피싱에 잘 속는 사람 있다.. 원인과 예방 법

피싱에 잘 속는 사람 있다··· 원인과 해결 방법

작정하고 속이려 드는 사람을 당해낼 재간은 없겠지만, 우리 중에는 누가 봐도 피싱임이 뻔히 보이는 링크조차 의심없이 클릭하는 순진한 사람도 있다. 이런 사람을 사전에 가려 낼 방법은 없을까.

피싱 공격에 잘 당하는 것은 지능의 문제가 아니다. 사회에서 지적이고 똑똑하다고 알려진 집단의 사람들, 예를 들어 의사, 변호사, 엔지니어, 과학자, 심지어 노벨 물리학상 수상자 중에도 피싱 사기 피해자들이 나온다. 그렇다면 피싱에 잘 당하는 사람들은 어떤 사람들일까, 이들을 보안 인식 교육 전략을 세울 방법은 없을까.

다행인 것은 사람들이 이 문제에 대해 고민하고 있고, 어떤 특성을 가진 사람들이 피싱에 가장 취약한지 알고자 노력하고 있다는 사실이다. 예를 들어 센트럴 플로리다 대학교 시뮬레이션 및 트레이닝 연구소에서 포닥 과정에 있는 매튜 캔햄 박사는 현재 피싱 공격 취약점과 해킹, 그리고 온라인 영향력을 연구 중이다. 캔햄은 수많은 사용자 가운데서도 피싱이나 소셜 엔지니어링 등에 당할 확률이 높은 사람을 예측하고 가려내기 위한 연구를 진행 중이다.

범죄자의 사고를 이해하지 못하는 사람들이 피싱에 잘 당한다

보안 전문가는 컴퓨터 보안의 가장 취약한 고리가 인적 요소에 있다고 항상 말하곤 한다(물론 항상 그런 것은 아니다). 그런데 데이터를 가지고 그 이유를 알아내려는 사람이 바로 캔햄 박사다. 세상을 바꾸기 위해서는 데이터가 필요하다. 필자는 캔햄 박사가 학위 과정을 다 마치고 나면 세상을 바꾸기 위해 많은 일을 할 수 있을 것이라 생각한다.

복잡한 문제가 으레 그렇듯, 사람을 범죄에 취약하게 만드는 원인도 여러 가지가 있다. 그러나 몇몇 초기 연구 결과들을 보면, 범죄에 취약한 사람들은 공통적으로 범죄 성향이 낮은 편이라는 사실이다. 이들은 단지 피싱뿐만 아니라 여러 가지 사기 범죄에 골고루 취약했다. 이는 어찌 보면 당연한 이야기다. 문제는 왜 그런가 하는 것인데, 과학자들은 연구를 통해 이와 관련된 데이터를 수집해 나가고 있다.

생각해 보자. 상식적으로, 마이크로소프트가 왜 필자에게 원격 감지 바이러스를 제거해 달라고 먼저 요청을 하겠는가, 한 번이라도 마이크로소프트에 연락해 보려 한 사람들은 알 것이다. 마이크로소프트가 사용자에게 먼저 요청을 해 오는 일이 없을뿐더러 실제로 마이크로소프트와 연락할 수 있는 진짜 기술 지원 전화번호를 찾는 일조차 쉽지 않다는 것을 말이다. 그리고 설령 어렵게 전화번호를 찾아 전화를 걸고, 수리 비용으로 200달러를 지불하겠다고 해도 도움을 받기가 쉽지 않다.

현실은 그렇다. 이런 상황에서 마이크로소프트가 감염에 대해 단지 '경고'하기 위해 사용자에게 먼저 연락을 해 온다는 것은 충분히 의심스러운 상황이다.

또한, 국세청이 먼저 시민에게 전화를 걸어, 벌금이 체납돼 있으니 당장 월마트로 달려가 상품권을 구매한 다음 그것으로 벌금을 내야 한다고 말 할 확률이 얼마나 될까. 국세청에서 신용카드도 아니고 상품권을 요청하다니. 그리고 크레이그리스트(Craigslist)에 갑자기 자신에게만 반값에, 배송료도 없이 물건을 주겠다고 제안해 올 확률은 또 얼마나 될 것이며, 야니(Yanni)나 브루스 스프링스틴(Bruce Springsteen)같은 유명인들이 사실 나를 사랑하는데 배우자나 가족이 돈을 모두 빼앗아 가서 나에게 돈을 빌리러 온다는 게 말이나 되는가.

그런데도, 정말 이런 것들을 잘 몰라서 당하는 사람들이 있다. 마이크로소프트가 먼저 사용자들에게 전화를 걸어 도움을 주는 일은 없다는 것, 국세청이 먼저 전화를 걸어 상품권을 요청하는 일은 일어나지 않는다는 것을 말이다.

또한 크레이그리스트를 이용한 사기극이 존재한다는 것도 이들은 모른다. "크레이그리스트 같은 유명 업체가 사기극에 이용될 리가 없어"라고 생각하며 이들을 신뢰하는 것이다. 심지어 판매자/구매자가 '제 3의 에스크로 에이전트'를 지정하고 물건을 받기 전에 수표를 먼저 예치해 두는 경우도 있다. 이들은 은행에서 수표를 바로 처리해주지 않는다는 걸 모른다.

살면서 평생, 은행에서 수표를 받아줬다는 건 곧 그 수표가 온전히 처리된 것이라 생각하며 살아 온 것이다. 이들은 수표 처리에 며칠이 걸릴 수도 있다는 걸, 며칠 뒤에 전화가 걸려와서 모든 걸 내가 뒤집어 쓰게 될 수도 있다는 걸 정말 모르는 순수한 이들이다.

세상의 쓴맛(?)을 아직 못 본 이 순수한 영혼들의 허술한 부분을 이용하는 사기 범죄를 어떻게 하면 예방할 수 있을까. 보안 인식 교육을 하는 이유도 사실 여기에 있다. 잠재적 피해자들이 사기 범죄의 유형에 익숙해지고 이를 예측할 수 있게 하는 것이다. 사기 범죄의 유형이나 수법을 알고 나면 이에 당하는 일이 훨씬 줄어 들 것이다.

압박과 욕심, 그리고 성욕을 이용한 피싱 사기

설상 가상으로, 피싱 범죄자들이 사기를 칠 때는 사람들이 정상적인 의심이나 사고를 하기 어렵도록 '압박'을 가하는 요소를 집어 넣는다. 예를 들어 송금 회사를 사칭하는 이들은 청구 요금이 빌렸다며 으름장을 놓거나, 지금 당장 돈을 보내지 않으면 아주 중요한 비즈니스 거래가 성사되기 어렵다는 식으로 압박한다.

그렇게 컴퓨터가 감염되고 나면 그 안에 담긴 모든 정보나 가장 은밀하고 개인적인 사생활이 해커의 손에 들어가게 된다. 아니면 인간의 가장 원초적이고 기본적인 공통점인 욕심이나 성욕을 이용하기도 한다. 결국 피싱에 당하는 사람들은 조금이라도 더 나은 삶, 더 나은 관계를 맺고자 했던 지극히 인간적인 이유로 피해를 입게 된다.

물론 그 중에는 피싱 이메일이 너무나 정교하고 진짜처럼 만들어져서 평소엔 그런 것에 속아 넘어가지 않을 것 같은 사람도 깜빡 속아넘어가는 경우도 있다. 하지만 누가 봐도 피싱임이 분명한 것에까지 속아 넘어가는 사람들도 있다. 그 흔한 나이지리안 스캠조차 한 번도 본 일이 없는 것처럼 말이다.

수년 전 필자가 어느 회계 법인에서 일 할 때였다. 변호사들 가운데 하나가 아이러브유 웜에 감염된 이메일을 한 번도 아니고, 무려 이틀 동안 3번이나 열어서 회사 이메일 시스템을 감염시켰던 적이 있다.

필자는 그에게 물어 보았다. "이 이메일 제목 말이에요, '아이러브유(Iloveyou)'. 유명한 스캠인데 본 적 없어요?" 그러자 그는 "처음 봐요"라고 말했다.

결국 필자는 그에게 "당분간 회사에서 사랑받기는 틀렸네요!" 라고 답할 수 밖에 없었다. 이처럼 사용자 가운데는 남들보다 의심이 적은 사람들이 있다. 이들은 너무나 기꺼이 피싱 이메일을 클릭하기 때문에 마치 회사가 싫어 일부러 그런 것 같다는 인상까지 준다.

피싱에 잘 당하는 사용자, 어떻게 관리해야 할까

무엇보다 중요한 것은, 이들은 피싱 범죄를 저지르는 범죄자들과 전혀 다르게 사고한다는 것이다. 이들은 대체로 순진하고 어리숙한 구석이 있으며, 따라서 피싱에 대해 교육하는 것이 가장 시급하다.

어렸을 때, 부모님이 길을 건널 때는 양 쪽을 다 살피고 건너라고 가르쳐 줬을 것이다. 이것이 습관화되려면 시간이 걸리지만, 반복적으로 하다 보면 길을 건널 때나 코너를 돌 때 자동으로 왼쪽, 오른쪽을 살피게 된다. 소셜 엔지니어링 대처 교육의 궁극적 목표도 이런 것이다.

세뇌되겠다 싶을 정도로 가르치고, 가르치고, 또 가르쳐야 한다. 얼마나 자주 교육을 실시해야 할지 물어본다면, 1년에 1~2번 정도의 교육으로는 큰 효과를 보기 어렵다는 점이 많은 연구를 통해 이미 증명됐다. 여기서 횟수를 늘려 나갈수록 효과가 좋겠지만, 특히 한 달에 한 번 정도가 가장 이상적이다.

처음에는 모든 직원에게 상대적으로 긴(최소 15분에서 최대 60분에 이르는) 보안 인식 교육을 시작한다. 이후 한 달에 한 번씩 교육을 반복하되 5분 이내까지 차차 시간을 줄여 나간다.

교육이라고 원론적인 이야기만 할 것이 아니라 가장 최신의 보안 및 피싱 이슈들, 중요한 사건들을 위주로 다루는 것이 좋다. 최대한 현실을 반영할 수 있도록 말이다. 요즘은 아예 직원들을 시험해 보기 위해 회사에서 피싱 이메일 시뮬레이션을 하는 일도 잦다. 수년 전 까지만 해도 이런 식의 테스트를 사전 공지 없이 진행하다가 해고되거나 징계를 먹는 사례가 있었다. 특히 해당 테스트에 낙제한 사람들 중에 CEO가 포함된 경우 그러했다.

하지만 오늘날에는 기업들 대부분이 피싱 테스트를 필요한 절차로 받아들인 듯하다. 단, 이런 테스트를 하기 전에는 CEO에게 미리 이야기를 하도록 하자. 또한 직원들에게 피싱 테스트가 있을 것이라고 이야기 해 두는 것도 좋다.

테스트를 할 때에는 실제 사용자들의 삶과 연관이 있는 주제로 피싱 메일을 작성해야 한다. 특히 피싱 공격에 취약한 직원일수록 해당 직원의 직무와 관련한 테스트 이메일을 반복적으로 보내야 한다. 예를 들어 회계나 송금 관련 일을 하는 직원이라면 송금 사기 이메일을 보낸다. 반대로 송금 업무를 하지 않는 직원에게 그런 테스트를 하는 것은 의미가 없다.

또한 크리스마스처럼 연휴 시즌에는 이와 관련된 피싱 테스트를 실시한다('이 설문조사에 참여해 주시면 100달러 기프트 카드를 드립니다' 등). 또 국가적인 재난이 발생한 직후에는 모금을 해달라는 피싱 이메일이 돌기 때문에 이런 부분에 대비할 필요가 있다. 즉 각 직원들의 직무나 사회적 상황, 그리고 그 밖에 일반적 주제들('무료 도넛을 받아 가세요!')을 모두 피싱 테스트의 주제로 삼아야 한다.

이런 테스트의 궁극적 목적은 교육이다. 교육과 테스트가 하나가 되어야 한다. 교육하고, 테스트하고, 다시 교육하는 사이클을 반복한다. 피싱 테스트에 걸려 든 직원은 그 자리에서 바로 교육을 실시해야 한다. 며칠만 지나도 교육의 효과가 많이 떨어지기 때문이다.

피싱 교육, 채찍보다는 당근으로

수년 전까지만 해도 피싱 테스트에 걸려든 직원을 해고 등으로 위협하는 것이 효과적이라 믿는 기업이 많았다. 하지만 피싱 교육은 "채찍보다는 당근"이 더 효과적이라는 인식이 점차 확산되고 있다.

실수하는 직원을 배척하고 처벌하는 문화가 아니라, 테스트에 몇 차례 이상 걸려들지 않은 직원에게 보상을 제공하는 편이 낫다. 팀 간 경쟁 형식으로 테스트를 진행할 수도 있다. 피싱에 잘 걸려드는 직원에게 "세 번 이상 테스트에 합격하면 10달러짜리 상품권을 주겠다. 10번 이상 합격하면 원하는 식당에서 팀 회식을 할 수 있다. 다른 팀 멤버들에게는 더 큰 제안을 했다는 사실을 말하지 않겠다"고 얘기해 주는 것이다.

이들을 영웅으로 만들어야 한다. 여기서 영웅이란 말하자면 보안의 '구멍'이었던 사람에서 주기적인 피싱 위협에도 합리적이고 회의적으로 사고할 수 있는 사람으로 거듭남을 의미한다. 해당 직원이 아주 조금의 발전이라도 보인다면 자신의 학습 경험을 다른 직원들과 공유할 수 있는 자리를 마련해 주는 것이다. 자신의 노력과 성과를 긍정적 경험으로 바라볼 수 있도록 말이다.

보안 교육, 수용과 소통의 문화부터 확립

피싱은 바보만 당하는 것이 아니고, 누구나 피싱 스캠의 피해자가 될 수 있다는 인식을 형성해야 한다. 피싱에 자주 당한다고 해서 못나고 바보같은 사람이 아니라 엄연한 팀의 일원이라고 느낄 수 있도록 말이다.

또한 실수해도 괜찮고, 설령 피싱이 아닌데 피싱을 의심해서 이를 보고하는 것도 괜찮다고 알려줘야 한다. "조금이라도 의심스러우면 일단 멈추고 신고해야 한다"는 메시지를 전달해 보자.

어렸을 때 이불 한 번 안 적시고 자란 사람이 있을까. 남들보다 늦게까지 이불에 지도를 그리던 사람도 있듯이, 남들에게는 쉽고 당연한 것이 결코 당연하지 않은 사람들도 있다. 인내심을 가지고 꾸준히 격려와 응원으로 교육한다면 피싱 이메일에 속수무책 당하기만 하던 직원도 얼마든지 구원할 수 있다.

원문 :  www.ciokorea.com Roger A. Grimes | CIO

※   저작권 관련 안내
본 블로그의 모든 글과 사진 및 영상은저작권 보호를 받는 게시물 입니다. 본 블로그의 내용을 링크 및 인용 할 때에는 꼭 출처를 밝혀주세요. 게시자 허락없는 무단도용은 당신을 불행하게 만들 수도 있습니다.

탑이슈

IT정보, 제품 리뷰, 소프트웨어

    이미지 맵

    이전 글

    다음 글

    생활&힐링 다른 글

    댓글 0

    *

    *

    해외에서 한국 실시간 방송(TV)를 보기 위해서 이 페이지를 방문했다면 바로아래 링크를 이용하세요. 간단한 설정으로 고화질 TV서비스를 받을 수 있습니다.

    코디(kodi)로 해외→한국(TV) 실시간 방송 보기

    새롭게 시작하는 코디(kodi) 실시간 TV 이용 안내

    IPTV 코디(kodi) 한국 실시간 방송 테스트 종료와 함께 국내 이용자는 더 이상 코디 tvheadend PVR, HTSP 클라이언트를 이용할 수 없게 됩니다.

    국내 이용자를 위한 고화질 실시간 방송이 새로운 방식으로 서비스됩니다. 이 방식은 코디(kodi)의 애드온인'PVR IPTV Simple Client'설정으로 사용 가능하며 탑이슈에서 제공하는 공개(외부) EPG url 등록을 통해 EPG정보까지 완벽 구현됩니다. 자세한 정보는 새롭게 시작하는 코디(kodi) 실시간TV 이용 안내와 아래 동영상을 참고하십시오.

    위의 내용과 별개로 기존 자료실(이 페이지)은 계속 운영됩니다.


    코디(kodi) m3u등록 및 외부EPG설정 / 탑이슈제공 영상

    새롭게 시작하는 코디(kodi) 실시간TV 이용 안내

    한국 IPTV - kodi(코디), 팟플레이어, tvheadend(티비헤드엔드) 자료실

    본 자료실에는 KT 올레(olleh)TV, LG 유플러스(U+)TV, SK B(broadband)TV에서 시청 가능한 m3u dpl 파일 등이 제공 됩니다.

    본 자료실에 접근 가능한 권한을 얻기 위해서는 PC에서 TV보기 포스트 본문의 하단 '마치면서...' 부분을 살펴 주십시오.


    PC로 TV보기! 무료시청 (실시간, HD, UHD, 케이블, 유료채널) / 탑이슈제공 영상


    TV셋톱박스(KT 올레TV, LG 유플러스TV, SK BTV)에서 유료 채널 무료로 보기 / 탑이슈제공 영상

    PC로 TV보기! 무료 (HD, 케이블, 유료채널, 해외→한국)

    2018.10.22 - KT 방송 신호가 암호화 방식으로 바뀌어 전송되어 일부 종편을 포함한 채널이 시청 불가 하다고 합니다. 여기 공용 채널(153ch)도 영향을 받아 몇몇 채널이 나오지 않고 있습니다. 지속 가능한 채널 확보를 위해 노력해보겠습니다.

    2018.10.04 - 해외 거주 한국 동포 및 거주자를 위한 한국 실시간 방송 테스트 중입니다. 31일 종료 예정

    2018.09.01 - 각 통신사 구분없이 해외에서 한국 실시간 HD방송을 바로 볼 수 있는 153개 의 채널이 등록 되었습니다. 물론 국내 이용자도 시청 할 수 있습니다.

    2018.09.01 - 세계 주요 방송 128채널이 등록되었습니다.

    해외에서 한국 실시간 방송(TV)를 보기 위해서 이 페이지를 방문했다면 바로아래 링크를 이용하세요. 간단한 설정으로 고화질 TV서비스를 받을 수 있습니다.

    코디(kodi)로 해외→한국(TV) 실시간 방송 보기

    새롭게 시작하는 코디(kodi) 실시간 TV 이용 안내

    국내 이용자를 위한 고화질 실시간 방송 구현에 대해 다 방면으로 생각해본 결과 tvheadend PVR, HTSP 방식은 개인 네트워크로는 많은 수의 접속자 트랙픽을 감당 할 수 없고 안정적인 서비스를 지속적으로 유지 할 수 없다는 결론입니다. 따라서 각 통신사에서 직접 송출하는 신호를 이용한 m3u를 코디(kodi)의 애드온인 'PVR IPTV Simple Client'에 등록해서 사용하는 방식을 택했습니다. 이 방식은 각 통신사의 고품질 네트워크(회선)을 사용함으로 UHD포함 고화질.고음질의 TV시청이 가능해 지며 각 통신사의 판매되는 IPTV 상품과 구현되는 원리도 똑같습니다. 즉, 본인의 인터넷 환경만 좋다면 버퍼링 없는 영상으로 TV시청이 가능합니다.

    외부 접속 및 모바일 환경에서 LTE 데이터 등 무선접속 시 TV시청이 어려운 점을 감안, 외부 접속시 사용할 수 있는 공용(http방식, TCP 프로토콜) m3u가 따로 제공됩니다. 이 m3u 경우 하루 2, 3개 정도는 항시 연결가능한 상태로 유지될 수 있도록 제가 꾸준히 업데이트 합니다. 이 파일은 통산사 구분을 하지 않으며 유/무선 인터넷 연결가능한 상태이면 원할한 TV시청이 가능합니다.

    아울러 탑이슈에서 공개(외부) EPG url 등록을 통해 EPG정보까지 완벽 구현됩니다. 이를 위해 본 자료실의 제공되고 있는 통신 3사 m3u의 대대적인 작업이 있었으며 코디(kodi)등의 플레이어를 통해 각 통신사 IPTV 상품을 이용하듯 사용 가능합니다.

    EPG기능은 코디(kodi)는 물론이고 m3u 재생 가능한 관련 플레이어에서 EPG정보를 지원하는 경우 해당 플레이어에 EPG정보도 표시됩니다.

    현재 통신 3사 KT(70ch), LG(190ch), SK(180ch) 업데이트된 m3u와 외부 EPG 접속을 위한 url이 제공되고 있습니다.

    특히 kt의 경우 일부 종편 및 몇몇 채널이 시청이 불가하나 타 통신사 TV채널로 대체하여 서비스 되고 있는점 참고바랍니다.


    코디(kodi) m3u등록 및 외부EPG설정 / 탑이슈제공 영상

    이 서비스는 여러분의 후원을 통해 이루어집니다.

    이 서비스는 일정금액 후원 후 이용 할 수 있습니다. 후원은 최소 5천 원부터 가능하며, 후원금은 장비 업그레이드와 유지 비용으로 사용됩니다. 후원은 절때 강제 사항이 아니며 보다 안정적인이고 지속가능한 서비스 유지를 위한 방안이니 늘리 이해해 주시기 바랍니다.

    SC제일은행 : 77720390237
    카카오뱅크 : 3333063200547

    예금주 : 서승종


    자료실 미리보기


    현재 운영 중인 자료실 캡처 화면

    현재 운영 되고 있는 페이지 일부분을 캡처한 화면입니다. 기본적으로 IPTV를 시청하기 위한 m3u파일을 제공하며 여러 멤버들과의 이 주제의 다양한 의견 교환과 정보 공유도 할 수 있습니다.

    또한 tvheadend 스트리밍 서버에 관심이 있고 구축을 계획하고 있다면 이에 필요한 여러 사항들도 자문해 드리고 도울 수 있는 범위 내에서 도와 드립니다.

    이 서비스는 한번 후원으로 기간 제한 없이 이용 할 수 있습니다.

    후원 후 hots01@daum.net으로 입금자 성함, 후원금액, 사용 중인 통신사를 기제, 메일 주시면 자세한 설명과 이용 방법을 제공합니다.