<Summary>

1. 업종 : 유통
2. 임직원 수 : 2,500명 / 근무지 300명 내외
3. 테스트 배경
 - 여러 매체를 통해 접하는 각종 보안사고에 대한 두려움 존재 
 - 회사 특성 상 내외부 수신 메일 다수, 고객/공공기관/경찰청 등에서도 메일 수발신
 - 근무 초기 고객을 가장한 송금요청 피싱메일 수신으로 인해 사고 발생 위험이 있었음
 - 사내 보안의식 고취 및 보안강화를 위한 임원진 설득, 예산 편성을 위해 훈련 시행
4. 테스트 내용
 - 영업부는 교통범칙금 템플릿, 인사/총무부는 행정공제회 퇴직급여 템플릿 사용
 - 내근직은 2~3일, 내근+외근 조직은 4~5일, 외근 조직은 1주일 이상으로 훈련시간 설정
5. 테스트 결과

참여인원	열람	다운로드	감염	감염률
298	130	126	31	10.4%

6. 결론
 - email 값만으로 20~30분안에 모의 테스트가 가능하여 다양한 수법에 빠르게 대응 가능
 - 훈련에 대한 상세한 분석결과 및 대쉬보드로 보고가 용이함
 - 훈련 과정에서 현업에서 관련 메일 수신 후 문의가 빗발쳐 업무능률이 떨어진다는 항의도 있었으나, 훈련 효과가 좋아서 발생한 것이라고 판단
 - 머드픽스측의 공식 Support 채널이 없어 기술지원을 받는 데에 어려움이 있었으나 곧 해결 될 것으로 기대

<Review>

악성메일 모의훈련 서비스 “Mudfix” 솔직 Review

<Intro>

피싱 / 스팸메일을 통해 발생되는 각종 보안관련 사건/사고들에 대해 여러 매체를 통해 내용을 접할 때 마다 전산담당자로서 두려움과 걱정이 들면서 한편으로는 내가 몸담고 있는 이 회사/조직은 과연 이런 보안사고로부터 얼마나 안전할 수 있을까 하는 질문을 스스로 하곤 합니다.

아마 현업에서 일하고 계시는 대부분의 전산담당자 들이라면 얼추 비슷한 상황일 것 이라고 생각되는 부분이 매일매일 End-user 단에서 발생되는 각종 issue 들을 신속히 처리해주어야 하는 IT부서의 숙명에 추가적으로 진행되는 Project까지 동시 다발적으로 업무를 처리하다 보면 그야말로 그로기 상태가 되는 것이 현업 전산담당자들의 현실이죠.

누구나 보안은 중요하고 사고가 일어나기 전에 대비 해야함을 알지만 서도 사실 이걸 어떻게 진행해야 할까 생각하면 답답한 마음이 많이 듭니다. 
마치 언제 터지지 모를 폭탄을 끌어안고 있는 상황과 비슷한 모양새 일 것 같습니다

제가 근무하고 있는 회사의 경우 그룹사 전체로 보면 약 2,500명 제가 근무하고 있는 지역 본부의 경우 약 300여명 이 근무하는 정도의 조직으로 주력업종은 차량판매이다 보니 필연적으로 대내외적으로 수신하는 메일 송신처 또한 고객/공공기관/은행/경찰청 등등으로 다양할 수 밖에 없는 환경입니다.

일례로 제가 현 포지션에 근무를 시작한지 얼마 되지 않은 시점에 고객사를 가장한 송금요청메일이 수신되는 issue가 있었는데 재경부서 직원이 일반적으로 수신되는 송금일자가 아니어서 확인하는 과정에서 피싱 메일이라는게 확인되어 다행히 추가적인 사고는 일어나진 않았었습니다.

그런데 참 사람은 망각의 동물이라고 IT부서 입장에서는 이게 보안에 대한 인지와 경각심을 높 일수 있는 하나의 좋은 기회라 생각했지만 경연진은 금세 잊어버리더군요.

  정말 다시 한번 느끼게 된게 경영진들에 대한 설득이 참 난공불락의 성을 오르는 기분인 것 같드라구요.

 가뜩이나 IT부서는 돈쓰는 부서라는 인식이 팽배한 경영진들을 설득 시키는데 있어서 적절한 자료 또는 증빙이 없이 요즘 보안사건사고가 많으니 우리도 대비 해야 합니다 그러니 예산 편성해주셔야 합니다~ 이런식으로 두리뭉실하게 보고를 한다면 아마 돌아오는 첫말은 우리가 뭐가 얼마 위험한건데… 라는 말이지 않을까 싶습니다.

 저는 이번에 리뷰한 Mudfix 제품의 근본적인 사용목적과 장점이 바로 여기 있다고 생각됩니다.

해서 금번 리뷰 글 에서는 Mudfix 제품 기능에만 주안점을 두는것이 아니라 훈련 시나리오, 훈련진행시 발생되는 어려운점, 효율적인 훈련방법 tip 등 현업전산담당자의 시각으로 전방위적으로 해당 제품을 파악해 보았습니다.

<index>

#1. mudfix Background
#2. 모의훈련 Step by Step
#3. 모의훈련 프로세스 with 스크린샷
#4. 훈련결과 보기
#5. 총평

 

#1. Mudfix Background

새로운 솔루션을 도입할 때 고려할 부분은 여러가지죠. 기능, 가격, 성능, 호환성 등등등 생각하려하면 끝도 없지요. 그런데 저는 전산관리자 생활을 하면서 당연한거지만 놓쳐서 나름 지옥을 경험했던적이 있었습니다.

바로 솔루션을 제공/개발 하는 회사의 실태를 간과 했다가 해당업체가 도산하면서 타격이 심했었습니다. 예상하실 수 있듯이 업체가 도산하게 되면 운용/유지보수/고도화 등등은 기대자체가 불가하지요.

해서 금번 리뷰에서도 background 부분에 대해 간단하게나마 집고 넘어가고자 합니다.

1-1. Mudfix 공급업체 배경

Mudfix 제품은 ㈜에스에스알에서 제공하는 솔루션으로 해당 업체는 과학기술정보통신부에서 지정한 정보보호 전문서비스기업으로 공공 및 대기업, 금융/교육/의료기관을 대상으로 취약점 진단, 정보보호 관리체계 수립, 개인정보보호 컨설팅, IT 솔루션개발과 구축을 포함한 종합 보안 서비스를 제공하는데 특화된 업체입니다.

주요제품은 Mudfix를 비롯한 취약점 진단 솔루션 SolidStep, 웹 해킹 방지 솔루션 MetiEye 등이 있습니다.

1-2. 공급업체 재무건전성

 해당업체를 기업공시 시스템 DART를통해 확인결과 2017년 기준 매출액 규모가 약 113억 규모로 지난 2010년 창업이례 괄목한 만한 성장세를 지속적으로 유지하고 있고 근래 들어 코스닥 상장된 업체로 회사가 도산할 염려는 할 필요가 전혀 없어 보입니다..

1-3. 업계평판 및 조직

특히 메인 라인업중 하나인 SolidStep은 2017년 조달 기준 약 90% 이상을 차지할 정도로 독보적인 시장점유율을 가지고 있어 보안솔루션 업계 내에서는 무시할만한 업체는 전혀 아니라고 판단 됩니다.

영업력 또한 솔루션 별 2개의 조달총판 업체와 20여개의 파트너사로 이루어진 유통 체계를 구축하여 수도권, 충청권, 전라권, 경상권 등을 가지고 있어 특히 지방소재에 회사에서 근무하고 있는 전산 관리자 분들도 상담 및 견적등을 진행하는데 특별한 제한사항은 없는 듯 하네요.

더불어 관리자들 입장에서 볼 때 솔루션 구매이후 운용/유지보수 부분을 생각 하였을 때 이를 지원해줄 수 있는 전문인력이 솔루션 업체 쪽에 얼마나 확보 되어있는지 체크해야할 포인트로 해당 업체는 전체인력 90여명중 80% 이상이 연구개발, 보안컨설턴트, 기술지원에 할애되었으며 그중 기술지원 전담 인력이 15명 정도로 전체인력 대비 제법 적지 않은 인원을 기술지원 파트에 배속 시킨 듯 하여 장애발생시 빠른 대응을 기대할 수 있을 듯 합니다.
 

#2. 모의훈련 Step by Step

 금번 모의훈련을 실시하면서 다음과 같은 before test, after test 라는 카테고리로 내용을 정리해보았습니다. 
 회사별 또는 산업군 특성에따라 IT부서 내부 규정/체계 등이 일부 다를순 있겠으나 크게 보면 대동소이 할 것 같네요. 아래의 모의훈련 step을 참조하신다면 IT부서 내부 승인이나 경영진단 보고시 참조하시면 조금더 smooth하게 모의훈련이 진행되지 않을까 하는 생각이 듭니다.

 

#3. 모의훈련 프로세스 with 스크린샷

1) 훈련대상자 등록
Mudfix 쪽에서 제공한 Excel Template 이용 하여 훈련대상자 일관 Upload 실시



1-1) * 주의사항 * 파일명을 변경하여 Upload 실시할경우 아래와 같이 Error 발생함
꼭!! 기존 파일명을 그대로 유지한 상태에서 Upload 실시해야함


2) 환경검사 체크실시
아래와 같이 훈련에 필요한 조건이 모두 충족 되면 각 항목의 색이 모두 “녹색”으로 표기됨참고로 “훈련대상 태그 있음” 과 “성공적으로 발송된 훈련양식(템플릿)이 있음” 부분은 권장사항이며 필수 사항은 아님



3) 훈련명 및 훈련시간 기입
 훈련일자는 회사특성을 감안하여 설정하시면 되는데 제가 훈련 Test를 한경험을 비추어 봤을때 근무일자 기준으로 내근직 위주의 조직은 “2~3일”, 내근 + 외근 조직의 경우 “4~5일”, 외근조직일 경우 “1주일 이상”을 잡으시면 좋을 것 같습니다.
*주의사항* 훈련명 기입시 특수



3-1) *주의사항* 훈련명 기재시 특수문자(e.g. ( ), #, !, @ 등등)을 기입하지 않아야 합니다.
특수문자 기입시 다음과 같이 오류가 발생 될 수 있음



4) 대상자 지정
 아래와 같이 훈련진행을 원하는 대상자 태그를 선택 하여 훈련대상자를 지정해 줍니다.



추가적으로 Mudfix측에서 제공한 Excel Template을 통해 upload 진행시 태그 칼럼에 원하는 부서명(e.g. 영업부, 인사, 총무, IT 등등) 등을 사전에 정의 하면 부서별로 훈련도 가능하고 또한 결과 보고시에도 부서별 훈련결과를 볼 수 있어서 꼭!! 활용하셔야 할 기능이라고 생각 됩니다.
 더불어 저도 처음에 용어때문에 살짝 헷갈렸던 부분이 태그 부분이 었는데 “태그=그룹” 이렇게 이해하시면 딱 맞다고 볼 수 있습니다.

<대상자지정 완료화면>

5)  훈련양식 지정
훈련 대상자가 지정이 되면 사용하고자 하는 훈련템플릿을 선택 합니다.
추가적으로 수신성공이 완료된 템플릿의 경우 톱니바퀴 모양 아이콘이 “녹색”으로 변경됩니다.


훈련Tip !! #1
 Phishing의 효과를 높이기 위해 각부서 또는 훈련 대상개인별로 최적화된 템플릿을 선택 하는것이 좋습니다.

예를 들자면 차량을 가지고 외근이 잦은 영업부는 “교통범칙금” 템플릿을 선택하고
 업무상 외부공문을 많이 수신하는 인사/총무부 의 경우는 “행정공제회 퇴직급여” 템플릿을 선택  하면 더욱더 좋은 훈련결과를 기대할 수 있다고 생각 되네요.

 6)  최종확인 단계
 최종 훈련메일 송부전 다음과 같이 설정한 내용이 summary가 됩니다.
설정 내용중 특이사항이 없을경우 하단부의 “실행” 버튼을 클릭하면 모의훈련이 시작 됩니다.

 

#4. 훈련결과 보기

훈련결과확인
설정한 훈련일정이 종료된 이후 Mudfix 접속을 하면 다음과 같이 Dashboard 형태로 훈련간 정보가 일목요연하게 정리가 됩니다.


- 훈련결과정보 detail -


- 감염 가능 파일 정보 –
 훈련 대상자중 첨부된 exe 파일이나 링크를 통해 감염가능 PC 내역들은 위젯을 통해 제공됩니다. Summary 내용은 총 감염가능 전체파일수량 및 용량, 감염 가능 파일 Type, 감염대상으로 세분화 됩니다.



- 감염PC 정보 –
 훈련 대상자중 어떤 PC가 감염이 되었는지 detail한 정보를 확인하고자 할때는 하기 표기된 부분을 클릭하면 감염 대상자의 PC Name, IP , 대상자성명 을 비롯하여 각 PC별 총감연개수/총감염크기 등등 detail한 정보확인이 가능합니다.



- 감염파일 정보 –
 전체 훈련대상자중 어떤 파일이 주로 감염되었는지 파일기준으로 정리가 되어 관리자에게 report를 제공 하는 메뉴로 파일기준에서 detail한 정보를 보고자 할 때 유용하다고 생각되네요.

- 태그(그룹)별 감염파일 정보 –

 개인적으로 가장 유용했던 부분중 하나가 바로 이 태그(그룹)별 감영파일 정보 부분이었습니다.

경연진단에 훈련결과 보고를 진행시 부서별로 detail하게 요약정리하여 보고하니 듣는사람도 이해가 빠르고 무엇보다도 각부서별로 보이지않는 경쟁심이 자연스럽게 발생해 그동안 IT부서에 뻣뻣하게 굴던 타부서장들도 훈련결과에 대해 살짝 긴장타면서 결과적으로 IT부서의 위상이 높아지는 부가수익도 있었던 점이 기억에 많이 남네요 ^^


 

- 훈련보고서 기능 –

 모의훈련 종료후 하기 표시된 “보고서” 부분 클릭시 엑셀파일 형태로 export가 가능함으로 관리자 필요에 따라 export된 엑셀파일을 가지고 재가공에 용이 하다.


<캡쳐#1>



 
<캡쳐#2>


 

#5. 훈련총평

금번 Mudfix 제품 모의테스트를 진행하면서 느낀 장점은 “Easy & Comfortable” 라는 단어로 정리가 되는 듯 합니다.
특정 SI업체나 대기업군을 제외한다면 대부분의 기업체 IT담당자의 근무환경은 1~4명 정도 수준으로 생각되는데 가뜩이나 인력과 자원이 부족한 상황에서 IT관리자라면 누구나 공감이 가는 보안강화 라는 부분은 어찌보면 “그림의 떡” 이라는 느낌이 들었던게 사실 입니다.
 하지만 앞에서 언급하였듯이 Test를 진행하는 과정이 심플하고 어렵지 않은 장점은 이런 관리자들의 걱정을 일축 시킬수 있을 듯 하네요.

 - Easy –
 우선 관리자 입장에서 테스트 대상자에 대한 Email 정보값만 있다면 채 20~30분 정도안에 즉각적인 즉각적인 모의 테스트가 가능함으로 변화무쌍한 Fishing 수법에 대해 관리자 쉽고 빠르게 대응 할 수 있는 점
 - Comfortable –
 훈련결과 값을 감염PC별, 감염파일종류별, 태그(그룹)별로 detail하게 분석이 가능하고 더불어 해당내용들이 그래픽화 되어 표기됨으로써 관리자가 경영진단에 보고하기가 용이한 점
 

<훈련제한사항>

이번 모의훈련을 진행함에 있어서 아쉽다고 느껴진 점은 기술적인 문제보다는 기술외적인 문제였었습니다. 약 300여명의 모의테스트 대상자에게 메일을 송부한지 얼마 되지 않아 IT부서로 일시에 많은 문의 전화가 빗발치면서 일시적이긴 했지만 IT부서의 업무가 마비되었던 점과 일부 지점과 부서에서는 메일을 수신한 훈련 대상자가 직접 경찰청에 문의 전화를 하는듯 헤프닝도 있었습니다. 
 훈련을 진행하는 IT담당자의 입장에서는 어쩌면 저런 헤프닝이 오히려 훈련의 현실성과 진정성이 느껴지는 부분이나 타부서에서는 이점을 꼬투리 잡아 이런 문제로 인해 업무의 지연이 발생되어 업무능률이 떨어진다는 근시안적 발언을 하면서 태클을 걸더군요.
 물론 훈련결과치를 각부서장들의 얼굴에 들이밀면서 반박을 하니 더 이상 크게 딴지를 걸진 않았지만 경연진단에서는 이런 불협화음 자체를 불편해 하더군요.
 그러다 보니 원래 계획은 1차모의 훈련 실시후 약 1~2주일 정도의 기간을 두고 2차 훈련을 진행하려 하여 변화의 추이를 한번더 보고자 했으나 타부서의 견제와 경연진의 염려로 일단 최소1~2개월 이후에 다시 훈련 진행하는 방향으로 절충 하였습니다.

<Mudfix 개선사항>

이번 훈련에서 Mudfix 제품에 대해 다소 아쉬었던 점은 별도의 공식 Support 채널의 부재였던것 같습니다. 물론 아직 준비중 일수도 있겠으나 금번 모의훈련 테스트 중에는 문제발생시 Direct로 신속하게 연락을 취할 수 있는 전용 Call Center 등이 없다 보니 공식홈페이지의 연락처로 연락을해서 물어물어 어렵게 담당자가 연락되다 보니 이점은 보안이 좀 필요하다 생각됩니다.

앞에서도 말했듯이 현업의 IT 담당자들은 밀려드는 End user의 issue를 처리하기에도 하루가 짧은 사람들이다 보니 무언가 여유있게 들여다볼 여유자체가 없는 분들이 대부분이라고 생각 됩니다. 해서 Mudfix 측에서 현업IT 담당자들의 상황을 고려하여 전용 Support Call Center 등을 따로 운용 한다면 시장에서 더욱더 좋은 호평을 받지 않을까 생각 되네요.

- 리뷰는 머드픽스의 지원으로 진행되었습니다 -

Mudfix(머드픽스) 제품 보기