악성 메일 모의훈련 보안 교육 서비스 사례

 

 

어느 정도 규모가 있는 기업에 다니시는 직장인이라면, 회사 내부적으로 악성 메일 모의훈련을 받아보셨을 것이라고 생각합니다. 실제 회사 업무 목적으로 보낼 법한 메일을 모의훈련 용으로 피싱 메일처럼 만들어서 임직원들에게 보내는 거죠. 최근 피싱 메일이 기하급수적으로 증가함에 따라 대부분의 기업에서 보안 업체에서 제작한 솔루션으로 악성 메일 모의훈련을 진행하고 있을텐데요. 그래서 오늘은 악성 메일 모의훈련에 대한 기본적인 내용과 함께 보안 교육 서비스를 결합한 사례에 대해 간단하게 말씀드리도록 하겠습니다.

​

일반적으로 ISMS 인증이 필수 대상인 기업들은 침해사고 대응훈련을 진행하면서, DDoS 대응이나 APT 공격과 함께 악성 메일 모의훈련을 진행하고 있을 것으로 생각됩니다. 사실 침해사고 대응훈련을 하면서 이 중 가장 예산을 덜 들이면서 쉽게 증적을 남길 수 있는 부분들이 악성 메일 모의훈련이죠. 임직원의 보안 인식 제고를 위해서도 악성 메일 모의 훈련이 눈으로 확실하게 확인할 수 있는 부분이기 때문에, 많은 기업들에서 이를 침해사고 대응훈련을 갈음하고 있기도 합니다.

​

보통 보안 업체에서 개발한 악성 메일 모의훈련의 경우, 모의훈련을 실시할 기업의 업무 메일과 비슷한 컨텐츠를 만들면서 보낸 사람의 메일 도메인 주소나 메일 본문의 URL을 교묘하게 변경해서 보내는데요. 단순하게 불특정 다수에게 메일을 보내는 형식이 아닌 특정 기업을 타겟으로 한 스피어피싱에 가깝게 악성 메일을 구성합니다. 그러다 보니 기업에서 악성 메일 모의훈련을 진행한다고 공지를 해도, 적지 않은 인원들이 악성 메일에 감염되는 사태가 벌어지는데요. 악성 메일에 가장 많이 감염된 부서나 가장 적게 감염된 부서에게는 나름의 경고와 포상을 주기도 하죠.

​ 

사실 악성 메일 모의훈련은 어느 정도 간단한 웹 서버 구축과 프로그래밍을 할 줄 아신다면 쉽게 구현하실 수 있습니다. 저도 이전 회사에서 파이썬으로 간단하게 구현을 해봤었는데, 문제는 악성 메일을 구성할 컨텐츠와 모의훈련 종료 이후 통계 결과나 보고서를 만드는 일이었죠. 이러한 사항 때문에 대부분은 보안 업체에서 만든 솔루션을 이용하고 있는데, 최근에는 모의훈련 종료 후 이를 바탕으로 임직원의 보안 인식을 제고시키기 위해 보안 교육 훈련 서비스도 같이 진행하는 솔루션도 나오고 있습니다.

 

파수, 악성메일 모의훈련 ‘마인드 셋’에 보안 교육 서비스 결합

 

위의 기사에서 언급한 보안 업체의 악성 메일 모의훈련 서비스에서 제공하는 보안 교육 서비스가 정확히 어떤 것인지는 확인할 수 없지만, 만약 ISMS 인증을 받아야 하거나 유지해야 하는 기업들에서는 유용하지 않을까 싶습니다. 이렇게 되면 침해사고 대응훈련에 대한 통제항목 뿐만 아니라 임직원의 보안 교육에 대한 통제항목도 해결할 수 있을테니 말이죠. 또한 보안 시스템 구축이 잘 되어있지 않은 중소기업에서도 이를 도입해서 보안 인식을 높이시는데 활용하시면 좋을 듯 합니다. 그럼 이번 글은 여기서 마치도록 하죠. 감사합니다.