아.. 낚였네요. 아닌 거 같아요!

최근 우리나라의 사이버 침해 사건이 업권을 가리지 않고 산업 전반에 거쳐 발생을 하고 있다.

상황이 이렇다 보니 회사의 정보보안 유관팀은 물론이거니와 금융보안원(FSI), KISA(한국인터넷진흥원), 경찰 사이버수사국 등 주요 기관들도 아마 그 대응에 있어 진이 다 빠질 지경일 것이다.

흥미로운 것은 이런 보안사고로 떠들썩한 틈을 이용해서 영리를 위한 마케팅 수단으로 삼는 발 빠른 회사들도 있다는 것이다. 보안 전문 회사라기보다는 이름만 얘기하면 다들 알만한 거대한 법무법인들이 그들이다. 최근 정보보안 전문인력을 확충해서 외형을 갖춘 후, 침해 사고 발생 시 경영진의 관리·감독 책임이 문제 될 수 있다는 점을 강조하며 등장하기 시작했다.

초기에 언론 및 외부기관 대응은 물론이고 사후조치까지 직접 챙겨주겠다며 마케팅에 열을 올리고 있는 것이다. 경영진 입장에서는 귀가 솔깃한 내용으로 들릴 것이다.

그들은 보험을 든다는 심정으로 계약을 하자는 식인데, 생각해 보면 정말 절묘한 시점에 이뤄진 전략적 마케팅이 아닐 수 없다.

외부기관 중 금융보안원은 모의해킹(실제 해킹 공격과 유사한 방식으로 금융회사의 전산시스템 등을 점검하여 대응 능력을 점검하는 활동)이나 보안 취약점 점검 등 금융회사의 관제를 지원하는 가까운 관계에 있다.

여기에는 임직원이 직접 체감할 수 있는 훈련이 있는데 연례적으로 수행하는 '악성메일 대응훈련'이라는 것이 그것이다. 이는 금융회사 직원들에게 각종 이벤트로 위장한 피싱메일을 다양한 유형으로 무작위로 발송해서 피싱메일 탐지·신고 역량과 대응 체계를 점검하는데 그 목적이 있다.

---

"복지포인트 50,000점을 복지몰에 포인트로 추가해 준다고 합니다.

무슨 일이죠? 횡재한 기분인데요."

주변의 팀원이 들떠서 시끄럽게 얘기하는 목소리가 들렸다.

내가 다니는 회사는 복지포인트를 복리후생으로 제공하고 현금처럼 사용할 수 있다. 이 상황이 사실이라면 방금 내 계좌에 50,000원이 입금되었다는 것을 의미한다.

하지만 다시 한번 생각해 보자. 회사라는 곳이 어떤 곳인지.

소액의 복지포인트라도 예기치 않게 제공되었다면, 아마 그룹웨어 게시판에 대서특필 도배를 했을 것이다.

"아.. 낚였네요. 아닌 거 같아요!"

곧 그 팀원은 상황을 파악한 듯 기운 빠진 목소리로 중얼거렸다.

복지포인트를 추가 제공해 준다는 메일을 받은 것이고, 순간 이것이 피싱메일임을 감지한 것이었다.

금융보안원에서 훈련용 피싱메일을 임직원들을 대상으로 발송한 것이다.

사실 나는 비공식적이지만 이런 대응훈련에 대해 사전에 알고 있었기에 팀원들에게 공유를 해야겠다고 생각했다.

"요즘 금융보안원에서 악성메일 대응훈련이 진행 중에 있습니다.

의심스러운 메일은 열람하거나 첨부파일 클릭하면 안 되는 거 아시죠?"

그도 그럴 것이 피싱메일에 당하게 되면 대표이사 보고와 함께, 해당 팀원은 정보보안 교육을 추가 이수해야 하는 절차를 밟게 된다.

무엇보다 회사에서는 나름 전문가라는 IT유관팀에서 훈련 대상자로 분류된다면 그것 또한 곤혹스러울 수밖에 없다.

다행히 우리 팀은 첨부파일을 실행해서 악성메일 공격에 노출된 명단에 이름은 올리지 않았다.