은 “선거 관련 내용에 관심이 없었다”는 의견이 많았고, “신뢰가 가지 않아 클릭하지 않았다”는 의견도 있었다.

악성 URL을 클릭하면 이같은 화면을 볼 수 있다.
악성 URL을 클릭하면 이같은 화면을 볼 수 있다.

파일을 다운로드 받아 실행한 인원은 “정상적인 도메인에서 발송된 메일이라 악성이라 생각하지 못했다”며 “앞으로 첨부파일이나 링크가 포함된 이메일을 확인할 때 더욱 주의하겠다”고 말했다. 해당 직원을 비롯한 메일 열람 인원들에 대해선 추가적인 피싱 메일 대비 보안교육이 실시될 예정이다.

 

훈련을 마치며

많은 직원들이 악성 메일 공격에 당할 것이라고 생각했던 예상과 다르게, 본지 사무실 직원들은 상당히 높은 보안 인식을 가지고 있는 것으로 파악됐다. 물론 그렇다고 해서 보안 교육 등을 소홀히 할 수는 없다.

추가 보안 교육을 실시하고 있다.

만약 피싱 메일에 첨부된 악성코드가 지난 2017년 화제가 됐던 ‘워너크라이(WannaCry)’ 랜섬웨어와 같은 심각도 높은 악성코드였다면 한 번의 클릭으로 회사 내부의 모든 PC가 감염됐을 것이기 때문이다.

이번 훈련을 진행하기 전 회사 내부에서 “만약 누군가 공격에 당한다면 내부적으로 문제가 되지 않겠나”라는 말이 나왔다. 하지만 이는 말 그대로 예방을 위한 훈련일 뿐, 보안 관리자 혹은 훈련 중 악성코드를 실행한 인원을 질책하기 위한 수단이 아니다.

한시큐리티 강병호 전략사업팀 책임컨설턴트는 “DTS-FM은 관리형 컨설팅의 한계를 극복하고 고객사 현장의 기술 및 보안 취약점 개선을 지원하기 위한 솔루션”이라며 “적은 비용으로 얻을 수 있는 악성 메일 경험은 정보 보호를 위한 최고의 보안 수단으로 작용할 것”이라고 밝혔다.

이제 인류의 삶과 인터넷을 분리하기란 불가능하다. 진화하는 IT/ICT 기술과 함께 해커들의 사이버 공격 기술도 더욱 고도화하며 우리의 취약한 보안인식, 그 틈을 파고든다. 그래서 대비해야 한다. 한 번 배우면 절대 잊지 않는다는 자전거 타기처럼, 사이버 공격 또한 경험을 통해 내성을 쌓아야 하는 시대다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.