헤더 바로가기 메뉴 바로가기 푸터 바로가기
운영관리 & 재무회계

피싱 공격에 대한 방어력을 키워라 外

매거진
2020. 9-10월호
017
IN THEORY

직원교육을 조금만 바꾸면 결과를 개선할 수 있다.

지난 10년 동안 수천 명을 피싱해온 라이언 라이트Ryan Wright와 매튜 젠슨Matthew Jensen은 당분간 하던 일을 그만둘 계획이 없다.

하지만 이들이 다른 사람의 귀중한 자료나 돈을 노리는 해커는 아니다. 이들은 사람들이 피싱 공격에 자주 속아 넘어가는 이유와, 이런 위협을 막기 위해 조직에서 할 수 있는 일을 알아내기 위해 전 세계 기업, 정부, 대학과 함께 일하는 연구자다.

피싱은 전체 데이터 침해 사건의 90%를 차지한다. 기업의 보안 부서는 이에 대비해 직원들을 교육하는 데 많은 애를 쓴다. 그럼에도 직원들은 본인들이 받는 사기성 이메일의 약 30%를 열어본다. 일단 피싱 공격이 성공하면 피해규모는 미국에서 평균 380만 달러(약 45억 원)에 이를 정도로 막심하다. 그리고 이런 공격은 사이버 범죄자들이 팬데믹으로 인한 혼란과 재택근무자가 급증하는 추세를 이용하면서 더 늘어날 수 있다. 집에서는 아무래도 산만해서 경계를 늦추기 십상이기 때문이다.

버지니아대 경영학과 교수 라이트와 오클라호마대 경영정보시스템학과 부교수 젠슨은 자신들의 연구를 토대로 보안교육 효과를 강화 하는 몇 가지 방법을 찾아냈다.

018
명상 요소를 가미하라. 많은 조직이 직원들에게 보통 1년에 한두 번씩 정기적으로 정규 교육 모듈을 이수하도록 한다. 연구진은 이 방법이 직원들에게 일반적인 피싱 위협에 대해 경고하고, 받은 메시지가 피싱인지 아닌지 판단하기 위한 기본 지침을 제공하는 데 유용하다고 말한다. 하지만 순전히 이런 규칙 기반의 교육을 반복한다고 해서 피싱 공격에 대한 방어력이 높아지는 건 아니라고 경고한다. 실제로 어느 정도 시간이 지나면 직원들은 훈련에 둔감해지고, 자신들이 이런 수업에 통달했다고 오인해서 역효과가 날 수 있다.

문제는 이런 규칙 기반 훈련이 ‘시스템 1 사고System 1 thinking’라 불리는 사고방식을 촉진한다는 것이다. 노벨상을 수상한 심리학자 대니얼 카너먼이 이름 붙인 ‘시스템 1 사고’는 빠르고 무의식적인 사고 모드를 말한다. 이런 사고는 효율적이지만, 경솔한 의사결정을 낳을 수 있고 직원들이 규칙에서 벗어나는 공격에 취약하게 만든다. “직원들에게 끊임없이 변화하는 수많은 단서를 외우라고 하는 대신 명상 교육을 추가하는 더 종합적인 방침을 취할 수 있습니다.” 라이트 교수는 말한다. 목표는 더 논리적이고 분석적인 사고방식, 즉 ‘시스템 2 사고System 2 thinking’를 장려하는 것이다.

대학생과 교직원 등 355명이 참여한 현장조사에서, 연구진과 동료들은 모두 기초 보안교육을 받은 세 그룹의 참가자들을 비교했다. 첫 번째 그룹은 추가적인 규칙 기반 지시를 받았다. 두 번째 그룹은 명상에서 쓰는 간단한 기법을 사용하도록 교육했다. 즉, 이메일에서 어떤 행동을 요구하면 잠시 멈추고, 요구의 성격, 시기, 목적, 적절성을 고려하고, 의심스러운 점이 있으면 제3자와 상담하게 했다. 세 번째 그룹은 아무런 추가 교육도 받지 않았다. 열흘 뒤 연구진은 모의 피싱 공격을 개시했다. 추가로 규칙 기반 교육을 받은 사람의 13%, 아무런 추가 교육도 받지 않은 사람의 23%가 피싱에 속아 넘어갔다. 하지만 명상 기법을 교육받은 사람은 7%만이 피싱의 희생양이 됐다. 연구진의 동료 크리스토퍼 응우옌Christopher Nguyen이 진행한 후속 연구에서도 비슷한 결과가 나왔고, 강화된 방어력은 몇 달 동안 지속됐다.

아티클을 끝까지 보시려면
유료 멤버십에 가입하세요.
첫 달은 무료입니다!

관련 매거진

아티클이 실린 매거진

하버드비즈니스리뷰코리아 2020.9-10월호 지금의 인재관리 모델은 틀렸다 25,000원 22,500원

아티클 PDF

하버드비즈니스리뷰코리아 2020.9-10월호 피싱 공격에 대한 방어력을 키워라 外 5,000원
  • ※ 아티클 PDF 구매는 월별 제공되는 PDF 다운로드 권한을 모두 사용하신 1년 또는 월 자동결제 서비스 구독자에 한해 제공되는 서비스입니다.
  • ※ 아티클 PDF 다운로드가 필요하신 분께서는 HBR Korea 서비스 구독을 신청하세요!
(03187) 서울시 종로구 청계천로 1 동아일보사빌딩 (주)동아일보사
대표자: 김재호 | 등록번호: 종로라00434 | 등록일자: 2014.01.16 | 사업자 등록번호: 102-81-03525
(03737) 서울시 서대문구 충정로 29 동아일보사빌딩 15층 (주)동아미디어엔(온라인비즈니스)
대표이사: 김승환 | 통신판매신고번호: 제 서대문 1,096호 | 사업자 등록번호: 110-81-47558