운송업은 데이터 유출이 가장 많이 발생하는 상위 10개 산업 중 하나입니다. 여러분도 상상할 수 있겠지만, 북미 최대 운송 및 물류 기업 중 하나인 Werner Enterprises에서는 이 문제를 중시하며 집중하고 있습니다. 제가 이끄는 혁신 부서인 Werner EDGE에서 우리의 책임은 정교하고 안전한 네트워크를 통해 상품이 계속 이동하도록 하는 것이며, 여기에는 우리 부서의 대규모 인력을 보호하는 것까지 확대되어야 하는 사이버 보안에 대한 접근 방식도 포함됩니다.
이를 위해 우리는 대부분의 유출 사고의 근본 원인인 피싱에 대한 우리의 접근 방식에 경각심을 가져야 합니다. 실제로 기업에서 사이버 보안 교육을 강화하고 있음에도 불구하고 유출 사고 4건 중 3건은 여전히 '인적 요인'이 원인인 것으로 나타났습니다. 직원 하나가 악의적 링크를 한 번만 클릭해도 회사 전체가 위험에 처할 수 있습니다. 예를 들어, FBI에 따르면 비즈니스 이메일 손상으로 인해 현재까지 500억 달러 이상의 비용이 발생했다고 합니다. 악의적인 행위자들은 점점 더 정교한 방법을 사용하여 기업에 침투하고 있으며, AI는 공격자들이 공격의 속도와 범위를 가속화하는 데 도움을 주고 있습니다.
다시 말해, 피싱 문제는 사라지지 않고 있습니다. 네트워크 아키텍처와 보안이 아무리 강력해도 취약한 연결 고리는 항상 존재하며, 그 취약점은 대개 한 개인일 수 있습니다. 한순간의 실수가 조직 전체에 재앙을 불러올 수 있습니다. 따라서 이러한 (인적) 방어선을 강화하기 위해 보안 인식 교육을 총체적으로 조정해야 한다는 것이 점점 더 분명해지고 있습니다.
개인적인 차원에서 사이버 보안은 몇 가지 간단한 습관을 실천하는 것입니다. 길을 건널 때 양쪽을 모두 살피는 법을 배우는 것처럼, 이메일에 답장을 보내거나 링크를 클릭하기 전에 이메일을 꼼꼼히 읽고 이메일 주소를 확인하는 것이 습관이 되어야 합니다. Werner에서는 일반적으로 45~60분 동안 진행되는 필수 연례 교육 세션을 포함하여 1년에 7~8회의 보안 교육을 실시합니다. 교육에서는 비교적 간단하고 직관적이며 기본적인 내용을 다룹니다. 또한 새로운 위협이 등장할 때마다 모든 사람이 최신 정보를 얻을 수 있도록 분기별 보수교육과 5~7분 길이의 수시 교육을 실시합니다. 이들 교육 또한 필수 사항입니다.
연중 보안 교육을 실시하는 것은 여러 가지 이유로 모범 사례입니다.
규제 준수 관점에서 보험사에서는 지속적인 교육을 요구합니다.
위협 환경은 끊임없이 변화하고 있습니다. 악의적인 행위자들은 가장 경계를 늦추지 않는 사용자를 속일 수 있는 새로운 방법을 끊임없이 찾아내고 있으며, 직원들은 최신 수법을 숙지해야 합니다.
시간이 지날수록 경계를 늦추는 것은 인간의 본성입니다. 교육은 피싱 및 기타 위협을 심각하게 받아들이도록 상기시키는 역할을 합니다.
우리는 많은 모범 사례를 교육 관행에 도입했지만, 제대로 작동하지 않는 몇 가지 사항도 확인했습니다.
가장 성공률이 낮은 전략은 시정 교육이었습니다. 직원이 알려진 피싱 링크를 클릭하면 우리가 아웃바운드 커뮤니케이션을 차단하고 문제가 되는 콘텐츠에 응답한 사용자를 식별할 수 있습니다. 그런 다음 사기에 당한 사람에게 하지 말아야 할 행동에 대해 간단하게 다시 알려줍니다.
하지만 몇 주 지나지 않아 같은 사람이 또 다른 피싱 시도에 속아 넘어가는 것을 발견했습니다. 시정 교육을 받은 사람 중 약 70%가 이후에도 피싱 시뮬레이션 테스트에 실패한 것으로 추정됩니다.
상습 실패자들과 이야기를 나누다 보니 새로운 관점이 생겼습니다. 어떤 사람은 추가 교육으로 인해 벌을 받는다고 느꼈고, 어떤 사람은 교육으로 인해 이메일을 읽거나 Word 문서를 여는 등 업무에 필요한 기본적인 작업을 하는 데 더 긴장하게 되었다고 이야기했습니다.
지속적인 인식 교육이 사기꾼보다 앞서 나가기 위한 중요한 방법이지만, 저는 처벌 조치가 그다지 성공적이지 않다는 결론을 내렸습니다. 사이버 보안을 담당하는 사람이라면 누구나 직원들의 시간을 존중하면서 직원들이 자신의 행동에 주의를 기울이도록 장려할 수 있는 매력적인 방법을 찾아야 합니다.
최상의 반응을 얻으려면 채찍이 아니라 당근이 필요합니다.
게임을 이용한 보안 교육 은 의심스러운 커뮤니케이션 신고와 같은 바람직한 행동에 대해 긍정적인 강화를 유도하고 보상을 제공하는 한 가지 방법입니다. 예를 들어, 리더보드, 현금 보상, 기프트 카드, 회사 기념품 등의 인센티브를 제공하면 바쁜 동료들이 교육을 더 잘 받고 진화하는 피싱 위협에 대해 더 많이 알고 싶어하도록 실질적인 동기를 부여할 수 있습니다.
교육 개선은 동전의 한쪽 면일 뿐입니다. 언젠가는 누군가가 방심하게 마련이므로 조직에서는 지속해서 사이버 보안 태세를 강화할 준비가 되어 있어야 합니다.
인적 실수와 부주의는 기업의 보안을 위협하는 가장 큰 두 가지 요소입니다. 이러한 위협을 완전히 제거하는 것은 불가능하지만, 기술을 안전망으로 활용하여 통과하는 것을 최소화할 수 있습니다.
Zero Trust 접근 방식에서부터 시작하여 기업에서는 다단계 인증(MFA) 및 선제적 이메일 보안(이미지 스캔을 위한 광학 문자 인식 포함)과 같은 예방 도구를 활용하여 IT 및 보안 부서의 부담을 덜어 줄 수 있습니다.
엔드포인트 보안 도구를 사용하여 네트워크에서 감염된 장치를 격리하고 제거하는 작업을 자동화하는 것도 중요합니다. 사기꾼이 공격에 AI를 활용하는 것처럼, 비즈니스 커뮤니티에서도 AI를 적용하여 보안 유출에 훨씬 더 빠르게 식별하고 대응해야 합니다. 이러한 기술을 활용할 수 있는 모든 기업은 보안 유출을 예방할 확률이 높아집니다.
사이버 보안은 모든 기반을 포괄하는 것이 중요합니다. Werner에서는 윤리적 해커를 고용하여 외부에서 네트워크에 대한 공격을 시도하는 레드팀 테스트를 포함하여 정기적으로 모의 침투 테스트를 실시합니다. 이 테스트는 취약점을 찾는 데 도움이 됩니다.
우리의 레드팀은 물리적 보안도 테스트합니다. 이들은 주차장을 돌아다니며 뒷좌석에 노트북, 배낭, 서류가 있는 잠기지 않은 차량이 있는지 확인합니다. 이들은 마그네틱 카드를 스와이프하거나 배지를 스캔하여 입장하는 사람들을 따라 건물에 들어갑니다. 이들은 또 잠금 해제된 노트북과 방치된 노트북 및 스마트폰을 확인하고 해당 장치에서 파일을 훔칠 수 있는지 확인합니다. 이러한 테스트 결과를 공유하면 사이버 보안 문제와 거리가 멀다고 느낄 수 있는 직원들에게 경각심을 불러일으킬 수 있습니다.
모든 IT 리더는 보안 침해로 인한 재정, 운영, 평판 측면의 비용을 인식하고 있으며, 보안 기술에 소홀히 할 수 없다는 것을 알고 있습니다. 문제는 조직의 모든 구성원이 위협에 대해 똑같이 경계를 늦추지 않도록 하는 것입니다.
저는 행동, 긴급성, 단순함이 중요하다고 생각합니다. 기업은 경쟁력을 유지하기 위해 IT 혁신에 발맞춰 나가야 하지만, 너무 빠르게 움직이다 보면 보안의 기본을 잊어버릴 수 있습니다. 운영, 시스템, 인프라의 모든 측면을 최적화하면 인적 오류를 줄일 수 있을 뿐만 아니라 자본 및 운영 비용을 절감하여 사이버 보안에 더 많은 자금과 리소스를 할당할 수 있으므로 예산이 허용하는 한도까지 강력한 사이버 보안을 구축할 수도 있습니다.
피싱은 기업에 수백만 달러의 비용을 초래하고, 생산을 중단시키며, 서비스를 중단시키고, 고객을 소외시키며, 기업을 폐업으로 몰고 갈 수 있습니다. 조직에서 사이버 보안에 대한 '비용 절감'을 시도하거나 직원 교육을 줄이면 모든 것이 위험에 처하게 됩니다. 대신 보안을 운영과 문화에 필수적인 요소로 만들어 악의적인 공격이 발생했을 때 직원과 비즈니스에 맞서 싸울 기회를 제공하세요. 우리 회사의 건강과 안전에는 이런 것이 필요합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Daragh Mahon - @daraghmahon
Werner Enterprises EVP 겸 CIO
이 글을 읽고 나면 다음을 이해할 수 있습니다.
운영과 문화는 보안에 필수적임
교육, 침투 테스트, 솔루션의 균형을 유지하여 공격에 대비하는 방법