2024 KISA 을지 연습 사이버보안 5가지 원칙

오늘 8월 12일부터 22일까지 KISA가 국내 기업 등을 대상으로 사이버 위기 대응 모의훈련과 대국민 보안수칙 홍보를 시작한다. 을지라는 단어를 군대에서만 보다가 오래간만에 보니 괜히 반갑다.

 

사이버 위기 대응 모의훈련은 118개 기업 26,828명의 임직원이 참여 의사를 밝혔다고 한다. 훈련 내용으로는 ① 해킹 메일 대응 ② DDoS 공격 및 대응 점검 ③ 주요 취약점 공격에 대한 탐지 · 대응 능력 점검으로, 결과에 따라 조치안을 받아볼 수 있다. 너무나 통상적인 훈련이면서, 그러면서도 너무나 필요한 훈련이기도 하다.

 

컨설팅을 하면서 느낀 게 하나 있는데, 사업 내용에 모의해킹 같은 훈련 및 교육 내용이 있다고 한들, 실질적으로 하기 어렵다는 것이다. 예를 들어, NAVER에서 보낸 것처럼 가장을 해서 훈련을 한다고 하자. 당연히 대상으로 하는 조직의 보안 담당자 극소수를 제외하고는 이 내용이 알려져서는 안 된다. 그러면 훈련이 진행되지 않기 때문이다. 근데 문제는 우리가 NAVER로 가장을 해서 보내고, 실제로 몇몇 임직원이 낚였을 때 발생한다. 간혹 낚인 몇몇 임직원은 실제로 네이버에 전화를 하는 것이다. 그래서 따지기 시작하는 것이고, 이게 문제가 될 수 있다. 훈련 목적이기는 하지만, 우리가 네이버를 사칭했기 때문이다. 상표의 문제가 발생하게 되고, 그래서 애당초 NAVER를 완전히 피하기 위해 V를 로마자 Ⅴ로 대체한다고 해도, 이 문제는 여전히 남아있다. 그래서 울며 겨자먹기로 선택하게 되는 게 NEVER가 되는 것이다. 그러면 낚이는 사람이 항의를 한다고 한들, 너무나 티가 나는 NEVER이기 때문에 우리도 법적인 문제를 피해갈 수 있게 된다. 그런데 앞에서 말했듯, 너무 티가 나는 게 문제다. NEVER라고 하면 대체 누가 낚일 것이며, 그게 훈련이 되냐는 것이다. 그럼 결국 모의해킹 훈련은 나가리가 되는 셈이다. 훈련을 위한 훈련이 된달까? 그렇다고 아예 임직원들에게 익숙하지 않은 Gutilog에서 보낸다고 하면 당연히 스팸이겠거니 할 거고 말이다. 이런 게 컨설팅에서의 모의해킹 훈련의 한계이지 않을까 싶은데, KISA라면 더욱 현실적인 훈련을 수행할 수 있지 않을까 싶다.

 

 

대국민 보안수칙 홍보로는 ① 안전한 비밀번호 설정 ② 스미싱 실행 자제 및 확인 안내 ③ 중요자료 복사(백업) 및 암호 설정 ④ 주기적 갱신 ⑤ 백신 프로그램 활용이 있다.

 

갈수록 불특정 대상을 겨냥하는 공격이 아닌, 특정 대상을 타겟으로 하여 치밀한 공격을 수행하는 스피어피싱, 랜섬웨어 공격 등 다양한 공격이 발생하고 있기 때문에 더욱 개인 차원에서의 보안을 강화할 필요가 있다는 것이다.

 

① 안전한 비밀번호 설정: 비밀번호에 관해서는 해당 사이트 영문 주소 활용 또는 가운데 쉼표(,)를 넣고 이중 인증 설정을 하라고 되어있다. 그런데 솔직히 이중설정을 한다는 것은 엄청난 귀차니즘을 동반하는 일이다. 그래서 부끄럽지만 나도 잘 하지 않게 된다. 그런데 단 하나 내가 잘하고 있는 게 있다면, 나는 모든 사이트의 비밀번호를 다르게 하고 있다는 것이다. 나만의 규칙을 만들었기 때문에 비밀번호가 전부 달라도 헷갈릴 일이 없다. 이 글을 보는 사람이 있다면, 본인도 본인만의 규칙을 만들어서 비밀번호를 제각각 다르게 해보는 게 어떨까 싶다.

 

② 스미싱 실행 자제 및 확인 안내: 나는 1년 전에 보이스피싱 전화를 받은 적이 있다. 되돌아 보면 전화 내용 중 이상한 게 수차례 있었다. 그런데 당시에는 당황해서 그것들을 모두 잡아내지 못했고, 다행히 1가지가 너무 이상해서 보이스피싱이란 점을 확신하게 됐다. 굳이 네이버나 구글 검색창에 ㅇㅇㅇ를 검색해서 들어가라는 게 아닌, 주소창에 검색을 하는 것을 알려주는 게 너무 말이 안된다고 생각했던 것이다. 그래서 피해를 입지 않을 수 있었는데, 그 사건 이후로 경각심을 더 갖게 되었다. 무슨 일이 있어도 링크는 절대 클릭하지 않는다. 그러면서도 생각이 드는 게, 나는 여기서 글을 올리면서 출처 링크를 올릴 때가 많은데, 누르지 않는 분들이 많겠다 싶은 것이다. 사실 그분들이 누를 필요는 없다. 그저 내가 떳떳하고자 링크를 남기는 것이니 말이다.

 

③ 중요자료 복사(백업) 및 암호 설정: 공유 폴더는 우리 회사에서도 못 쓰게 하고 있다. 아마 요즘엔 거의 NAS로 하지 않을까 싶다. 물론 그거라고 해서 그렇다고 안전한 것은 아니지만 말이다. 그래도 공유폴더 보다야 낫긴 하니.. 중요자료에 대해서도 암호화를 하고는 있으니 나름 잘 하고 있는 것 같다.

 

④ 주기적 갱신: 사실 이 부분은 반성해야 할 부분이다. 내가 그다지 잘 수행하고 있지 않은 분야다. 나는 쓸데없는 업데이트, 그로 인한 PC에 부담이 생기는 것을 그다지 선호하지 않기 때문이다. 업데이트 제목만 보고 넘어가는 경우가 부지기수였는데, 업데이트 내용을 따져보고 보안에 관련된 내용이면 가능한 업데이트를 하는 쪽으로 해야겠다 싶다.

 

⑤ 백신 프로그램 활용: 이거야 뭐 자동 업데이트가 설정되어 있다. 문제가 있다면, 내가 사용하는 프로그램이 무료 버전이라는 점...? 보안 담당자들이 매번 외치는 소리가 왜 항상 예산을 미리 배정 안하고 사건을 터지면 그제서야 배정해서 외양간을 고치냐는 것인데.. 나도 그러고 있다. 저렴한 lite 버전이라도 구독을 해야 하겠구나 싶다. 비싼 것도 아니니 말이다.

 

 

 

출처: https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=238&bbsSeqNo=94&nttSeqNo=3184810