재단 및 공공기관의 경우 업무 특성상 대외 협력이 잦아 자연스레 외부와 이메일을 주고받는 경우가 많습니다. 이 과정에서 정상적인 업무 메일과 구분하기 어려운 피싱이나 악성 메일이 함께 유입되며, 기관 전체를 위협할 수 있는 보안 사고로 이어지기도 합니다. 그렇기 때문에 단순히 지침을 전달하는 수준을 넘어, 실제 상황과 유사한 환경에서 직원들이 직접 대응 경험을 쌓을 수 있도록 하는 악성메일 모의훈련의 필요성과 중요성이 더욱 커지고 있습니다. 이에 몇몇 기관에서는 다양한 방법으로 모의훈련을 실시해 직원들의 보안 인식을 점검하고 있습니다. 그리고 그 훈련은 처음에는 단순히 한 번의 훈련이었지만 보안 문화 확산의 계기로 작용하기도 하고, 그 결과가 대외 평가에서도 긍정적인 반응을 이끌기도 합니다.
이제 악성메일 모의훈련은 일회성 이벤트가 아니라 정기적인 보안 캠페인으로 자리 잡으며, 기관의 보안 수준을 한 단계 끌어올리는 중요한 수단이 되고 있습니다. 이러한 흐름 속에서 주목할 만한 사례가 바로 강원관광재단입니다. 재단은 실제로 Mind-SAT 악성메일 모의훈련을 도입해 의미 있는 성과를 거두었는데요, 그 과정을 재단 보안 담당자에게 직접 들어봤습니다.
| 새로운 강원관광을 실현하는 강원관광재단*
안녕하세요. 강원관광재단 스마트홍보팀 김경은 대리입니다. 저희 강원관광재단은 “새로운 강원관광을 실현하는 글로벌 관광전문기관”으로서, 강원특별자치도 18개 시군과 함께 지역경제 활성화를 위한 선도적 관광 콘텐츠 발굴, 해외 관광객 인바운드 유치 활성화를 위한 글로벌 홍보 마케팅 추진, 지역 고유의 특화 자원을 활용한 권역별 테마 마케팅 등 다양한 사업을 추진하고 있습니다. 특히, 강원관광의 새로운 활력을 불어넣기 위해 「2025-2026 강원 방문의 해」를 지정했고, 시군, 관광자원, 행사 간 연계를 통해 18개 시군 전체를 아우르는 통합 마케팅도 추진 중입니다. 많은 분들이 대한민국 관광수도 강원특별자치도에 꼭 방문해주셨으면 좋겠습니다!
*기관명: 재단법인 강원관광재단(강원특별자치도 출연기관)
| 보안의 시작과 끝은 결국 사람
저희 기관은 구성원이 50명 미만으로, 크지도 그렇다고 작지도 않은 규모의 기관이지만 공공의 성격을 가지고 있기에 매년 보안 수준을 향상해나가야 한다는 포부를 항상 갖고 업무에 임하고 있습니다. 저희 기관의 보안 담당자로서 제가 항상 강조하는 표현이 있는데요. 바로 “보안의 시작과 끝은 결국 사람”이라는 것입니다. 보안 기술이나 정책이 아무리 발전해도 최종적으로 보안을 지키고 또 무너뜨리는 핵심 요소는 ‘사람’이기 때문이죠.
때문에 보안 담당자의 지속적인 업계 동향 파악이 기관의 보안 수준을 높일 수 있는 지름길이라고 생각하는데요. 그다음으로 중요한 것은 바로 사내 집합 교육이나 캠페인 진행 등을 통해 임직원 대상 보안 경각심을 높이는 것이라고 생각합니다. 보안이라는 것 자체가 일회성 업무가 아니기에 지속적으로 기관 보안 수준 향상을 위해 ‘우리 재단에 필요한 게 무엇인가’라는 고민을 늘 하면서 임직원 대상 보안 인식 향상을 위한 무언가가 필요하다고 생각하게 됐습니다.
그러던 중 저희 재단의 일하는 방식을 생각하게 됐습니다. 저희 재단은 국내 마케팅 유치뿐만 아니라, 외국인 관광객 유치와 외국인 기업체 포상관광단체 유치, 크루즈 활성화 유치마케팅 등 해외를 타겟으로 한 마케팅도 주력으로 진행하는데요. 전화로도 소통을 많이 하지만, 외부와 메일을 주고받는 일이 대다수이다 보니 신원을 알 수 없는 외국 기업이나 외국인 등 해외에서 스팸메일 등이 들어오는 경우가 매우 잦은 편이기도 합니다. 가끔은 이게 스팸인지 정말 업무로 들어오는 메일인지 헷갈리는 경우가 많기도 합니다. 게다가 관광 분야의 사업이라 더욱 주말도 없는 느낌으로 바쁘게 업무를 진행하는데요. 사업팀을 예로 들면 주말에 행사 운영을 위해 출장이 잦은 데다 현장 일을 진행하며 사무실에서 행정 일도 챙겨야 하다 보니 다들 정신없이 바쁘게 일하고, 그럴수록 스팸메일에 더 취약할 수 있다는 생각이 들었습니다. 스팸메일 솔루션을 적용하기 전이라, 이상한 피싱메일과 스팸메일이 자주 들어온다는 직원들의 제보도 마침 들어왔습니다.
기존에 임직원 교육이나 개인정보보호 캠페인은 많이 진행했지만, 일회성 교육이나 캠페인을 넘어서서 일상 업무 환경 속에서 구성원들에게 조금 더 효과적인 방법으로 악성메일 모의훈련 프로그램이 딱 맞아 보였습니다. 처음에는 KISA에서 진행하는 사이버 위기대응 모의훈련을 알아봤는데, 저희 같은 공공기관은 대상이 아니라 참여 자체가 불가능했습니다. 그래서 다른 서비스를 알아보는 와중에 파수의 Mind-SAT이라는 서비스가 제 눈길을 끌었습니다. 랜섬웨어나 해킹 등 공격의 시발점이 되는 메일 시스템을 통해 구성원들에게 훈련을 진행할 수 있다는 점이 매력적이었습니다. 또, 다양한 템플릿과 함께 기관 맞춤형으로 진행되는 훈련이라는 점이 마음에 들었고 비슷한 타사 서비스와도 서비스의 차별성이 커서 만족스러웠습니다.
| 기관 경영평가에서도 칭찬받은 악성메일 모의훈련
작년, 처음 훈련을 시작하기에 앞서 결정할 사항들이 조금 있었습니다. 훈련 횟수부터 방식까지 다양한 것들을 정해야 했는데, 파수 담당자분들과 긴밀히 논의하면서 우리 기관에 맞는 방식을 결정할 수 있었습니다. 훈련 방식 중에서 고민이 필요했던 것 중 하나는 바로 사전 공지 여부였습니다. 훈련 결과가 대내외 평가 자료로 쓰이는 게 아니고 실제 보안 의식을 높이기 위해 하는 훈련이다 보니 과감하게 내부 공지 없이 진행을 결정했습니다. 돌이켜보면 사실 이 결정은 보안 담당자로서 제 욕심이 들어간 결정이었던 것 같습니다. 훈련 시 사용한 메일 템플릿이 일상생활에서 누구나 받아볼 만한 의심이 가지 않는 템플릿이었기에 과연 우리 구성원들의 반응은 어떨까 하는 기대와 걱정이 함께 들었던 것 같습니다.
결국 사전 공지 없이 첫 훈련으로 3가지 메일 템플릿을 랜덤으로 발송했습니다. 그리고 결과는 생각보다 놀라웠습니다. 기존에 연 1~2회 정도는 의심스러운 메일은 절대 열어보지도, 클릭하지도 말고, 담당자에게 메신저로든 구두로든 신고해달라는 안내를 꼭 하고 있는데요. 제 생각보다 꽤 많은 인원이 제게 신고를 해주셨어요. 엄청나게 많은 인원은 아니었지만, 제 입장에선 우리 구성원들이 보안에 대한 의식을 그래도 어정도 갖추고 있다는 걸 느낄 수 있었던 꽤 놀라운 결과였습니다. 모의 훈련을 진행한 다음엔 전체 쪽지를 통해 열람자와 링크 접속자, 신고자 등 명단을 내부에 오픈해 한 번 더 보안 의식을 높이는 과정도 가졌습니다.
훈련 이후 진행된 기관 경영평가 현장실사에서 뜻깊은 피드백이 있었습니다. 최근 기관 경영평가에 정보보안 항목이 새롭게 포함되면서, 그 중요성이 점차 확대되고 있었는데요. 올해 경영평가 현장실사에서 평가위원으로부터 “이런 모의훈련을 추진하는 기관은 강원관광재단밖에 없다”라는 긍정적인 코멘트를 받았습니다. 그 덕에 내부 경영진분들께도 보안 담당자로서 노고를 격려받을 수 있었고 뿌듯함이 배가 되었습니다. 이 사실이 소문나서 다른 기관들도 너도나도 훈련을 진행해 저희 기관의 평가가 떨어질까 살짝 우려스럽도 하네요(농담).
| 반복할수록 나아지는 사내 보안 의식
작년에 좋았던 직원들 반응에 힘입어 올해 7월에 또 한 번 Mind-SAT 악성메일 모의훈련을 진행했습니다. 확실히 2회차여서 그런지 훈련을 통해 구성원들의 보안 의식이 많이 개선되었다는 게 느껴졌습니다. 결과 수치로도 그 점이 입증되었고요. 훈련 환경 설정 등 훈련에 대한 전권을 팀장님이 감사하게도 제게 일임해 주셔서 올해도 전년과 동일하게 사전 공지 없이 진행하였습니다. 올해도 공지 없이 훈련을 진행한 이유 또한, 열람률, 접속률 등의 결과가 기관의 대내외 평가를 좌지우지하는 일은 아니었기 때문입니다. 또한, 담당자가 바라봤을 때 모의훈련의 효과를 극대화하기 위해서는 사전에 공지하지 않아야 하는 게 맞다고 판단했기 때문입니다.
작년에 진행한 훈련은 일종의 시범 도입이었다면, 올해부터는 ‘임직원 보안 의식 강화 캠페인’이라는 목적으로 정기성 캠페인으로 확대해 나가기로 했습니다. 악성메일 훈련 결과를 토대로 전년 대비 개선자를 3명 선정해서 우수자 선정을 하며 소정의 기념품을 제공했고, 구성원들에게 뜨거운 반응을 얻었습니다. 훈련 결과, 전년 대비 접속률은 14% 감소하고, 신고율은 4% 증가하는 긍정적인 흐름을 보이며, 임직원 보안 인식이 다소 개선되었다고 내부적으로도 판단했습니다. 올해는 훈련을 2번 진행하기로 해서 아직 한 번 더 훈련이 남았는데요, 다음 훈련 때는 링크 접속률과 신고율이 더 나아질 수 있기를 바라며 저희 직원분들을 믿어보겠습니다.
| 시키지 않아도 ‘먼저’ 신고하고 공유하는 강원관광재단 구성원
올해는 단순 훈련을 넘어 보안 의식 강화 캠페인으로 확대해 진행하면서 전문적인 보안 교육을 진행했습니다. 일회성 훈련에서 끝나지 않고, 훈련 결과를 기반으로 구성원들에게 왜 이런 훈련을 해야 하고, 실제 업무 환경 속에서는 보안 사고 대비를 위해 어떤 점을 주의해야 하는 지 등에 대해 전문교육까지 이루어지면 보안 의식 개선에 있어 더욱 효율적일 거라는 생각이 들었기 때문인데요. 어떤 내용으로 교육해야 더 도움이 될지 교육을 진행해주실 파수 담당자분과 여러 번에 걸쳐 논의해서 결정하고 진행했습니다. 특히 교육 내용 중에 USB 자동실행 방지와 네트워크 드라이브 연결에 대한 내용, 그리고 개인정보 취급 시 유의해야 할 점 등에 대한 내용은 임직원들에게 직접적으로 큰 도움이 됐다는 의견이 나왔습니다. 또한, 훈련과 교육까지 병행하니 임직원들의 보안 의식도 더욱 강화되었다는 내부 평가도 있었고요. 교육 당시에도 다들 집중해서 듣는 모습을 보이며 직원들의 관심이 아주 뜨거웠습니다.
악성메일 훈련과 보안 교육 이후 구성원들이 가장 크게 바뀐 점을 한가지 꼽을 수 있는데요. 의심이 가는 메일이 들어오면 구성원분들이 꼭 캡쳐해서 제게 메일 내용을 공유해 주세요. “이런 메일이 왔는데 클릭해도 되는 거냐” “혹시 이것도 훈련인 거냐, 피싱이냐” 등 많은 문의도 함께 주신답니다. 앞서 말했듯 업무 특성상 해외에서 들어오는 메일도 꽤 많은 편인데 해외통관 등의 스팸 피싱 메일이 들어와도 이젠 먼저 클릭하지 않고 제게 먼저 공유해 주시고 삭제 처리해 주시는 우리 직원분들의 모습을 보면 아주 뿌듯한 마음뿐입니다.
| 소문나지 않았으면 하는 파수 Mind-SAT 악성메일 모의훈련
파수 Mind-SAT 악성메일 모의훈련의 가장 큰 장점은 바로 일상생활 속에서 누구나 접할 수 있는 메일 템플릿을 기반으로 직접 훈련 모델을 설정할 수 있다는 점이라고 생각합니다. 템플릿이 너무 다양해서 진행할 훈련 양식을 3가지만 꼽는 게 어려울 정도였습니다. 템플릿이 다양하기에 훈련 난이도 조절이 가능하고, 또 저희 기관에 맞는 양식으로 변경도 가능한 점도 가장 마음에 들었습니다. 또한, 훈련을 진행하는 과정에서 어려운 부분이 있어도 담당자분이 같이 머리를 맞대어 고민해 주시어 원활한 훈련을 하는 데 도움이 많이 됐습니다. 훈련 후 사후 보고서를 통해서 결과를 전체적으로 알 수 있고, 어떤 템플릿에서 접속률과 열람률이 높았는지의 정도까지 한눈에 확인이 가능하기에, 보안 담당자 입장에서 내부 행정 처리를 하기에도 매우 편리했습니다.
솔직히 말씀드리면 너무 좋은 서비스라 어디 소문나지 않았으면 하는 생각도 듭니다. 특히, 저희와 같은 강원특별자치도 출자 출연기관에는 더욱더 소문나지 않았으면 하는 바람이에요. 그래도 할 말을 해보자면 임직원 보안 의식 향상을 위한 훈련이나 캠페인을 생각하시는 기관이 있다면 Mind-SAT 악성메일 훈련을 강력히 추천해 드립니다. 최초 도입이 망설여지신다면 저희 기관처럼 시범으로 1회 도입해서 진행해 본 다음 정기적으로 확대해 나가는 방법을 추천드려요! 증가하는 사이버 공격 위협 대응 역량 강화와 임직원 보안 의식 향상을 위한 첫걸음을 파수 Mind-SAT과 함께하고 지속적인 해킹메일 침해사고로부터 안전한 기관 환경을 구축하시기 바랍니다. 감사합니다.
