InfoSec의 문제는 사람인가?
여러분은 아마도 수년에 걸쳐 인간이 보안 사슬에서 가장 약한 고리라는 말을 들었을 것입니다. 인간이 모든 것을 클릭하는 이 시대에, 인간이 무언가를 클릭한다는 비난을 쏟아내는 기사가 넘쳐납니다. 이제 우리는 전체 시스템이 링크 클릭을 기반으로 구축된 도구를 사용할 수 있게 되었습니다. 심지어 일상 사무실에서도 '잠시 더블클릭해 볼까요'라는 표현을 사용합니다. 물론, 인간은 종종 노트북을 잠그지 않은 자동차에 둔 채로 두거나, 컴퓨터에 비밀번호를 스티커로 붙이거나, 감정이 북받친 이메일을 받아 도움 요청을 하는 등 무모한 정보 보안 행위를 저지릅니다.
인간은 누구나 실수를 저지르며, 실수와 실수는 누구나 저지릅니다. 하지만 조직의 가장 강력한 연결 고리이자 방어에 중요한 부분을 담당할 사람을 비난하는 것 역시 실수입니다.
직원들은 종종 회사의 보안 정책에 대해 좌절감을 느끼며, 일반적으로 대부분의 사람들의 주요 업무는 보안과 관련이 없습니다. 그들은 자신의 행동이 가져오는 더 큰 의미를 이해하지 못할 수도 있습니다. 준수하기 어려운 복잡한 정책은 생산성을 떨어뜨리는 위험한 해결책으로 이어질 뿐입니다. 직원에게 불리한 것이 아니라 직원에게 도움이 되는 보안 정책을 고안하는 것이 중요합니다.
2019년 RSA 컨퍼런스에서 650명 이상의 IT 전문가를 대상으로 설문 조사를 실시한 Gurucul에 따르면 , 거의 75%가 내부 위협에 취약하다고 느꼈습니다. 그 중 사용자 오류가 39%로 가장 높은 비중을 차지했고, 악의적 내부자(35%)와 계정 손상(26%)이 그 뒤를 이었습니다. 더욱이 응답자의 34%만이 실시간으로 위협을 감지할 수 있다고 생각했습니다. 그리고 33%는 사고가 발생하기 전에 예측하기보다는 사고가 발생한 후에 내부 위협을 감지하는 데 집중합니다. 마지막으로, 40%는 데이터가 건물 밖으로 나갔는지 전혀 알 수 없습니다.
중요 인프라 기술에 따르면 대부분의 사이버 보안 사고(의도적 사고든 우발적 사고든)는 내부자의 어떤 행동으로 인해 발생합니다. 우리는 수년에 걸쳐 사람들이 첨부 파일을 클릭하거나 사기성 링크를 클릭하도록 속는 사건을 많이 보았습니다. 요즘은 피싱이 특히 만연하고, F5 연구소에서 지적 했듯이 피싱은 매우 성공적이어서 이제 가장 중요한 공격 벡터가 되었습니다. 실제로 안티피싱 실무 그룹의 보고에 따르면 피싱은 지난 12년 동안 5,753% 증가했습니다. F5 랩은 조사한 침해 사례의 48%가 피싱으로 인한 것이라는 사실을 발견했습니다 .
무엇을 할 수 있나요?
물론, 위협 가능성을 줄이는 데 도움이 되는 기술도 있습니다. F5 Labs 2018 피싱 및 사기 보고서는 외부 소스의 이메일에 라벨을 붙여 직원들이 주의해서 작업하도록 하는 등 여러 가지 방어책을 권고하고 있습니다. 바이러스 백신, 웹 필터링 및 사기 방지, 단일 로그인, 다중 요소 인증, 봇 차단, 심지어 허니 토큰(공격자가 일괄 피싱 이메일을 보낼 때 감지하기 위해 모니터링할 수 있는 더미 사용자 계정 및 이메일 주소)을 활용하는 기술도 있습니다. 잠재적으로 암호화된 위협을 방지하기 위해 인바운드 및 아웃바운드 트래픽을 해독하고 검사하는 것도 중요합니다. 맬웨어의 68%는 암호화된 명령 및 제어 서버에서 지침을 받습니다.
이러한 모든 방법은 위협 표면을 줄이는 데 도움이 되지만 몰래 침투할 가능성을 완전히 없애지는 못합니다. 사회 공학적 전술은 인터넷이 생기기 훨씬 전부터 존재해 왔습니다.
여기서 훈련이 중요해집니다.
인간은 일상에 편안함을 느끼는 감정적인 동물입니다. 모든 것을 클릭하는 데 익숙해지면 무엇이 안전하고 무엇이 위험한지 인식하는 데 도움이 필요할 것입니다. 그러므로 보안 인식 교육이 매우 중요합니다. 최소한 그들은 자신의 과도한 클릭의 결과를 알게 될 것이고 공격의 교묘함에 대비하게 될 것입니다. 사용자는 의심스러운 이메일을 받으면 신고하고, 외부 소프트웨어를 실행하거나 로그인 자격 증명을 제공하기 전에 IT 및 보안 담당자에게 확인해야 합니다.
F5 Labs 2018 피싱 및 사기 보고서는 Webroot 테스트 결과, 보안 인식 교육을 많이 실시할수록 직원들이 위험을 발견하고 피하는 능력이 향상된다는 사실을 보여준다고 언급합니다. 1~5회의 교육 캠페인을 운영한 경우 피싱 클릭률이 33% 감소했고, 6~10회의 캠페인을 운영한 경우 클릭률이 28%로 떨어졌으며, 11회 이상의 교육 캠페인을 운영한 경우 클릭률이 13%로 감소했습니다. 또한, 피싱 시뮬레이션과 캠페인은 콘텐츠가 최신이고 관련성이 있을 때 가장 효과적인 것으로 나타났습니다. 즉, 보안 인식 교육을 실시하지 않는 기업은 사용자가 피싱 시도 3건 중 1건 이상은 클릭할 것으로 예상할 수 있습니다. 훈련은 언제나 침해보다 저렴합니다.
F5 랩은 훈련 측면에서는 간결하고, 관련성 있고, 개인적이고, 해결 가능해야 한다고 제안합니다 . 보안은 관리 가능한 문제로 취급하되, 관련된 모든 사람이 적극적이고 정보에 입각해 참여해야 합니다. 보안 인식 교육은 모든 사용자와 직접 대화하고 공동의 목표에 참여하도록 장려할 수 있는 가장 좋은 기회입니다.
친구들에게 시도해 볼 수 있는 재밌는 방법을 소개해 드리겠습니다. '저는 사이버 전문가인데, 비밀번호를 알려주시면 안전한지 알려드릴 수 있어요.' 라고 말하세요. 몇 명이 정답을 맞혔는지 확인해 보세요!