혁신적인 솔루션과 서비스를 제공해 온 엔터프라이즈 소프트웨어 기업 파수. 파수는 데이터 보안 영역에서 국내를 넘어 글로벌 시장을 선도하고 있습니다. 파수의 다양한 제품과 서비스 중 파수의 악성 메일 훈련 및 교육 서비스인 Mind-SAT은 내부 구성원들의 보안 의식을 높이고 실제 위협 상황에 대한 대응력을 강화하는 데 초점이 맞춰져 있는데요. KT, 대한통운, 포스코, 동행복권 등 다양한 기업과 조직이 파수 Mind-SAT을 통해 조직의 업무 문화를 개선하고 보안 사고의 발생 가능성을 효과적으로 줄였습니다.

파수는 데이터 보안 전문 기업으로서 사내 구성원들의 보안 의식을 함양하고 사내에 보안홀이 생기는 것을 사전에 대비하기 위해 임직원을 대상으로 Mind-SAT 악성 메일 모의 훈련을 자체적으로 진행하고 신고센터도 운영하고 있습니다. 매월 진행하는 악성 메일 모의 훈련 그리고 상시 운영되는 신고센터는 단순히 조직 내 보안 인식을 높이고 유지하는 것을 넘어 사내 문화 또한 바꾸고 있는데요. Mind-SAT 서비스는 어떻게 사내 문화를 바꿨을까요?

 

악성 메일의 위험성

Mind-SAT 서비스는 사실 악성 메일 모의 훈련만을 뜻하지 않습니다. 이 안에는 모의 훈련, 실전 대응(신고센터), 보안 교육, 취약점 진단 등의 서비스가 모두 포함돼 있는데요. 그중 악성 메일 모의 훈련을 가장 많이 말하고, 강조하는 이유는 바로 악성 메일이 가장 흔하면서도 치명적인 사이버 공격 방식 중 하나이기 때문입니다. 실제로 대부분의 사이버 공격은 악성 메일로부터 시작됩니다.

Mind-SAT 서비스

피싱, 랜섬웨어, 스미싱 등 다양한 형태로 위장한 악성 메일은 클릭 한 번만으로도 기업의 주요 정보가 유출되거나 업무 시스템이 마비될 위험을 초래합니다. 특히, 이메일을 통한 공격은 직원들의 일상 업무에 자연스럽게 스며들기 때문에 그 위협을 간과하기 쉬운데요. 최근 AI 기술의 발전과 함께 공격자의 사회공학적 기법이 발전하며 사람의 심리를 이용한 공격이 날로 정교해지고 있습니다. 따라서 악성 메일의 위험성을 제대로 이해하고, 이를 예방하기 위한 실질적인 대책을 마련하는 것이 필수적입니다.

 

첫째도 둘째도 반복적인 훈련

그 첫 단계는 아무래도 악성 메일 모의 훈련이겠죠. 파수는 사내 악성 메일 모의 훈련을 매월 진행하고 있습니다. 기업들은 보통 ISMS 신규 인증과 갱신 시 의무 사항인 연 1회 정도의 훈련만을 생각하기 마련인데요. 보안 위협에 대한 직원들의 인식을 높이는 가장 효과적인 방법 중 하나인 악성 메일 모의 훈련은 거듭 훈련해야만 더욱 효과적입니다. 실제로, KISA가 중소기업을 대상으로 한 훈련에서 상반기와 하반기 재참여한 기업의 감염률은 신규 참여 기업 감염률에 비해 4.4%나 낮게 나타났습니다.

Mind-SAT 훈련 결과 안내 메일

또, 정기적으로 훈련을 진행하면 풍부한 경험을 지닌 전문 컨설턴트가 만든 최신 악성 메일 템플릿을 통해 실제 업무 환경에서 발생할 수 있는 악성 메일을 학습할 수 있다는 장점도 있습니다. 그러면 구성원들은 자연히 위험 요소를 식별하는 능력을 키울 수 있게 되죠. 훈련임을 미리 공지하지 않고 진행하는 ‘실전 훈련’과 함께 진행하면 효과는 더욱 증가합니다. 이처럼 구성원들이 잠재적 악성 메일에 미리 노출되고 그 패턴을 학습할 때, 기업은 잠재적 위협을 초기에 차단하고 피해를 최소화할 수 있습니다. 더불어 반복적이고 체계적인 훈련을 통해 개인에게도 사내 보안에 대한 책임이 있음을 자연스럽게 인식할 수도 있습니다.

 

훈련과 문화는 함께

악성 메일에 대처하는 훈련이 사내 보안의 시작으로서 의미를 갖지만, 근본적으로는 문화 자체가 변화해야 합니다. 훈련을 자주 진행해도 내부 구성원들이 으레 진행하는 훈련 정도로만 생각하면 의미가 줄어들겠죠. 훈련 결과에 대해 페널티를 주는 것보다 사내 시상을 진행하는 것도 내부 구성원들의 관심도를 올리기에 좋은 방법입니다. 파수에서는 매월 진행하는 악성 메일 모의 훈련에 대해 연말 가장 신고율이 높은 팀과 더불어 개인에게 시상을 진행하는데요. 시상 덕분에 구성원들이 늘 훈련은 물론 실제 들어올 수도 있는 악성 메일에 대해 늘 레이더를 세우고 있습니다.

연말 악성 메일 신고 우수팀 시상

회사 사정상 시상이 어렵다면 각 부서 또는 팀에서 리더가 보안의 중요성을 강조하고 모범을 보이는 것부터 시작해 볼 수도 있습니다. 구성원들에게 악성 메일 모의 훈련 참여에 대해 독려하고, 이메일이나 문서가 안전한지 확인하는 습관을 업무 프로세스에 자연스럽게 포함시키는 것도 좋은 방법이고요. 중요한 것은 보안은 IT 부서만의 책임이 아니라 조직 전체의 책임이라는 인식을 확립하는 것이고, 이렇게 전사적인 보안 문화가 정착되면 개별적인 훈련 이상의 효과를 발휘할 수 있습니다.

 

‘원 모어 씽’, 사내 신고센터 운영

모의 훈련도 진행했고, 사내 문화도 함께 바꿔가고 있다면 한 가지 더 함께 할 때 효과를 낼 수 있는 것이 있는데요. 바로 사내에 악성 메일 신고센터도 함께 운영하는 것입니다. 사내에서 지속적으로 악성 메일과 관련한 IP와 URL, 이메일 주소를 직접 차단하고, 스팸 방지 솔루션을 사용해도 실제로 매년 월 70~80건 정도로 악성 메일이 유입됩니다. 악성 메일이 다양한 형식으로 지속적으로 만들어지고 있다는 뜻이죠.

이에 대응함과 동시에 구성원들의 신고 의식을 높이기 위해 파수에서는 신고센터를 Mind-SAT 서비스를 활용해 운영하고 있습니다. 신고센터는 아래와 같이 운영됩니다.

  1. 임직원이 업무 메일로 의심스러운 메일을 수신
  2. 첨부파일을 포함한 메일 포워딩(전달) 또는 아웃룩 클라이언트에 추가된 ‘신고’ Add-in을 통해 신고센터에 신고
  3. 신고센터 담당자가 메일 분석 후 ‘정상’, ‘피싱’, ‘악성 코드 첨부’ 등으로 메일을 분석해 답신 메일 발송
  4. 악성 메일의 경우 IP, URL, 이메일 주소 등을 사내 보안 장비에 블랙리스트로 등록해 사전 차단
  5. 실제 악성 메일을 신고한 경우 한 건당 소정의 복지 포인트 부여
Mind-SAT 신고센터 답신 메일

악성 메일 신고는 단순히 위협을 탐지하는 것을 넘어, 이를 처리하고 대응하는 문화를 형성하는 데 중요한 역할을 합니다. 파수는 신고를 할 때마다 적절한 피드백과 보상을 제공하면서 신고의 중요성을 지속적으로 강조할 수 있었고, 구성원들 모든 메일을 한 번 더 의심하고 신고하는 습관을 갖게 됐습니다. 실제로 이러한 문화가 자리 잡은 덕분에 사내 신고센터로 신고된 메일에 포함된 악성 파일이 당시 백신에서 진단하지 못하는 신규 악성 파일로 밝혀져 백신사에 공유하고 해당 엔진에 포함된 사례도 있었습니다.

 

지금 Mind-SAT과 함께 업무 문화의 변화를 시작하세요!

결국, 악성 메일 훈련과 신고센터 운영은 기업의 업무 문화를 바꾸는 데 목표를 두고 있습니다. 보안을 최우선으로 하는 문화가 정착되면, 직원들은 스스로 정보 보호에 앞장서게 되고, 조직의 보안 수준은 자연스럽게 향상되기 마련이죠. 이는 증가하는 보안 위협 속에 기업의 경쟁력을 높이는데도 즉결됩니다.

파수 Minid-SAT 서비스는 상대적으로 보안에 취약한 중소기업들이 인력이나 비용 부담이 없이 쉽고 효율적으로 사내 보안 체계를 구성하고 사내 문화를 만들어가는 것을 돕습니다. 우리 업무 문화에 맞춰 제작된 악성 메일 모의 훈련 템플릿, 오직 파수에서만 제공하는 신고센터, 그리고 구성원들에게 보안의 중요성을 쉽게 일깨워주는 교육까지. 지금, Mind-SAT을 도입해 보세요. 이제 선택이 아닌 필수입니다.