기술 세계는 사이버 보안을 포함하여 큰 약속으로 가득 차 있습니다. 손가락 클릭 한 번으로 모든 사이버 보안 문제를 해결할 수 있는 간단하고 빠른 해결책에 대한 약속을 몇 번이나 들어보셨나요?

모든 사이버 보안 문제를 해결할 수 있는 만병통치약에 대한 약속은 이미 여러 번 들어본 적이 있을 것입니다.

AI 기반 솔루션일 수도 있고, 새로운 관리 도구일 수도 있으며... 항상 타협하지 않는 약속이 함께 제공됩니다. 하지만 사이버 보안의 가장 큰 과제 중 하나는 더 많은 기술을 투입한다고 해서 해결될 수 있는 것이 아니기 때문에 이러한 도구는 결코 큰 기대치를 충족시키지 못합니다.

무슨 이야기인가요? 사이버 보안의 인적 요소를 말하는 것입니다. 이는 사이버 보안의 핵심 구성 요소로, 손가락 클릭 한 번으로 모든 마법 같은 사이버 보안 도구를 완전히 무력화시킬 수 있습니다.

경계 방화벽, MFA 등은 모두 이러한 인적 요소를 완화하는 데 유용한 도구입니다. 그럼에도 불구하고 재앙을 불러올 수 있다는 점에서 인간의 행동은 가장 정교한 사이버 보안 도구보다 우위에 있습니다.

이 중 어느 것도 놀라지 않을 것입니다.

인간이 사이버 보안의 약점이라는 사실은 누구에게도 새로운 사실이 아닙니다. 하지만 이상하게도 실제 사건을 보면 동일한 사회공학적 주제를 몇 번이고 다시 떠올리게 됩니다. 

록스타 게임즈와 우버는 소셜 엔지니어링으로부터 안전하다고 생각했던 기업 중 최근 두 가지 사례에 불과합니다.

안타깝게도 사이버 보안 솔루션을 집중적으로 사용했음에도 불구하고 최근 두 회사 모두 직원의 속임수에 넘어가 기업 사이버 보안 정책에 단호히 위배되는 행동을 한 탓에 사이버 보안 공격의 피해자가 되었습니다.

이러한 성공적인 공격을 자세히 살펴보면 문을 열어준 사람이 사이버 보안 모범 사례에 대해 들어본 적이 있는지 궁금해집니다.

두 공격 모두 특별히 복잡한 공격은 아니었습니다. 두 공격 모두 간단한 소셜 엔지니어링 전략으로 이루어졌습니다. 다음과 같이 말이죠: "밥, 저는 IT 부서에서 왔습니다. 빠르게 도구를 실행해야 하는데, 이 링크를 클릭해 주셔야 PC의 일상적인 문제를 해결할 수 있습니다."

언제 배울 수 있을까요...?

20년 전만 해도 소셜 엔지니어링은 사이버 범죄자들의 주요 도구였으며, 지금도 마찬가지입니다. 지난 수십 년 동안 소셜 엔지니어링에 대해 배운 것이 거의 없는 것과 마찬가지입니다.

정부 부처나 소매업체와 같은 조직에서 일하는 사람들이 이러한 수법에 속을 수 있다는 것은 충분히 예상할 수 있는 일이라고 할 수 있습니다. 하지만 세계 유수의 기술 기업에서 일하는 사람들은 소셜 엔지니어링에 대한 면역력이 더 높아야 합니다.

하지만 세계에서 가장 똑똑한 직원을 보유한 두 거대 기술 기업이 소셜 엔지니어링 공격에 당했습니다. Uber와 Rockstar Games의 직원들이 더 잘 알고 있을 것이라고 생각할 수 있습니다.

더 큰 문제는 두 회사의 규모와 유명세를 고려할 때, 그곳에서 근무하는 직원들이 광범위한 사이버 보안 교육을 받았을 것이 거의 확실하다는 점입니다. 그럼에도 불구하고 Uber와 Rockstar의 누군가는 해커의 플레이북에서 가장 오래된 수법에 속아 넘어갔을 것입니다.

우연한 사건의 조합으로 인해 해당 사용자가 사이버 보안 교육 중 핵심적인 교훈을 전혀 흡수하지 못했을 가능성이 완전히 있습니다. 너무 바빴거나, 수업을 건너뛰었거나... 아니면 다른 이유가 있을 수 있습니다.

하지만 뉴스에서 소셜 엔지니어링 공격의 성공 사례를 자주 접할 수 있다는 점을 고려할 때, 여전히 "이메일의 링크를 클릭해서는 안 된다는 사실을 몰랐다"고 말하는 사람에게는 심각한 의문을 제기할 수밖에 없습니다.

메시지를 일관되게 강화하는 것이 여전히 최선의 선택입니다.

사이버 보안 도구는 모든 종류의 사이버 보안 문제에 대한 마법의 총알을 제공할 수 있지만, 인적 요소로 인해 발생하는 위험을 없애는 마법의 총알은 없습니다. 사용자는 계속해서 실수를 할 것입니다. 악의적인 공격자에게 기회를 제공하는 부주의한 순간은 항상 존재합니다.

인간 행동으로 인한 위험으로부터 안전한 조직은 없습니다. 세계에서 가장 기술에 정통한 일부 기업에서 일어나는 일만 봐도 알 수 있습니다. 

사이버 보안 방어 전략은 조직을 보호하기 위해 최선을 다할 것이지만, 사용자에게 실수로 백도어를 열지 않도록 하는 방법을 가르치는 지속적인 강화가 최우선 전략으로 남아 있어야 합니다.

이러한 지속적인 교육 강화는 기술 팀에게도 중요합니다. 권한 관리, 패치 적용 및 조직의 보안 태세를 전반적으로 일관되게 유지하는 것의 중요성을 강조해야 합니다.

하루가 끝나면 어디선가 실수로 클릭해서는 안 되는 것을 클릭하는 사용자가 있을 수 있다는 위험은 여전히 남아 있습니다. 하지만 사이버 보안에서 항상 그렇듯이 효과적인 보호는 문제가 발생할 위험을 최소화하기 위해 가능한 한 많은 조치를 취하는 것입니다.

사이버 보안 문제를 야기하는 인적 오류를 방지하려면 지속적이고 지속적인 사이버 보안 교육이 최선의 방법입니다.

요약

기사 이름

사이버 보안의 가장 취약한 고리를 고칠 수 있을까요?

설명

손가락 클릭 한 번으로 모든 사이버 보안 문제를 해결할 수 있는 간단하고 빠른 해결책이 있다는 말을 몇 번이나 들어보셨나요?

작성자

조아오 코레이아

게시자 이름

턱시도 케어

게시자 로고