피싱(Phishing) 메일과 이를 예방할 수 있는 방법론 feat 소포스 Phish Threat

피싱(Phishing) 메일과 이를 예방할 수 있는 방법론 feat 소포스 Phish Threat

안녕하세요. 아이비인포텍입니다.


미세먼지가 극성인 봄입니다. 매번 기업 IT 환경에서 도움이 되고자 하는 솔루션을 소개하는 것을 목표로 포스팅을 꾸준히!! 하려 하는데 꾸준히가 어려운 것 같습니다.

이번에는 기업에 많은 피해를 입히고 있는 피싱(Phishing) 메일과 이를 예방할 수 있는 방법론에 대해 이야기해보고자 합니다.

 

오늘 제가 아래와 같은 메일을 받았습니다.



 

보시면 아시겠지만, 딱 감이 오시죠? 랜섬웨어로 의심되는 메일입니다.
개인적으로는 작년에 보고된 바 있는 랜섬웨어 변종으로 추측됩니다.

 

아~ 저작권 문제라니까 혹시나 하는 마음에 더 클릭 하고 싶어졌습니다만, 꾹~ 참았지요.

 

그럼, 여기서 어떻게 랜섬웨어로 제가 추측했을까요?

  • 메일 도메인이 co.kr이 아니라 수상한 xxx.space 임.
  • 법적인 문제를 얘기하는데, 연락처가 없다.
  • 의심스러워 웹 검색을 했고, https://blog.alyac.co.kr/2014 에서 갠드트랩 변종 랜섬웨어로 확인
  • 그래서, 첨부 파일을 오픈하지도 않고, 메일을 삭제 하였습니다.
 

추가로 웹 검색을 하다보니 다음과 같은 내용의 글을 발견했고 핵심 내용은 다음과 같습니다.

https://www.estsecurity.com/securityCenter/news/view/1495

이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의

최근 '이미지 저작권 침해 확인 내용'의 내용이 담긴 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.

이번에 발견된 메일은 개인 작가의 이미지를 무단으로 침해했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다.

 

내용이 딱 제가 받은 피싱 메일과 동일했습니다.

그런데, 이런 피싱 메일을 오픈 하여 실행하는 분들도 많으시고, 실제로 피해를 입은 분들도 계실겁니다.


그럼 어떻게 해야 이런 이메일 피싱(Email phishing)을 통한 랜섬웨어 감염을 예방 할 수 있을까요?



 

글로벌 보안벤더 소포스社 의 자료와 Verizon 보안 리포트에 따르면, 기업 내 외부 공격 중 이메일 피싱이 차지하는 비중은 무려 93%나 됩니다. 이러한 공격의 대부분은 금전적인 목적이 주이기 때문에 기업에 직접적인 피해로 이어집니다.

 

보안 벤더에서는 이러한 피싱 메일 또는 Drive By Download 형태로 유포되는 멀웨어 및 랜섬웨어를 방어하기 위한 통합형 앤드포인트 보안 제품을 출시하고 있고, 소포스(Sophos)도 이러한 벤더 중 하나입니다.

 

그런데, 이런 보안 제품은 창과 방패의 싸움에서 항상 100% 보호를 장담할 수 없습니다. 이러한 보안 Hole을 방어 하기 위해 전문가들이 입을 모아 이야기하는 방법은 사용자 교육입니다. 이를 위해 악성 이메일을 잘 걸러낼 수 있는 보안 의식을 강화할 수 있는 교육 즉, 이메일 피싱 예방 시뮬레이터 및 교육 관련 솔루션이 몇몇 벤더에서 출시가 되었습니다.

 

그 중에, 소포스社의 Phish Threat 서비스의 주요 특징과 피싱 예방 시뮬레이터의 주요 내용을 리뷰해보겠습니다

 

보안 의식 강화를 위한 피싱 예방 교육의 첫번째 단계는, 피싱 테스트를 위한 적절한 컨텐츠 작성일 것입니다.

이미 소포스에서는 매일 발생하는 피싱 유형을 분석하고, 그 중에서 가장 많은 피싱 피해를 입은 사례를 교육용으로 지속 업데이트하고 있고 사용자는 피싱 사례를 선택해서 템플릿으로 적용해 사용하기만 하면 됩니다.

또한 원한다면 교육 시행자가 직접 컨텐츠를 만들거나 템플릿을 일부 수정해서 사용할 수 있도록 유연하게 제공되고 있습니다.

 

피싱 유형의 시나리오는 크게 아래와 같습니다.

  1. - 이메일 링크를 클릭 유도하여, 특정 사이트 이동 및 파일 자동 다운로드 유도
     
  2. - Gmail과 같은 유사 사이트로 접속 유도 및 계정 및 암호 탈취
     
  3. - 첨부 파일 실행을 통한 랜섬웨어 감염

 

위와 같은 유형에 대해 소포스가 제공하는 템플릿의 예시는 아래와 같으며,

시나리오에 따른 매우 다양한 템플릿이 제공 되고 있습니다.








 

상기 예제를 보면, 어떠한 생각이 드시나요? 매우 정교하게 제작 되었고 이러한 메일을 무심코 눌렀던 경험이 떠오를 것입니다. 특히, 페이스북의 매력적인 프로필의 친구 요청 메일을 클릭 했던 경험이 있었던 것은 저만 해당 되는 일일까요?


말씀드린 것처럼 상기 템플릿을 회사 환경에 맞게 수정하는 것도 물론 가능합니다.
이렇게 수정된 템플릿을 직접 발송해본 예시를 보여드리겠습니다.

저희 회사는 구글캘린더로 미팅 일정을 확인 하기에 아래와 같은 템플릿을 사용해 회사에 맞게 수정하여, 전 직원에게 발송하였습니다.


 

보낸 피싱 메일의 시나리오는 아래와 같습니다.

  • 대표가 전직원에게 메일을 보냈음.
  • 분기 마감에 따른 전체 점심 식사 요청 스케쥴 확인 메일
  • 반드시 참석 여부 확인 요청

 

여기서, 스케쥴 수락을 위해 예, 아니요를 클릭하게 되면 아래와 같은 페이지로 이동 되면서,
Gmail의 ID 및 패스워드를 요청합니다.

 


아무 사전 공지를 하지 않고, 회사 대표가 직접 상기 내용을 보냈을 때 직원들의 반응은 어떠했을까요?

피싱 메일 테스트 결과는 아래와 같은 보고서 대시보드에서 확인이 가능합니다.




 

실제, 7명에게 전송 후 7명이 메일을 열람 했습니다.

대시보드에서는 5명의 사용자 확보를 했다는 보고서가 보입니다. 여기서 5명 확보가 무엇일까요?? 5명이 직접 캘린더 액세스를 위해 Gmail 아이디 및 패스워드를 입력했다는 것이고, 피싱에 걸려 개인정보 및 데이터 유출, 랜섬웨어 감염 등이 발생했음을 의미합니다.

 

섬뜩하지 않은가요?
직원들이 아무 생각 없이 평상시처럼 스케쥴을 수락한 행동으로 인해서 ID 및 패스워드가 탈취되었습니다.


 

위에 로그인 페이지의 주소창을 자세히 보면, 정상적인 Gmail URL이 아닌 주소가 유사한 피싱 사이트였습니다.
하지만, 대다수의 직원이 의심 없이 ID 및 패스워드 입력 및 로그인을 클릭하였습니다.

 

 

 

다행히도 이것은 피싱 예방 교육을 위한 시뮬레이터인 소포스社의 Phish Threat 였습니다.




 

시뮬레이터로 작성된 해당 피싱 사이트에서 ID 및 패스워드 입력 후, 로그인을 클릭하면 위와 같은 보안 의식 고취를 위한 안내 페이지를 보여 주고, “교육으로 이동” 버튼을 누르면

 

피싱 테스트를 통과하지 못한 수신자들의 보안 의식 강화를 위해서 아래와 같은 교육 페이지로 이동됩니다.





 

전체 교육 내용에서 일부분을 캡쳐한지라 조금 연관성이 떨어질 수 있으나,
시나리오에 따른 다양한 교육 커리큘럼을 제공하는 모습을 확인하실 수 있습니다.

최종적으로, 교육을 이수한 사용자는 아래와 같이 최종 퀴즈를 통해서 보안교육을 이해했는지 테스트합니다.


 

퀴즈를 마치면, 최종 피싱 테스트 감염자의 교육이 완료 됩니다.

관리자 대시보드에서는 교육 이수자, 교육 미이수자에 대해 분류 및 표시가 되고,
관리자는 대시보드로 전체 교육 관리가 가능합니다.

 

이상으로, 간단하게 소포스(Sophos)의 Phish Threat 이메일 피싱 예방 시뮬레이터 및 교육 서비스에 대해 알아 보았습니다.

 

앞서 살펴본 핵심적인 기능들을 요약하면

  • 실제 피싱과 동일한 테스트 환경
  • 피싱에 걸린 사용자 교육
  • 대시보드에서 피싱 위험도 확인 및 사용자 관리 가시성 제공

 

보안 솔루션으로 멀웨어, 랜섬웨어 및 이메일 피싱을 막는다는 것에 대해서는 분명히 한계가 있습니다.
분명한 것은 창과 방패의 싸움에서, 사용자 인식 전환으로 분명히 보안 위협성을 감소시킬 수 있다는 것입니다.



소포스(Sophos)의 Phish Threat는 이미 30만 유저 이상이 사용하고 있고, 4번의 반복적인 피싱 예방 교육으로 많은 피싱 메일의 클릭률을 90% 이상 낮추는 효과를 얻을 수 있었다고 합니다.
저희 회사에서도 1차 이메일 피싱 테스트 및 테스트 감염자에게 1회 교육 이후, 재차 실시한 피싱 테스트에서는 감염 사례는 “0” 였습니다.


 

수천만원의 보안 솔루션을 도입하는 것 보다 궁극적으로는 사용자의 인식 변화가 기업내 보안 강화에 도움이 된다는 것은 누구나 알고 있습니다. 하지만 인식 변화를 위한 강당에 모여서 하는 집체 교육과 같은 방법론은 현실적으로 진행하는데 많은 어려움을 가지고 있고, 효과는 미비합니다.

 

이와 반면에, 소포스(Sophos)의 Phish Threat는 실제와 같은 사용자의 피싱 이메일 확인 및 감염 경험을 제공합니다.
경험에서 그치지 않고 위험성 인지와 감염 경로 및 예방 방법의 교육을 통해서 개인별 보안 의식을 고취 시킬 수 있다는 점에서 이메일 피싱 예방 및 교육 솔루션으로 큰 효과가 있다고 생각 됩니다.

 

아울러, 아이비인포텍은 본 서비스에 대한 지원 및 컨설팅을 담당하고 있는 공식 파트너입니다. 본 리뷰를 보시고, 서비스에 관심 있는 고객사 분들께서는 문의 주시기 바랍니다. 감사합니다.

아이비인포텍 담당자 연락처

아이비인포텍 홈페이지
  


 


 

9개의 댓글이 있습니다.

4년 이상 전

좋은 내용 감사합니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4년 이상 전

매일 피싱메일을 받고 있습니다.
스팸메일에서도 필터링 안되어 침투하네요
좋은 정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4년 이상 전

스팸이 긴가민가하는게..
역시 교육이 쵝오..

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전

스팸 템플릿의 신선함이 관건이겠네요 ㅎㅎㅎㅎ

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

1st 5stars

5년 이하 전

이미지 무단 사용 메일~ 정교해 보이네요.
첨부 파일을 열어 보고 싶다는 욕구가 마구 생길 정도로...ㅎㅎㅎ
도대체 어떤 이미지길래... 하는 생각으로 열어 보는 사람이 대부분일 거 같아 보이네요~
훈련을 한 두번 해 본다거나 관련 내용의 교육을 몇번시켜 두어도 큰 효과를 얻을 수 있을 거라 생각되네요.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전

교육 부분이 흥미롭네요. 리뷰 잘봤습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전

우와 리뷰 감사합니다.
중간에 메일보면 오수연 작가라고 나오는.. 메일을 정말 많이 봤던 기억이...ㅎㅎㅎ

Reply

5년 이하 전 | 아이비인포텍(주) | 070-4323-3191

ㅋㅋ 다들 오수연 작가 메일 정말 많이 받으신거 같습니다. 원래 오수연 작가가 가을동화로 뜬 분이거 같던데.. 저희쪽에선 랜섬웨어로 각인됨 분이죠 ^^;;;

Reply

4년 이상 전

ㅎㅎ 저분 메일 오면 깜짝깜짝 놀랍니다.ㅎㅎ 랜섬웨어

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입