.gif)
피싱 이메일 클릭하는 가장 큰 이유 : 호기심, 공포, 성급함
세계 최대 웹 사이트 100만개 중 절반이 사용자 위험하게 해
[보안뉴스 문가용 기자] 현대의 사이버 공격 대부분은 피싱 이메일을 클릭하는 것에서부터 시작한다. 최근 보안 전문업체인 피시미(PhishMe)는 올해 새로운 연구를 통해 사이버 공격의 91%가 피싱에서부터 출발한다는 결과를 얻어냈다. 그리고 그 이유를 분석했는데, 가장 많은 사람들이 호기심(13.7%), 공포(13.4%), 성급함(13.2%)을 꼽았다.
1. 피싱 이메일 공격
“공포와 성급함은 현대의 업무 환경에서 어쩔 수 없이 가지게 되는 심리상태입니다. 누구나 일을 못한다는 소리를 듣거나, 평판이 안 좋아지거나, 회사에서 쫓겨나면 어떻게 할까, 하는 걱정거리들을 가지고 있거든요. 그런 심리 때문에 뭐든 빨리 처리하려고 애쓰고, 그러다 보니 피싱 메일에 걸려드는 것이죠.” 피시미의 CTO인 아론 힉비(Aaron Higbee)의 설명이다.
피시미는 이번 연구를 위해 세계 곳곳의 고객사 약 천여 곳에 4천만 건의 가짜 피싱 이메일을 보냈다. 총 18개월에 걸쳐 진행된 이번 연구는 2016년 7월에서야 끝이 났고, 보고서 집필에만 또 수개월이 흘렀다고 한다. 이 연구를 통해 발견한 사실들로는 다음과 같은 것들이 있다.
1. 한 번 가짜 피싱 이메일 훈련이 진행된 조직에서 한 번 더 피싱 이메일 훈련을 실시하면 성공률이 20%나 떨어진다. 즉, 일반 사용자들도 실수를 통해 학습한다는 걸 알 수 있다.
2. 피싱 메일에 대한 보고 절차를 간단히 하면, 피싱 이메일의 링크를 실제로 클릭하는 사람들보다 훨씬 많은 사람들이 보고를 시작한다. 의외로 보안에 민감한 일반인들이 꽤나 있다는 뜻.
3. 이렇게 보고수가 실제적으로 늘어나면 탐지 성공률이 기하급수적으로 올라간다. 현재 기업들의 평균 탐지 소요 시간은 146일인데, 이게 1.2시간으로 크게 줄어든다고 밝혀진 것.
4. 또, 록키(Locky) 랜섬웨어가 연루되어 있는 피싱에 당하는 사용자가 제일 많은 것(21.5%)으로 나타났다. 그 뒤로 주문 증빙 서류(17%), 이력서(15.5%), 빈 이메일(11.9%)이 자주 나왔다. 힉비는 “록키 랜섬웨어가 잘 통할 수밖에 없는 게, 뭔가 사업적인 내용을 담은 듯한 이메일을 보내거든요. 보통 피싱 메일러들이 하는 철자 오류나 문법 오류가 좀처럼 없어요”라고 설명한다.
2. 이메일만 위험? 인기 많은 웹 사이트도 위험
한편 알렉사(Alexa)에서 선정한 세계 최대 웹 사이트 100만개 중 절반 가까이(46%)가 위험한 상태라는 보고서도 등장했다. 이 보고서는 보안 전문업체인 멘로 시큐리티(Menlo Security)에서 작성한 것으로 지난해에도 이맘 때 발표된 것이다. 당시 보고서에 의하면 최대 웹 사이트 100만 개 중 약 33%가 위험한 상태에 놓여 있으며, 20%에서 취약한 소프트웨어가 발견되었다. 즉, 올해 상태가 더 안 좋아진 것.
멘로 시큐리티는 작년과 달리 사용자가 탑 100만 웹 사이트 중 하나를 방문했을 때 브라우저가 백그라운드에서 생성하는 2천 5백만 개의 요청들까지도 계산에 넣었다. 즉, 사용자 모르게 기계들끼리 주고받는 수많은 요청들을 고려 대상에 넣은 것인데, 멘로의 CTO인 코우식 구루스와미(Kowsik Guruswamy)는 “사용자가 사이트를 하나 방문하는 동안 브라우저는 25개의 또 다른 사이트를 방문한다고 봐도 된다”고 설명한다.브라우저가 뒷단에서 방문하는 ‘백그라운드 사이트’들은 브라우저가 콘텐츠와 광고, 각종 트래커와 비콘에 액티브 콘텐츠를 제공한다.
그런데 이 백그라운드 사이트에 취약한 소프트웨어가 발견되거나, 이미 알려진 악성 요소들이 존재하거나, 지난 1년 동안 보안 사고가 있었거나 하면 ‘위험한 상태’라고 멘로는 판단했고, 이런 판단을 받은 사이트가 전체에서 46%에 달한다는 것이었다. 멘로 시큐리티는 46%라면 심각하게 높은 수치라고 설명한다.
멘로 시큐리티는 이 보고서를 통해 취약한 웹이 증가한 이유로 크게 세 가지를 들었다. 1) 웹 사이트는 여전히 공격하기가 쉽다. 2) 전통의 보안 제품들은 웹을 제대로 방어하지 못한다. 3) 피싱 공격의 진화로 기존의 합법적인 웹 사이트들도 공격이 가능해졌다. 하지만 구루스와미는 결국 “웹 서버 기술이 너무 구식이 되어 버렸다는 게 문제의 핵심”이라고 요약한다. “현재 탑 100만개 웹 사이트들의 서버에는 구닥다리 소프트웨어들이 돌아가고 있습니다. 이 탑 100만 사이트들 대부분 2000년도 경부터 인터넷에 존재했거든요. 덕분에 웹 방문자들이 위험해지고 있는 거죠.”
사이트의 성격으로 분류했을 때 뉴스와 미디어 사이트들이 가장 높은 위험도를 자랑했다. 전체 평균보다 훨씬 높은 50%가 위험한 것으로 판명된 것이다. 그 다음으로 사업 및 경제 관련 웹 사이트들이 높은 위험에 노출되어 있었다. “뉴스 및 경제 관련 사이트들은 보통 업체들이 사업을 하기 위해 가장 많이 방문하는 곳들 중 하나입니다. ‘유명한 사이트면 안전하겠지’라는 기본 전제를 부정해야만 하는 연구 결과가 아닐 수 없습니다.”
그러니 각 업체들의 보안 전문가들만 괴로워지는 것. “이러한 보고서가 나왔어요. 유명한 사이트들 100만개를 조사했더니 반이 위험하대요. 그러니 회사의 안전 차원에서는 목록을 공유하고 회사에서 접속을 금지시켜야 합니다. 하지만, 현실적으로 그럴 수 있나요? 절대 안 되죠. 뉴스를 못 보고 경제 관련 소식을 접할 수 없으면 업무가 안 되는 곳도 많으니까요.”
2017년에는 업체와 산업 시설들을 겨냥한 각종 공격들이 더 늘어날 전망이다. 그렇다면 사람들이 많이 방문하고 인기도 높으며 유명하기까지 한 웹 사이트들이라고 해서 보안 규정에 예외를 둘 수 없다는 뜻이다. 그러나 사업체들의 경쟁 또한 더 세질 것이기 때문에 그러한 측면에서 보자면 단순 ‘블록’ 조치만으로는 문제를 해결할 수 없게 된다. 깊은 딜레마다.
구루스와미는 “결국 이 문제는 직원들과 임원진, 보안 담당자들이 직접 머리를 맞대고 해결해야 하는 문제”라고 한다. “한쪽에서 일방적으로 접근을 차단시킨다든가, 아니면 무조건 생산성을 위해 안전을 뒷전으로 미룬다거나 하면 안 된다는 겁니다. 보안 담당자가 상황 설명을 하고, 직원들이 업무를 수행하기 위해 필요한 것들을 알려주고, 임원진들이 중간에서 조율을 하는 식으로 말입니다.”
“군대나 정부 조직들은 자신들만의 망을 따로 운영하죠? 인트라넷이라고 부르고 있으며, 그 인트라넷에 연결된 시스템들은 직접 인터넷에 연결할 수가 없게 되어 있죠. 특수한 과정과 절차를 거쳐야만 합니다. 아마 조만간 기업들에서도 이런 시스템이 정착되지 않을까요?”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
세계 최대 웹 사이트 100만개 중 절반이 사용자 위험하게 해
[보안뉴스 문가용 기자] 현대의 사이버 공격 대부분은 피싱 이메일을 클릭하는 것에서부터 시작한다. 최근 보안 전문업체인 피시미(PhishMe)는 올해 새로운 연구를 통해 사이버 공격의 91%가 피싱에서부터 출발한다는 결과를 얻어냈다. 그리고 그 이유를 분석했는데, 가장 많은 사람들이 호기심(13.7%), 공포(13.4%), 성급함(13.2%)을 꼽았다.
1. 피싱 이메일 공격
“공포와 성급함은 현대의 업무 환경에서 어쩔 수 없이 가지게 되는 심리상태입니다. 누구나 일을 못한다는 소리를 듣거나, 평판이 안 좋아지거나, 회사에서 쫓겨나면 어떻게 할까, 하는 걱정거리들을 가지고 있거든요. 그런 심리 때문에 뭐든 빨리 처리하려고 애쓰고, 그러다 보니 피싱 메일에 걸려드는 것이죠.” 피시미의 CTO인 아론 힉비(Aaron Higbee)의 설명이다.
피시미는 이번 연구를 위해 세계 곳곳의 고객사 약 천여 곳에 4천만 건의 가짜 피싱 이메일을 보냈다. 총 18개월에 걸쳐 진행된 이번 연구는 2016년 7월에서야 끝이 났고, 보고서 집필에만 또 수개월이 흘렀다고 한다. 이 연구를 통해 발견한 사실들로는 다음과 같은 것들이 있다.
1. 한 번 가짜 피싱 이메일 훈련이 진행된 조직에서 한 번 더 피싱 이메일 훈련을 실시하면 성공률이 20%나 떨어진다. 즉, 일반 사용자들도 실수를 통해 학습한다는 걸 알 수 있다.
2. 피싱 메일에 대한 보고 절차를 간단히 하면, 피싱 이메일의 링크를 실제로 클릭하는 사람들보다 훨씬 많은 사람들이 보고를 시작한다. 의외로 보안에 민감한 일반인들이 꽤나 있다는 뜻.
3. 이렇게 보고수가 실제적으로 늘어나면 탐지 성공률이 기하급수적으로 올라간다. 현재 기업들의 평균 탐지 소요 시간은 146일인데, 이게 1.2시간으로 크게 줄어든다고 밝혀진 것.
4. 또, 록키(Locky) 랜섬웨어가 연루되어 있는 피싱에 당하는 사용자가 제일 많은 것(21.5%)으로 나타났다. 그 뒤로 주문 증빙 서류(17%), 이력서(15.5%), 빈 이메일(11.9%)이 자주 나왔다. 힉비는 “록키 랜섬웨어가 잘 통할 수밖에 없는 게, 뭔가 사업적인 내용을 담은 듯한 이메일을 보내거든요. 보통 피싱 메일러들이 하는 철자 오류나 문법 오류가 좀처럼 없어요”라고 설명한다.
2. 이메일만 위험? 인기 많은 웹 사이트도 위험
한편 알렉사(Alexa)에서 선정한 세계 최대 웹 사이트 100만개 중 절반 가까이(46%)가 위험한 상태라는 보고서도 등장했다. 이 보고서는 보안 전문업체인 멘로 시큐리티(Menlo Security)에서 작성한 것으로 지난해에도 이맘 때 발표된 것이다. 당시 보고서에 의하면 최대 웹 사이트 100만 개 중 약 33%가 위험한 상태에 놓여 있으며, 20%에서 취약한 소프트웨어가 발견되었다. 즉, 올해 상태가 더 안 좋아진 것.
멘로 시큐리티는 작년과 달리 사용자가 탑 100만 웹 사이트 중 하나를 방문했을 때 브라우저가 백그라운드에서 생성하는 2천 5백만 개의 요청들까지도 계산에 넣었다. 즉, 사용자 모르게 기계들끼리 주고받는 수많은 요청들을 고려 대상에 넣은 것인데, 멘로의 CTO인 코우식 구루스와미(Kowsik Guruswamy)는 “사용자가 사이트를 하나 방문하는 동안 브라우저는 25개의 또 다른 사이트를 방문한다고 봐도 된다”고 설명한다.브라우저가 뒷단에서 방문하는 ‘백그라운드 사이트’들은 브라우저가 콘텐츠와 광고, 각종 트래커와 비콘에 액티브 콘텐츠를 제공한다.
그런데 이 백그라운드 사이트에 취약한 소프트웨어가 발견되거나, 이미 알려진 악성 요소들이 존재하거나, 지난 1년 동안 보안 사고가 있었거나 하면 ‘위험한 상태’라고 멘로는 판단했고, 이런 판단을 받은 사이트가 전체에서 46%에 달한다는 것이었다. 멘로 시큐리티는 46%라면 심각하게 높은 수치라고 설명한다.
멘로 시큐리티는 이 보고서를 통해 취약한 웹이 증가한 이유로 크게 세 가지를 들었다. 1) 웹 사이트는 여전히 공격하기가 쉽다. 2) 전통의 보안 제품들은 웹을 제대로 방어하지 못한다. 3) 피싱 공격의 진화로 기존의 합법적인 웹 사이트들도 공격이 가능해졌다. 하지만 구루스와미는 결국 “웹 서버 기술이 너무 구식이 되어 버렸다는 게 문제의 핵심”이라고 요약한다. “현재 탑 100만개 웹 사이트들의 서버에는 구닥다리 소프트웨어들이 돌아가고 있습니다. 이 탑 100만 사이트들 대부분 2000년도 경부터 인터넷에 존재했거든요. 덕분에 웹 방문자들이 위험해지고 있는 거죠.”
사이트의 성격으로 분류했을 때 뉴스와 미디어 사이트들이 가장 높은 위험도를 자랑했다. 전체 평균보다 훨씬 높은 50%가 위험한 것으로 판명된 것이다. 그 다음으로 사업 및 경제 관련 웹 사이트들이 높은 위험에 노출되어 있었다. “뉴스 및 경제 관련 사이트들은 보통 업체들이 사업을 하기 위해 가장 많이 방문하는 곳들 중 하나입니다. ‘유명한 사이트면 안전하겠지’라는 기본 전제를 부정해야만 하는 연구 결과가 아닐 수 없습니다.”
그러니 각 업체들의 보안 전문가들만 괴로워지는 것. “이러한 보고서가 나왔어요. 유명한 사이트들 100만개를 조사했더니 반이 위험하대요. 그러니 회사의 안전 차원에서는 목록을 공유하고 회사에서 접속을 금지시켜야 합니다. 하지만, 현실적으로 그럴 수 있나요? 절대 안 되죠. 뉴스를 못 보고 경제 관련 소식을 접할 수 없으면 업무가 안 되는 곳도 많으니까요.”
2017년에는 업체와 산업 시설들을 겨냥한 각종 공격들이 더 늘어날 전망이다. 그렇다면 사람들이 많이 방문하고 인기도 높으며 유명하기까지 한 웹 사이트들이라고 해서 보안 규정에 예외를 둘 수 없다는 뜻이다. 그러나 사업체들의 경쟁 또한 더 세질 것이기 때문에 그러한 측면에서 보자면 단순 ‘블록’ 조치만으로는 문제를 해결할 수 없게 된다. 깊은 딜레마다.
구루스와미는 “결국 이 문제는 직원들과 임원진, 보안 담당자들이 직접 머리를 맞대고 해결해야 하는 문제”라고 한다. “한쪽에서 일방적으로 접근을 차단시킨다든가, 아니면 무조건 생산성을 위해 안전을 뒷전으로 미룬다거나 하면 안 된다는 겁니다. 보안 담당자가 상황 설명을 하고, 직원들이 업무를 수행하기 위해 필요한 것들을 알려주고, 임원진들이 중간에서 조율을 하는 식으로 말입니다.”
“군대나 정부 조직들은 자신들만의 망을 따로 운영하죠? 인트라넷이라고 부르고 있으며, 그 인트라넷에 연결된 시스템들은 직접 인터넷에 연결할 수가 없게 되어 있죠. 특수한 과정과 절차를 거쳐야만 합니다. 아마 조만간 기업들에서도 이런 시스템이 정착되지 않을까요?”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
.jpg)
 TH.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
