3가지 주요 내용
- 피싱은 학교에서 생각하는 것보다 더 큰 위협입니다. 학교 구역의 27%만이 피싱을 고위험으로 여기지만, 해커가 K-12 학교를 표적으로 삼아 학생, 교직원, 데이터를 위험에 빠뜨리는 주요 수단입니다.
- 인식과 검증이 중요합니다. 학교 직원에게 피싱 이메일을 발견하고, 이메일이 아닌 전화나 문자 메시지로 의심스러운 요청을 확인하도록 교육하여 정교한 공격에 속지 않도록 하세요.
- 무료 도구와 내구성 있는 MFA를 활용하세요: Microsoft 365 및 Google Workspace와 같은 플랫폼에는 피싱을 포착하는 기능이 내장되어 있으며 PassKeys와 같은 피싱 방지 MFA는 해커가 자격 증명을 도용하더라도 이를 차단할 수 있습니다.
피싱은 K-12 학교에 심각한 위협입니다. 특히 많은 학교가 피싱에 정면으로 맞설 예산이나 인력이 부족하기 때문입니다. 라이트닝 채팅 6화에서는 Lightspeed Systems의 최고정보보안책임자(CISO) 존 젠터와 수석 애플리케이션 보안 설계자 브래드 화이트가 K-12 학교 피싱에 대해 이야기를 나누었습니다. 30년 이상 사이버 보안 분야에서 함께 일하며 교육계와 깊은 인연을 맺어 온 두 사람(존 젠터는 22년간 학교 이사회 위원으로 재직했고, 브래드 화이트는 교사 가문 출신)은 피싱이 대부분의 학교가 생각하는 것보다 심각한 문제인 이유를 설명하고, 피싱에 대처할 수 있는 실용적이고 저렴한 방법들을 공유했습니다.
학교는 여러분이 생각하는 것보다 더 큰 피싱의 표적이 됩니다
존은 놀라운 사실로 일을 시작했습니다. CoSN 보고서: "27%의 교육구만이 피싱을 고위험으로 분류했습니다." 특히 사이버보안 및 인프라 보안국(CISA)의 발표 내용을 고려하면 이는 큰 오류입니다. "악의적인 사이버 공격자들이 전국의 K-12 교육 기관을 표적으로 삼아 학생, 그 가족, 교사, 그리고 관리자들에게 잠재적으로 치명적인 영향을 미치고 있습니다." 브래드도 이에 동의하며 "K-12는 여러 가지 이유로 비교적 쉬운 공격 대상입니다."라고 말했습니다. 그 이유는 무엇일까요? 분석 결과는 다음과 같습니다.
- 예산이 부족한 경우: 학교에서는 최고 수준의 사이버보안 도구를 구입할 여력이 없는 경우가 많습니다.
- 소규모 IT 팀: 사람이 적으면 위협에 대처하기가 더 어렵습니다.
- 잘못된 사고방식: 많은 사람들은 학교를 공격 대상으로 삼을 가치가 없다고 생각하지만, 해커들은 자신들이 쉬운 표적이라는 걸 알고 있습니다.
존은 실제 사례를 공유했습니다. "지난 몇 주 동안 고객 계정 다섯 개가 Lightspeed 직원을 피싱하려는 시도를 확인했습니다." 브래드는 이러한 공격의 작동 방식을 다음과 같이 설명했습니다. "위협 행위자들은 정교한 중간자 공격(AIP)을 사용하여 사용자의 사용자 이름과 비밀번호, 그리고 세션 토큰을 모두 훔칩니다. 심지어 MFA를 사용 중이더라도 마찬가지입니다." 이러한 공격은 IT 직원, 교사 등 누구에게나 발생할 수 있으며, 피싱을 차단하도록 설계되지 않은 표준 다중 인증(MFA)을 우회할 수도 있습니다.
학교 피싱 시도로부터 안전을 유지하는 쉽고 무료인 방법
존과 브래드는 피싱에 맞서는 데 큰 예산이 필요하지 않다는 점을 분명히 했습니다. 첫 번째 단계는 바로 인지입니다. 브래드는 간단히 이렇게 말했습니다. "가장 저렴한 방법은 인지도를 높이는 것입니다. 사용자들에게 피싱 공격의 표적이 된다는 사실을 알리고 예상치 못한 이메일에 각별히 주의해야 합니다." 존은 로널드 레이건 전 대통령의 말을 인용하며 "신뢰하되 검증하라", 더 나아가 "답장하지 말고 검증하라"라는 명언을 남겼습니다. 그들의 조언은 다음과 같습니다.
- 이상한 이메일을 다시 확인하세요: 이메일에서 링크 클릭과 같은 이상한 행동을 요구하면 답장하지 마세요. 발신자에게 전화나 문자를 보내세요. 브래드는 "공격자가 발신자의 이메일 받은편지함을 장악하는 사례도 봤습니다."라고 경고했습니다.
- 모든 사람을 참여시키세요: 교장부터 관리자까지 모든 직원이 자신이 표적이 될 수 있다는 사실과 피싱이 어떤 모습인지 알고 있는지 확인하세요.
사물을 잠그는 기술 트릭
기술 측면에서는 피싱 방지 MFA(다중 인증)를 강력히 추진했습니다. 브래드는 문자 메시지 코드나 앱 알림과 같은 일반적인 MFA 방식은 "중간자 공격(AIP)에 의해 탈취될 수 있다"고 말했습니다. 대신 "UVKeys나 PassKeys 같은 FIDO 기반 토큰, Windows Hello 같은" 토큰을 사용하세요. 존은 "기본적인 MFA라도 아무것도 없는 것보다는 낫지만" 피싱 방지 MFA가 판도를 바꿀 수 있다고 덧붙였습니다. 또한 Microsoft 365나 Google Workspace와 같은 플랫폼의 무료 도구도 언급했습니다.
- 로그를 살펴보세요: 메시지가 읽음으로 표시되어 숨겨진 폴더로 이동되거나 이상한 장소에서 로그인되는 등 이상한 이메일 규칙이 있는지 확인하세요.
- 교활한 공격에 대비하세요. 브래드는 "사용자가 접근 권한을 얻으면 사용자의 행동을 관찰하고 근처에 기계를 설치해" 무단 로그인을 발견하기 어렵게 만든다고 말했습니다.
최소 권한으로 피싱 피해 제한
또 다른 중요한 아이디어는 누군가 해킹당했을 때 피해를 줄이기 위해 접근을 제한하는 것이었습니다. 브래드는 "그냥 모든 것에 대한 접근 권한을 주는 게 아니라, 필요한 것에 대한 접근 권한을 부여해야 합니다."라고 말했습니다. 존은 이를 잠수함에 비유했습니다. "한 부분에 침입이 있다고 해서 잠수함 전체가 침몰하는 것은 아닙니다." 방법은 다음과 같습니다.
- 충분한 액세스 권한만 제공하세요. Office 365 또는 Google Workspace에서 직원이 SharePoint나 Teams가 아닌 이메일이나 Word와 같이 필요한 도구만 사용하도록 허용하세요.
- 진행하면서 조정하세요: 누군가의 업무가 바뀌면 업무 속도를 늦추지 않고 보안을 유지하기 위해 접근 권한을 업데이트하세요.
짧고 빈번한 훈련은 긴 강의보다 효과적입니다
일 년에 한 번 하는 한 시간짜리 훈련은 잊어버리세요. 존과 브래드는 짧고 규칙적인 알림이 더 효과적이라고 말했습니다. 존은 Lightspeed가 뉴스레터에 "이주의 팁"을 어떻게 올리는지 공유했고, 브래드는 모두가 정신을 차릴 수 있도록 "더 짧고 규칙적인 소통"이라는 아이디어에 만족했습니다. 그들은 다음과 같이 제안했습니다.
- 주간 업데이트: "지금 무슨 일이 일어나고 있는지 알려드리겠습니다. 다른 K-12 조직이 해킹당한 링크도 있습니다."와 같이 실제 사례를 담은 간단한 이메일을 보내세요.
- 보고를 쉽게 만들어 보세요. 직원들에게 이상한 이메일을 신속하게 신고하도록 독려하고, 판단하지 마세요.
마무리: 피싱에 대한 경계를 유지하세요
브래드의 마지막 말은 직설적이었습니다. "사용자들이 피싱의 표적이 되고 있다는 사실을 확실히 인지하도록 하세요. 그들은 확실히 피싱의 표적입니다. 100%." 그는 대부분의 기기에서 작동하는 패스키를 비학생 계정에 사용할 것을 강력히 권고했습니다. 존은 CoSN 보고서와 CISA 웹사이트에서 더 많은 조언을 얻을 것을 제안했습니다.
피싱은 대기업만의 문제가 아니라 학교에도 심각한 타격을 주고 있습니다. 학교는 피싱에 대한 인식을 확산하고, 피싱 방지 MFA를 활용하고, 무료 도구를 활용함으로써 위험을 크게 줄일 수 있습니다. 존과 브래드가 Lightning Chat 에피소드 6에서 보여주었듯이, 몇 가지 현명하고 저렴한 조치만으로도 학생, 교직원, 그리고 데이터를 보호할 수 있습니다. 전체 에피소드를 시청하세요 그리고 항상 경계하세요!
