피싱에 잘 속는 사람 있다··· 원인과 해결 방법
작정하고 속이려 드는 사람을 당해낼 재간은 없겠지만, 우리 중에는 누가 봐도 피싱임이 뻔히 보이는 링크조차 의심없이 클릭하는 순진한 사람도 있다. 이런 사람을 사전에 가려 낼 방법은 없을까.
피싱 공격에 잘 당하는 것은 지능의 문제가 아니다. 사회에서 지적이고 똑똑하다고 알려진 집단의 사람들, 예를 들어 의사, 변호사, 엔지니어, 과학자, 심지어 노벨 물리학상 수상자 중에도 피싱 사기 피해자들이 나온다. 그렇다면 피싱에 잘 당하는 사람들은 어떤 사람들일까, 이들을 보안 인식 교육 전략을 세울 방법은 없을까.
다행인 것은 사람들이 이 문제에 대해 고민하고 있고, 어떤 특성을 가진 사람들이 피싱에 가장 취약한지 알고자 노력하고 있다는 사실이다. 예를 들어 센트럴 플로리다 대학교 시뮬레이션 및 트레이닝 연구소에서 포닥 과정에 있는 매튜 캔햄 박사는 현재 피싱 공격 취약점과 해킹, 그리고 온라인 영향력을 연구 중이다. 캔햄은 수많은 사용자 가운데서도 피싱이나 소셜 엔지니어링 등에 당할 확률이 높은 사람을 예측하고 가려내기 위한 연구를 진행 중이다.
범죄자의 사고를 이해하지 못하는 사람들이 피싱에 잘 당한다
보안 전문가는 컴퓨터 보안의 가장 취약한 고리가 인적 요소에 있다고 항상 말하곤 한다(물론 항상 그런 것은 아니다). 그런데 데이터를 가지고 그 이유를 알아내려는 사람이 바로 캔햄 박사다. 세상을 바꾸기 위해서는 데이터가 필요하다. 필자는 캔햄 박사가 학위 과정을 다 마치고 나면 세상을 바꾸기 위해 많은 일을 할 수 있을 것이라 생각한다.
복잡한 문제가 으레 그렇듯, 사람을 범죄에 취약하게 만드는 원인도 여러 가지가 있다. 그러나 몇몇 초기 연구 결과들을 보면, 범죄에 취약한 사람들은 공통적으로 범죄 성향이 낮은 편이라는 사실이다. 이들은 단지 피싱뿐만 아니라 여러 가지 사기 범죄에 골고루 취약했다. 이는 어찌 보면 당연한 이야기다. 문제는 왜 그런가 하는 것인데, 과학자들은 연구를 통해 이와 관련된 데이터를 수집해 나가고 있다.
생각해 보자. 상식적으로, 마이크로소프트가 왜 필자에게 원격 감지 바이러스를 제거해 달라고 먼저 요청을 하겠는가, 한 번이라도 마이크로소프트에 연락해 보려 한 사람들은 알 것이다. 마이크로소프트가 사용자에게 먼저 요청을 해 오는 일이 없을뿐더러 실제로 마이크로소프트와 연락할 수 있는 진짜 기술 지원 전화번호를 찾는 일조차 쉽지 않다는 것을 말이다. 그리고 설령 어렵게 전화번호를 찾아 전화를 걸고, 수리 비용으로 200달러를 지불하겠다고 해도 도움을 받기가 쉽지 않다.
현실은 그렇다. 이런 상황에서 마이크로소프트가 감염에 대해 단지 '경고'하기 위해 사용자에게 먼저 연락을 해 온다는 것은 충분히 의심스러운 상황이다.
또한, 국세청이 먼저 시민에게 전화를 걸어, 벌금이 체납돼 있으니 당장 월마트로 달려가 상품권을 구매한 다음 그것으로 벌금을 내야 한다고 말 할 확률이 얼마나 될까. 국세청에서 신용카드도 아니고 상품권을 요청하다니. 그리고 크레이그리스트(Craigslist)에 갑자기 자신에게만 반값에, 배송료도 없이 물건을 주겠다고 제안해 올 확률은 또 얼마나 될 것이며, 야니(Yanni)나 브루스 스프링스틴(Bruce Springsteen)같은 유명인들이 사실 나를 사랑하는데 배우자나 가족이 돈을 모두 빼앗아 가서 나에게 돈을 빌리러 온다는 게 말이나 되는가.
그런데도, 정말 이런 것들을 잘 몰라서 당하는 사람들이 있다. 마이크로소프트가 먼저 사용자들에게 전화를 걸어 도움을 주는 일은 없다는 것, 국세청이 먼저 전화를 걸어 상품권을 요청하는 일은 일어나지 않는다는 것을 말이다.
또한 크레이그리스트를 이용한 사기극이 존재한다는 것도 이들은 모른다. "크레이그리스트 같은 유명 업체가 사기극에 이용될 리가 없어"라고 생각하며 이들을 신뢰하는 것이다. 심지어 판매자/구매자가 '제 3의 에스크로 에이전트'를 지정하고 물건을 받기 전에 수표를 먼저 예치해 두는 경우도 있다. 이들은 은행에서 수표를 바로 처리해주지 않는다는 걸 모른다.
살면서 평생, 은행에서 수표를 받아줬다는 건 곧 그 수표가 온전히 처리된 것이라 생각하며 살아 온 것이다. 이들은 수표 처리에 며칠이 걸릴 수도 있다는 걸, 며칠 뒤에 전화가 걸려와서 모든 걸 내가 뒤집어 쓰게 될 수도 있다는 걸 정말 모르는 순수한 이들이다.
세상의 쓴맛(?)을 아직 못 본 이 순수한 영혼들의 허술한 부분을 이용하는 사기 범죄를 어떻게 하면 예방할 수 있을까. 보안 인식 교육을 하는 이유도 사실 여기에 있다. 잠재적 피해자들이 사기 범죄의 유형에 익숙해지고 이를 예측할 수 있게 하는 것이다. 사기 범죄의 유형이나 수법을 알고 나면 이에 당하는 일이 훨씬 줄어 들 것이다.
압박과 욕심, 그리고 성욕을 이용한 피싱 사기
설상 가상으로, 피싱 범죄자들이 사기를 칠 때는 사람들이 정상적인 의심이나 사고를 하기 어렵도록 '압박'을 가하는 요소를 집어 넣는다. 예를 들어 송금 회사를 사칭하는 이들은 청구 요금이 빌렸다며 으름장을 놓거나, 지금 당장 돈을 보내지 않으면 아주 중요한 비즈니스 거래가 성사되기 어렵다는 식으로 압박한다.
그렇게 컴퓨터가 감염되고 나면 그 안에 담긴 모든 정보나 가장 은밀하고 개인적인 사생활이 해커의 손에 들어가게 된다. 아니면 인간의 가장 원초적이고 기본적인 공통점인 욕심이나 성욕을 이용하기도 한다. 결국 피싱에 당하는 사람들은 조금이라도 더 나은 삶, 더 나은 관계를 맺고자 했던 지극히 인간적인 이유로 피해를 입게 된다.
물론 그 중에는 피싱 이메일이 너무나 정교하고 진짜처럼 만들어져서 평소엔 그런 것에 속아 넘어가지 않을 것 같은 사람도 깜빡 속아넘어가는 경우도 있다. 하지만 누가 봐도 피싱임이 분명한 것에까지 속아 넘어가는 사람들도 있다. 그 흔한 나이지리안 스캠조차 한 번도 본 일이 없는 것처럼 말이다.
수년 전 필자가 어느 회계 법인에서 일 할 때였다. 변호사들 가운데 하나가 아이러브유 웜에 감염된 이메일을 한 번도 아니고, 무려 이틀 동안 3번이나 열어서 회사 이메일 시스템을 감염시켰던 적이 있다.
필자는 그에게 물어 보았다. "이 이메일 제목 말이에요, '아이러브유(Iloveyou)'. 유명한 스캠인데 본 적 없어요?" 그러자 그는 "처음 봐요"라고 말했다.
결국 필자는 그에게 "당분간 회사에서 사랑받기는 틀렸네요!" 라고 답할 수 밖에 없었다. 이처럼 사용자 가운데는 남들보다 의심이 적은 사람들이 있다. 이들은 너무나 기꺼이 피싱 이메일을 클릭하기 때문에 마치 회사가 싫어 일부러 그런 것 같다는 인상까지 준다.
피싱에 잘 당하는 사용자, 어떻게 관리해야 할까
무엇보다 중요한 것은, 이들은 피싱 범죄를 저지르는 범죄자들과 전혀 다르게 사고한다는 것이다. 이들은 대체로 순진하고 어리숙한 구석이 있으며, 따라서 피싱에 대해 교육하는 것이 가장 시급하다.
어렸을 때, 부모님이 길을 건널 때는 양 쪽을 다 살피고 건너라고 가르쳐 줬을 것이다. 이것이 습관화되려면 시간이 걸리지만, 반복적으로 하다 보면 길을 건널 때나 코너를 돌 때 자동으로 왼쪽, 오른쪽을 살피게 된다. 소셜 엔지니어링 대처 교육의 궁극적 목표도 이런 것이다.
세뇌되겠다 싶을 정도로 가르치고, 가르치고, 또 가르쳐야 한다. 얼마나 자주 교육을 실시해야 할지 물어본다면, 1년에 1~2번 정도의 교육으로는 큰 효과를 보기 어렵다는 점이 많은 연구를 통해 이미 증명됐다. 여기서 횟수를 늘려 나갈수록 효과가 좋겠지만, 특히 한 달에 한 번 정도가 가장 이상적이다.
처음에는 모든 직원에게 상대적으로 긴(최소 15분에서 최대 60분에 이르는) 보안 인식 교육을 시작한다. 이후 한 달에 한 번씩 교육을 반복하되 5분 이내까지 차차 시간을 줄여 나간다.
교육이라고 원론적인 이야기만 할 것이 아니라 가장 최신의 보안 및 피싱 이슈들, 중요한 사건들을 위주로 다루는 것이 좋다. 최대한 현실을 반영할 수 있도록 말이다. 요즘은 아예 직원들을 시험해 보기 위해 회사에서 피싱 이메일 시뮬레이션을 하는 일도 잦다. 수년 전 까지만 해도 이런 식의 테스트를 사전 공지 없이 진행하다가 해고되거나 징계를 먹는 사례가 있었다. 특히 해당 테스트에 낙제한 사람들 중에 CEO가 포함된 경우 그러했다.
하지만 오늘날에는 기업들 대부분이 피싱 테스트를 필요한 절차로 받아들인 듯하다. 단, 이런 테스트를 하기 전에는 CEO에게 미리 이야기를 하도록 하자. 또한 직원들에게 피싱 테스트가 있을 것이라고 이야기 해 두는 것도 좋다.
테스트를 할 때에는 실제 사용자들의 삶과 연관이 있는 주제로 피싱 메일을 작성해야 한다. 특히 피싱 공격에 취약한 직원일수록 해당 직원의 직무와 관련한 테스트 이메일을 반복적으로 보내야 한다. 예를 들어 회계나 송금 관련 일을 하는 직원이라면 송금 사기 이메일을 보낸다. 반대로 송금 업무를 하지 않는 직원에게 그런 테스트를 하는 것은 의미가 없다.
또한 크리스마스처럼 연휴 시즌에는 이와 관련된 피싱 테스트를 실시한다('이 설문조사에 참여해 주시면 100달러 기프트 카드를 드립니다' 등). 또 국가적인 재난이 발생한 직후에는 모금을 해달라는 피싱 이메일이 돌기 때문에 이런 부분에 대비할 필요가 있다. 즉 각 직원들의 직무나 사회적 상황, 그리고 그 밖에 일반적 주제들('무료 도넛을 받아 가세요!')을 모두 피싱 테스트의 주제로 삼아야 한다.
이런 테스트의 궁극적 목적은 교육이다. 교육과 테스트가 하나가 되어야 한다. 교육하고, 테스트하고, 다시 교육하는 사이클을 반복한다. 피싱 테스트에 걸려 든 직원은 그 자리에서 바로 교육을 실시해야 한다. 며칠만 지나도 교육의 효과가 많이 떨어지기 때문이다.
피싱 교육, 채찍보다는 당근으로
수년 전까지만 해도 피싱 테스트에 걸려든 직원을 해고 등으로 위협하는 것이 효과적이라 믿는 기업이 많았다. 하지만 피싱 교육은 "채찍보다는 당근"이 더 효과적이라는 인식이 점차 확산되고 있다.
실수하는 직원을 배척하고 처벌하는 문화가 아니라, 테스트에 몇 차례 이상 걸려들지 않은 직원에게 보상을 제공하는 편이 낫다. 팀 간 경쟁 형식으로 테스트를 진행할 수도 있다. 피싱에 잘 걸려드는 직원에게 "세 번 이상 테스트에 합격하면 10달러짜리 상품권을 주겠다. 10번 이상 합격하면 원하는 식당에서 팀 회식을 할 수 있다. 다른 팀 멤버들에게는 더 큰 제안을 했다는 사실을 말하지 않겠다"고 얘기해 주는 것이다.
이들을 영웅으로 만들어야 한다. 여기서 영웅이란 말하자면 보안의 '구멍'이었던 사람에서 주기적인 피싱 위협에도 합리적이고 회의적으로 사고할 수 있는 사람으로 거듭남을 의미한다. 해당 직원이 아주 조금의 발전이라도 보인다면 자신의 학습 경험을 다른 직원들과 공유할 수 있는 자리를 마련해 주는 것이다. 자신의 노력과 성과를 긍정적 경험으로 바라볼 수 있도록 말이다.
보안 교육, 수용과 소통의 문화부터 확립
피싱은 바보만 당하는 것이 아니고, 누구나 피싱 스캠의 피해자가 될 수 있다는 인식을 형성해야 한다. 피싱에 자주 당한다고 해서 못나고 바보같은 사람이 아니라 엄연한 팀의 일원이라고 느낄 수 있도록 말이다.
또한 실수해도 괜찮고, 설령 피싱이 아닌데 피싱을 의심해서 이를 보고하는 것도 괜찮다고 알려줘야 한다. "조금이라도 의심스러우면 일단 멈추고 신고해야 한다"는 메시지를 전달해 보자.
어렸을 때 이불 한 번 안 적시고 자란 사람이 있을까. 남들보다 늦게까지 이불에 지도를 그리던 사람도 있듯이, 남들에게는 쉽고 당연한 것이 결코 당연하지 않은 사람들도 있다. 인내심을 가지고 꾸준히 격려와 응원으로 교육한다면 피싱 이메일에 속수무책 당하기만 하던 직원도 얼마든지 구원할 수 있다.
원문 : www.ciokorea.com Roger A. Grimes | CIO
댓글