피싱 시뮬레이션은 피싱 공격을 인식하고 이에 대응하는 조직의 능력을 테스트하는 사이버 보안 훈련입니다.

피싱 공격은 사람들을 속여 멀웨어(예: 랜섬웨어)를 다운로드하거나, 민감한 정보(예: 사용자 이름, 비밀번호 또는 신용 카드 정보)를 공개하거나, 엉뚱한 사람에게 자금을 보내도록 유도하는 사기성 이메일, 문자 또는 음성 메시지입니다.

피싱 시뮬레이션 중에 직원들은 실제 피싱 시도를 모방한 모의 피싱 이메일(또는 문자나 전화)을 받게 됩니다. 이 메시지는 동일한 사회 공학 전술(예: 수신자가 알고 있거나 신뢰하는 사람을 사칭하여 긴박감을 조성)을 사용하여 수신자의 신뢰를 얻고 잘못된 행동을 취하도록 유도합니다. 유일한 차이점은 미끼(예: 악성 링크 클릭, 악성 첨부 파일 다운로드, 사기성 랜딩 페이지에 정보 입력, 가짜 송장 처리)를 받은 수신자는 조직에 부정적인 영향을 미치지 않고 단순히 테스트에 실패한다는 것입니다.

경우에 따라 모의 악성 링크를 클릭하는 직원에게는 모의 피싱 공격의 희생양이 되었다는 랜딩 페이지가 표시되며, 향후 피싱 사기 및 기타 사이버 공격을 더 잘 탐지할 수 있는 방법에 대한 정보가 함께 제공됩니다. 시뮬레이션이 종료되면 조직은 직원의 클릭률에 대한 메트릭을 받고 추가적인 피싱 인식 교육을 통해 후속 조치를 취하기도 합니다.

최근 통계에 따르면 피싱 위협이 계속 증가하고 있습니다. 2019년 이후 피싱 공격 건수는 매년 150% 증가했으며 , 안티피싱 워킹 그룹(APWG)은 2022년에 피싱 사례가 사상 최고치에 달해 470만 개 이상의 피싱 사이트를 기록했다고 보고했습니다. Proofpoint에 따르면 2022년에 84%의 조직이 적어도 한 번 이상 유효한 피싱 공격을 당했습니다.

최고의 이메일 게이트웨이와 보안 도구로도 모든 피싱 캠페인으로부터 조직을 보호할 수는 없기 때문에 피싱 시뮬레이션을 도입하는 조직이 점점 더 많아지고 있습니다. 잘 만들어진 피싱 시뮬레이션은 두 가지 중요한 방식으로 피싱 공격의 영향을 완화하는 데 도움이 됩니다. 시뮬레이션은 보안팀이 실제 피싱 공격을 더 잘 인식하고 피할 수 있도록 직원을 교육하는 데 필요한 정보를 제공합니다. 또한 보안팀이 취약점을 정확히 파악하고, 전반적인 사고 대응을 개선하며, 피싱 시도가 성공할 시 발생하는 데이터 침해 및 금전적 손실 위험을 줄이는 데 도움이 됩니다.

피싱 테스트는 대체로 IT 부서 또는 보안팀이 주도하는 광범위한 보안 인식 교육의 일부입니다.

일반적으로 다음과 같은 5단계로 이루어집니다.

1. 계획: 조직은 먼저 목표를 정의하고 범위를 설정하여 사용할 피싱 이메일 유형과 시뮬레이션 빈도를 결정합니다. 또한 특정 그룹이나 부서를 세분화하고, 종종 경영진을 세분화하는 등 대상 고객을 결정합니다.
2. 작성: 보안팀은 계획을 수립한 후 다크웹에서 제공되는 피싱 템플릿과 피싱 키트를 모델로 실제 피싱 위협과 매우 유사한 실제와 같은 모의 피싱 이메일을 만듭니다. 이 때 제목, 발신자 주소 및 콘텐츠와 같은 세부 사항에 세심한 주의를 기울여 사실적인 피싱 시뮬레이션을 만듭니다. 여기에는 직원들이 이메일을 클릭할 가능성을 높이기 위해 경영진이나 동료 직원을 발신자로 사칭(또는 '스푸핑')하는 소셜 엔지니어링 전술도 포함됩니다.
3. 전송: 콘텐츠가 완성되면 IT팀 또는 외부 공급업체가 개인정보 보호를 고려하여 안전한 수단을 통해 모의 피싱 이메일을 대상자에게 전송합니다.
4. 모니터링: 모의 악성 이메일이 전송된 후 리더는 직원들이 모의 이메일과 어떻게 상호 작용하는지 면밀히 추적하고 기록하여 링크를 클릭하는지, 첨부 파일을 다운로드하는지, 민감한 정보를 제공하는지 모니터링합니다.
5. 분석: 피싱 테스트 후 IT 리더는 시뮬레이션의 데이터를 분석하여 클릭률과 보안 취약점 등의 추세를 파악합니다. 그런 다음 시뮬레이션에 실패한 직원들에게 즉각적인 피드백을 제공하여 피싱 시도를 제대로 식별할 수 있는 방법과 향후 실제 공격을 피하는 방법을 설명하는 등의 후속 조치를 취합니다.

많은 조직에서 이러한 단계를 완료한 후 피싱 시뮬레이션의 결과를 요약한 종합 보고서를 작성하여 관련 이해관계자들과 공유합니다. 또한 사이버 보안 인식을 강화하고 진화하는 사이버 위협에 한발 앞서 대응하기 위해 이 인사이트를 활용하여 보안 인식 교육을 개선한 후 이 과정을 정기적으로 반복하는 조직도 있습니다.

피싱 시뮬레이션 캠페인을 실행할 때 조직은 다음 사항을 고려해야 합니다.

• 테스트의 빈도 및 다양성: 많은 전문가들은 다양한 유형의 피싱 기법을 사용하여 연중 정기적으로 피싱 시뮬레이션을 수행할 것을 권장합니다. 이렇게 빈도와 종류를 늘리면 사이버 보안 인식을 강화하는 동시에 모든 직원이 진화하는 피싱 위협에 대한 경계를 늦추지 않도록 할 수 있습니다.
• 내용 및 방법: 콘텐츠와 관련하여 조직은 실제 피싱 시도와 유사한 모의 피싱 이메일을 개발해야 합니다. 한 가지 방법은 직원을 대상으로 하는 피싱 공격의 인기 유형을 모델로 한 피싱 템플릿을 사용하는 것입니다. 예를 들어, 템플릿은 사이버 범죄자가 조직의 최고 경영진의 이메일을 모방하여 직원들을 속여 민감한 정보를 유출하거나 사칭된 공급업체에 거액을 송금하도록 유도하는 스피어 피싱의 일종인 비즈니스 이메일 침해(BEC), 즉 CEO 사기 공격에 초점을 맞출 수 있습니다. 실제 BEC 사기를 저지르는 사이버 범죄자와 마찬가지로 시뮬레이션을 설계하는 보안팀은 이메일의 신뢰성을 높이기 위해 발신자와 수신자를 면밀히 연구해야 합니다.
• 타이밍: 조직이 피싱 시뮬레이션을 수행하기에 가장 이상적인 타이밍은 여전히 논쟁의 대상이 되고 있습니다. 어떤 조직은 직원들이 피싱 인식 교육을 완료하기 전에 피싱 테스트를 배포하여 벤치마크를 설정하고 향후 피싱 시뮬레이션 솔루션의 효율성을 측정하는 것을 선호합니다. 또는 피싱 인식 교육 후 모듈의 효과를 테스트하고 직원들이 피싱 사고를 제대로 보고하는지 확인하기 위해 기다리는 것을 선호하는 조직도 있습니다. 조직에서 피싱 시뮬레이션을 실행하기로 결정하는 시기는 조직의 필요와 우선순위에 따라 달라집니다.
• 교육 후속 조치: 피싱 테스트는 조직이 언제 실시하기로 결정하든 일반적으로 더 크고 포괄적인 보안 인식 교육 프로그램의 일부로 진행됩니다. 후속 교육은 테스트에 실패한 직원들이 단순히 속은 것이 아니라 지원받고 있다는 느낌을 받을 수 있도록 도와주며, 향후 의심스러운 이메일이나 실제 공격을 식별하는 데 필요한 지식과 인센티브를 제공합니다.
• 진행 상황 및 추세 추적: 시뮬레이션 후 조직은 각 피싱 시뮬레이션 테스트의 결과를 측정하고 분석해야 합니다. 이를 통해 추가 교육이 필요할 수 있는 특정 직원 등 개선이 필요한 영역을 파악할 수 있습니다. 또한 보안팀은 최신 피싱 동향과 전술을 지속적으로 파악하여 다음 피싱 시뮬레이션을 실행할 때 가장 관련성이 높은 실제 위협으로 직원을 테스트할 수 있어야 합니다.

피싱 시뮬레이션과 보안 인식 교육은 중요한 예방 조치이지만, 피싱 캠페인의 성공으로 인한 영향을 줄이기 위해서는 보안팀에 최첨단 위협 탐지 및 대응 기능 또한 필요합니다.