지난 10년 동안 수천 명을 피싱해온 라이언 라이트Ryan Wright와 매튜 젠슨Matthew Jensen은 당분간 하던 일을 그만둘 계획이 없다.
하지만 이들이 다른 사람의 귀중한 자료나 돈을 노리는 해커는 아니다. 이들은 사람들이 피싱 공격에 자주 속아 넘어가는 이유와, 이런 위협을 막기 위해 조직에서 할 수 있는 일을 알아내기 위해 전 세계 기업, 정부, 대학과 함께 일하는 연구자다.
피싱은 전체 데이터 침해 사건의 90%를 차지한다. 기업의 보안 부서는 이에 대비해 직원들을 교육하는 데 많은 애를 쓴다. 그럼에도 직원들은 본인들이 받는 사기성 이메일의 약 30%를 열어본다. 일단 피싱 공격이 성공하면 피해규모는 미국에서 평균 380만 달러(약 45억 원)에 이를 정도로 막심하다. 그리고 이런 공격은 사이버 범죄자들이 팬데믹으로 인한 혼란과 재택근무자가 급증하는 추세를 이용하면서 더 늘어날 수 있다. 집에서는 아무래도 산만해서 경계를 늦추기 십상이기 때문이다.
버지니아대 경영학과 교수 라이트와 오클라호마대 경영정보시스템학과 부교수 젠슨은 자신들의 연구를 토대로 보안교육 효과를 강화 하는 몇 가지 방법을 찾아냈다.
명상 요소를 가미하라. 많은 조직이 직원들에게 보통 1년에 한두 번씩 정기적으로 정규 교육 모듈을 이수하도록 한다. 연구진은 이 방법이 직원들에게 일반적인 피싱 위협에 대해 경고하고, 받은 메시지가 피싱인지 아닌지 판단하기 위한 기본 지침을 제공하는 데 유용하다고 말한다. 하지만 순전히 이런 규칙 기반의 교육을 반복한다고 해서 피싱 공격에 대한 방어력이 높아지는 건 아니라고 경고한다. 실제로 어느 정도 시간이 지나면 직원들은 훈련에 둔감해지고, 자신들이 이런 수업에 통달했다고 오인해서 역효과가 날 수 있다.
문제는 이런 규칙 기반 훈련이 ‘시스템 1 사고System 1 thinking’라 불리는 사고방식을 촉진한다는 것이다. 노벨상을 수상한 심리학자 대니얼 카너먼이 이름 붙인 ‘시스템 1 사고’는 빠르고 무의식적인 사고 모드를 말한다. 이런 사고는 효율적이지만, 경솔한 의사결정을 낳을 수 있고 직원들이 규칙에서 벗어나는 공격에 취약하게 만든다. “직원들에게 끊임없이 변화하는 수많은 단서를 외우라고 하는 대신 명상 교육을 추가하는 더 종합적인 방침을 취할 수 있습니다.” 라이트 교수는 말한다. 목표는 더 논리적이고 분석적인 사고방식, 즉 ‘시스템 2 사고System 2 thinking’를 장려하는 것이다.
대학생과 교직원 등 355명이 참여한 현장조사에서, 연구진과 동료들은 모두 기초 보안교육을 받은 세 그룹의 참가자들을 비교했다. 첫 번째 그룹은 추가적인 규칙 기반 지시를 받았다. 두 번째 그룹은 명상에서 쓰는 간단한 기법을 사용하도록 교육했다. 즉, 이메일에서 어떤 행동을 요구하면 잠시 멈추고, 요구의 성격, 시기, 목적, 적절성을 고려하고, 의심스러운 점이 있으면 제3자와 상담하게 했다. 세 번째 그룹은 아무런 추가 교육도 받지 않았다. 열흘 뒤 연구진은 모의 피싱 공격을 개시했다. 추가로 규칙 기반 교육을 받은 사람의 13%, 아무런 추가 교육도 받지 않은 사람의 23%가 피싱에 속아 넘어갔다. 하지만 명상 기법을 교육받은 사람은 7%만이 피싱의 희생양이 됐다. 연구진의 동료 크리스토퍼 응우옌Christopher Nguyen이 진행한 후속 연구에서도 비슷한 결과가 나왔고, 강화된 방어력은 몇 달 동안 지속됐다.