코로나19 확산에 따른 사회 관심과 불안감을 악용한 랜섬웨어 유포 가능성이 짙어지고 있다. 마스크 무료 배포나 감염자 동선 확인 등 가짜 문자 메시지를 악용한 스미싱 공격이 지속 발생하고 있다. 미국 기준 스미싱과 데이터 유출로 인한 피해 금액은 평균 390만달러(약 47억7000만원)로 추산된다.
그 가운데 밤낮으로 보안 전문가들로 하여금 시스템을 모니터링하게 하는 공격 대표 유형이 랜섬웨어다. 랜섬웨어를 방어하는 보안 툴로 최적이자 유일한 방법은 보안 인력으로 구성된 '관리팀'을 구성하는 것이다.
그러나 역으로 구성 오류부터 솔루션 스프롤(조직 내에서 사용하는 보안 솔루션의 무질서한 증가)까지 사이버 보안 기능이 약화할 수 있는 가장 큰 문제는 사용자, 즉 '인간 요소'에 있다.
많은 조사에 따르면 사이버 보안에 대한 인식은 크게 개선되고 있다. 직원의 최대 95%가 피싱 교육을 받아서 의심이 드는 이메일을 파악하는 방법을 배운 것으로 나타났다.
그러나 기업들이 보안 교육을 진행함에도 정상 이메일과 악성 이메일의 차이점을 확실히 구분할 수 있는 직원은 매우 적었다.
여기서 두 가지 사실을 알 수 있다. 직원들이 사이버 보안을 심각하게 생각하지 않는다는 것과 랜섬웨어 공격이 더욱 정교해지고 있다는 사실이다.
여전히 패스워드를 변경하지 않는 직원이 매우 많다. 직원의 3분의 2는 패스워드 관리 툴을 사용하지 않고 있다.
피싱 이메일을 구분해서 의심스러운 링크는 클릭하지 않으며 패스워드에 대한 최선책을 따르도록 수년간 교육 받아 온 직원도 보안 전문가가 원하는 방식을 따르지는 않는다. 복잡한 암호를 사용해야 한다는 것을 알면서도 그들은 반려동물 이름이나 대학 졸업 연도처럼 해커가 쉽게 예측할 수 있는 패스워드를 그대로 사용하고 있다.
문제는 인식이 아니라 실제 행동이다. 예를 들어 무의미한 문자와 숫자가 포함된 길고 안전한 패스워드를 사용하려면 추가 '노력'과 '수고'가 필요하지만 여기에는 또 시간과 에너지가 필요하다. '인식'과 실제 '행동'에 분명한 간극이 존재하는 것이다.
일반 기업 환경에서 직원들이 여러 복잡한 패스워드를 용이하게 관리할 수 있는 방법도 많지 않다. 공격자들은 또 취약한 패스워드를 타깃으로 삼는 것 외에 여전히 랜섬웨어 피싱 공격을 감행하고 있다.
모든 이를 타깃으로 하는 광범위한 브러시 공격 외에도 조직의 특정 사용자를 대상으로 한 공격도 생겨났다. 이러한 유형의 공격을 스피어피싱이라고 한다.
인식과 실제 행동 간 격차를 해소할 수 있는 한 가지 방법은 직원들이 보안팀 일원인 것처럼 인식하도록 하는 것이다. 우선 보안사고 영향과 보안사고가 개인에게 미치는 영향에 대해서도 자세히 파악하도록 해야 한다.
모든 사람이 참여하고 책임감을 느끼고 있을 때의 긍정 영향력에 대한 인식 개선이 골자다. 그러면 직원들이 실제로 의심스러운 사이버 행동에 직면할 때 행동방식을 바꿀 수 있다.
조직의 리스크 프로파일을 개선하기 위해 가장 중요한 것은 직원들이 어떤 방식으로든 보안에 대한 책임감을 수용하고 이행하도록 하는 것이다.
보안팀은 교육, 최적의 도구, 최상위 보안 기업들의 지원 등을 통해 모든 직원이 사이버 보안을 더욱 중요하게 인식할 수 있도록 적극 지원해야 한다.
보안은 기술만큼이나 인간 요소에 대한 의존도가 높다. 지난 15~17일 열린 세계 최대 정보·보안 행사 'RSA 콘퍼런스 2020'은 핵심 테마를 '인간 요소'로 잡았다. 보안전문가, 사용자 등 '우리(사람)'에게 집중했다.
보안의 모든 요소에 '사람'의 결정과 판단이 중요하다. 어떠한 기술보다 사용자의 통찰력이 중요하다. 랜섬웨어 보안의 키는 결국 사람, 사용자의 인식 개선부터 시작된다고 해도 과언이 아니다.
조원균 포티넷코리아 대표 mhong@fortinet.com
