"스피어 피싱 공격에 대비해 직원들을 대상으로 모의훈련을 계속 해야 합니다. 지속적으로 보안 시스템에 다중 방어막을 치는 다중보안체계(레이어드 시큐리티)도 갖춰야 합니다."
김용철 SK 인포섹 관제솔루션 사업팀장은 26일 서울시 종로구 SK서린빌딩에서 열린 설명회에서 "스피어 피싱의 공격 대상 중 76%가 기업과 정부 기관이기 때문에 피해 규모도 점차 커지고 있다"며 이렇게 말했다. SK인포섹은 SK C&C의 보안 전문 자회사다.
스피어 피싱(spear-phishing)은 특정인이나 특정 기업에 악성코드를 심은 이메일을 보내 정보를 빼내는 해킹 수법이다. 불특정 다수를 겨냥한 공격과 달리 특정 대상을 정해 작살(spear)로 찍듯 정밀 타격하는 방식이다.
김 팀장에 따르면 지난해 12월 북한 김정은 암살 사건을 다룬 영화 '인터뷰'의 제작사인 소니픽처스 해킹 사건과 한국수력원자력의 원자력발전소 도면 유출 사건 모두 스피어피싱의 공격을 받았다.
사이버 표적 공격의 91%는 스피어 피싱으로 알려졌다. 스피어 피싱의 94%는 악성코드가 들어있는 이메일 첨부파일을 통해 정보를 수집한다.
김 팀장은 "요즘은 스피어 피싱 공격 방법으로 '원데이 원더(one-day wonder)' 방식이 유행한다"고 했다.
원데이 원더는 악성코드를 유포하는 웹사이트를 만들고 24시간 안에 없애는 것이다. 웹사이트 유지 시간이 짧아 정보 당국이 추적할 수 있는 시간이 부족해 해커를 잡기 어렵다.
보안 솔루션 업체 블루코트의 최근 보고서를 보면, 전 세계 웹사이트의 71%가 하루 만에 없어지며, 상위 50위권 내 웹사이트의 22%가 원데이 원더 방식의 스피어 피싱과 관련이 있다.
김 팀장은 스피어 피싱 피해 가능성을 낮출 방안으로 기업이나 공공기관의 모의훈련을 꼽았다. 모의훈련을 통해 스피어 피싱 공격을 직접 해보고 직원들이 안 걸리게 계속 연습을 시켜야 한다는 것이다.
그는 "스피어 피싱 이메일을 만들어서 직원들에게 보냈을 때 직원이 이를 클릭하면 악성코드 메세지가 뜨는데, 이때 신고하게 하는 등 연습이 필요하다"고 했다.
김 팀장은 "기업과 공공기관이 다중보안체계도 반드시 갖춰야 한다"고 강조했다. 예를 들어 스팸 메일을 거르는 시스템과 이메일 보내는 사람의 평판을 검증하는 시스템, 웹사이트 주소(URL)를 분석하는 시스템 등 보안 막을 여러 겹으로 쌓는 것이다.
SK그룹은 지난해 말부터 계열사들에 다중보안체계를 적용하도록 했다. 공공기관은 예산 문제 등으로 적용을 아직 검토하고 있다고 김 팀장은 말했다.