Skip to content
Published on

AI 피싱 시뮬레이션 & 보안 인식 훈련 2026 완벽 가이드 - KnowBe4 · Hoxhunt · Cofense · Proofpoint Security Awareness · Infosec IQ · Mimecast Awareness · Sophos Phish Threat · NINJIO · CybSafe · Living Security 심층 분석

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

프롤로그 — 사람이 가장 약한 고리라는 30년 명제

1995년 Kevin Mitnick은 자서전에서 "기술적 침투보다 전화 한 통이 더 빨랐다"고 적었다. 30년이 지난 2026년에도 Verizon DBIR(Data Breach Investigations Report)은 사건의 약 68 %가 인간 요소(human element)를 포함한다고 보고한다. 사회공학(social engineering), 도난 자격 증명, 단순 실수의 합이다.

달라진 것은 공격의 진입 비용이다.

  • 2018년 — 피싱 메일 한 통의 비용 — 영어권 원어민이 직접 작성. 시간당 비용 30-100 USD.
  • 2026년 — GPT-4·Claude 자동 생성 — 메일 한 통 0.001 USD. 1만 통도 10 USD.
  • 음성 클로닝 — ElevenLabs가 3분 음성 샘플로 CEO 목소리 복제. 한 달 22 USD 구독.
  • 딥페이크 영상 — HeyGen·Synthesia가 정적 사진에서 영상 통화 수준의 결과를 만든다.

2024년 2월, 영국 엔지니어링 회사 Arup의 홍콩 지사 직원이 영상 통화로 본사 CFO와 동료들을 만났다. 모두 딥페이크였다. 2,500만 달러(약 340억 원)가 송금되었다. 보안 업계의 분기점이었다.

이 글은 그 변화를 직시한다. 22개 챕터로 나누어 — KnowBe4부터 GoPhish까지, NIST Phish Scale부터 한국·일본 모의훈련까지 — 실제 도구·실제 사건·실제 URL을 한 흐름으로 묶는다.

1장 · 왜 AI 피싱 시뮬레이션이 2026년의 화두인가

GenAI 등장 전 피싱은 패턴이 단순했다. "Dear customer, your account has been suspended"식 어색한 영어. 한글 메일은 더 노골적이었다 — "고객님 통장이 압류되었습니다" 같은 명백한 위조.

2024년부터 풍경이 바뀌었다. 보안 연구 단체(예: SoSafe, Egress, IRONSCALES)들이 2024-2025년 발표한 보고서는 일관되게 다음을 지적한다.

  • AI 생성 피싱의 클릭률 — 사람이 만든 미끼 대비 1.5~3배.
  • 언어 정확성 — 영어·한국어·일본어 모두 원어민 수준.
  • 개인화 — LinkedIn·페이스북 공개 정보를 GPT가 요약해 1:1 맞춤.
  • 양과 속도 — 일 1,000 통 작성이 1인 공격자에게 가능.

이게 핵심이다. "AI가 인간 못지않은 피싱을 만든다"가 아니라 "1인 공격자가 1만 명을 타겟팅할 수 있다"는 양의 변화. 그래서 2026년 보안 인식 훈련은 단순한 "이메일 조심" 캠페인을 넘어, **행동 변화(behavior change)**와 **인간 위험 관리(human risk management)**라는 새 패러다임으로 이동했다.

[2026년 보안 인식 훈련의 4계층]
  1. 시뮬레이션          — 가짜 피싱 메일 발송, 클릭률 측정 (KnowBe4, Hoxhunt)
  2. 실시간 학습          — 클릭 즉시 마이크로 러닝 모듈 (Hoxhunt, CybSafe)
  3. 행동 분석            — 위험 사용자 점수화 (Living Security, Elevate)
  4. 위협 인텔리          — 실제 캠페인 데이터로 시뮬레이션 업데이트 (Cofense, Proofpoint)

각 계층은 다른 도구가 채운다. KnowBe4는 1-2계층, Hoxhunt는 2-3계층, Cofense·Proofpoint는 4계층 + 인시던트 대응.

2장 · KnowBe4 — Stu Sjouwerman과 4,000만 사용자

KnowBe4(knowbe4.com)는 2010년 Stu Sjouwerman이 미국 플로리다 클리어워터에서 설립했다. Stu는 Sunbelt Software를 매각한 후 보안 인식 훈련 전용 회사를 만들었다. Kevin Mitnick이 2011년 공동 창립자(Chief Hacking Officer)로 합류했다(2023년 7월 별세).

  • 사용자 수 — 약 6.5만 고객사, 4,000만 + 최종 사용자(2024 기준).
  • 상장 — 2021년 NYSE 상장(KNBE).
  • 재상장 폐지 — 2023년 2월 Vista Equity Partners가 약 46억 USD에 인수, 비상장 전환.
  • 핵심 제품 — KSAT(보안 인식 훈련 플랫폼), PhishER(인시던트 응대), KCM(GRC), SecurityCoach(실시간 코칭).

KnowBe4의 강점은 콘텐츠 라이브러리. "The Inside Man"이라는 자체 제작 드라마 시리즈를 비롯해 한 회사가 만들었다고 믿기 어려운 분량의 비디오·인터랙티브 모듈을 보유한다.

가격 모델(2026년 5월 기준).

  • Silver — 직원당 연 12-18 USD. 시뮬레이션 + 기본 훈련.
  • Platinum — 직원당 연 28-40 USD. PhishER + 고급 리포트 포함.
  • Diamond — 직원당 연 60+ USD. AIDA(AI 기반 미끼 추천), 모든 모듈.

가격은 직원 수·계약 기간(보통 1-3년)·지역에 따라 다르다. 미국 외 시장에서 Vista 인수 후 가격 인상 이슈가 일부 제기되었지만, 한국 기준 직원 1,000명 회사가 연 1,200-3,500만 원 수준이다.

3장 · Hoxhunt — 핀란드의 행동 과학 접근

Hoxhunt(hoxhunt.com)는 2016년 핀란드 헬싱키에서 Mika Aalto, Pyry Ahkavainen, Ari Kesäniemi가 창립. KnowBe4보다 6년 늦었지만 다른 철학을 들고 왔다.

  • 2024년 8월 시리즈 B 4,000만 USD — Level Equity, Icebreaker.vc 등.
  • 고객사 — Nokia, Telia, Kone, AirBaltic, Qualcomm 등 50개국 1,800만 + 사용자.
  • 핵심 아이디어 — 행동 과학 기반 적응형 학습. 각 사용자의 위험 프로파일에 맞춰 시뮬레이션 난이도·주제·빈도가 자동 조정.

Hoxhunt의 차별점.

  • No "Gotcha" — 사용자가 피싱을 클릭해도 부끄러움이 아닌 학습 기회로 프레이밍. 게이미피케이션 점수 시스템.
  • 적응형 난이도 — Duolingo와 유사. 사용자가 잘하면 어려워지고, 못하면 쉬워진다.
  • 실제 의심 메일 보고 — Hoxhunt 플러그인으로 사용자가 의심 메일을 보고하면 AI가 자동 분류. 진짜 위협은 SOC로, 시뮬레이션은 점수로.

Hoxhunt의 효과 데이터는 인상적이다. 자체 발표에 따르면 1년 사용 후 의심 메일 보고율이 50 %대까지 상승. KnowBe4가 "낮은 클릭률"을 자랑한다면 Hoxhunt는 "높은 보고율"을 자랑한다 — 둘은 다른 행동이다.

가격 — 공개되어 있지 않다. 직원당 연 15-30 USD 수준이 알려진 추정. 견적 기반.

4장 · Cofense — 인시던트 대응에 강한 회사

Cofense(cofense.com)는 2007년에 Aaron Higbee와 Rohyt Belani가 PhishMe라는 이름으로 창립. 2018년 회사 이름을 Cofense로 변경.

  • 2022년 3월 BlackRock 매수 — Carlyle Group과 BlackRock 컨소시엄에 매각.
  • **고객 — 약 35만 + 사용자, Fortune 500의 50 % 이상.

Cofense는 KnowBe4·Hoxhunt와 다른 자리에 있다. 시뮬레이션 + 실제 위협 인텔리 + SOC 통합이라는 구조다.

  • Cofense PhishMe — 시뮬레이션 플랫폼.
  • Cofense Reporter — Outlook·O365·Gmail 플러그인. 사용자가 한 클릭으로 의심 메일 보고.
  • Cofense Triage — 보고된 메일을 자동 분류·우선순위화하는 SOC 도구.
  • Cofense Intelligence — 실제 피싱 캠페인 위협 인텔리.
  • Cofense Vision — 메일 검색·격리(메일박스 검색).

Cofense의 차별점은 SOC 워크플로우와의 통합. 사용자가 의심 메일을 신고하면 PhishER급 자동 분류 + 인간 SOC 분석가 검토 + 자동 격리가 한 흐름으로 이어진다. 그래서 직원 1만 이상 대기업에서 인기.

5장 · Proofpoint Security Awareness Training (구 Wombat)

Proofpoint(proofpoint.com)는 2002년에 Eric Hahn이 창립, 메일 보안 게이트웨이로 시작했다. 2014년 미국 카네기멜런 대학교 출신의 Wombat Security Technologies가 만든 "ThreatSim" 시뮬레이션을 2018년 Proofpoint가 인수했다.

  • 2021년 4월 Thoma Bravo 인수 — 약 124억 USD에 비상장 전환.
  • 2023년 11월 Tessian 인수 — BEC(비즈니스 이메일 침해) 탐지 전문 영국 회사.
  • 2024년 8월 Normalyze 인수 — 데이터 보안 자세 관리(DSPM).

Proofpoint Security Awareness Training의 강점은 메일 보안 본체와의 통합. **TAP(Targeted Attack Protection)**가 실제로 막은 위협 데이터를 시뮬레이션에 즉시 반영한다. "이번 주 우리 회사로 들어온 진짜 캠페인"을 그대로 훈련 시뮬레이션으로 만들 수 있다.

  • CLEAR(Closed-Loop Email Analysis and Response) — 사용자가 신고하면 자동 분석·삭제·격리.
  • Phish Alarm 버튼 — Outlook·Gmail 플러그인.
  • Targeted Attack Protection — 실제 메일 게이트웨이.

가격은 명시적이지 않지만 직원당 연 25-50 USD 수준의 견적이 시장에 알려져 있다. 메일 게이트웨이 + 인식 훈련을 묶어 살 때 더 매력적.

6장 · Infosec IQ — Cengage 산하

Infosec IQ(infosecinstitute.com)는 2004년 Jack Koziol이 Infosec Institute로 시작. 2022년 Cengage Group(교육 출판)이 약 2.4억 USD에 인수, 현재 Infosec Skills · Infosec IQ로 분리 운영.

  • Infosec IQ — 보안 인식 훈련 + 피싱 시뮬레이션.
  • Infosec Skills — IT/보안 전문가 자격증·기술 훈련.

특징.

  • PhishSim — 자체 시뮬레이션. 1,000개 + 템플릿.
  • AwareEd — 마이크로 러닝 모듈. 평균 3-5분 짜리 비디오.
  • NIST 800-50 / 800-16 매핑 — 미국 정부·계약자 친화.

Infosec IQ는 미국 연방·주 정부 계약에서 강점을 보여왔다. NIST 800-50("보안 인식 훈련 프로그램 구축") 매핑이 명시적이어서 FedRAMP·CMMC 환경에서 쉽게 채택된다.

7장 · Mimecast Awareness Training (구 Ataata)

Mimecast(mimecast.com)는 2003년 영국에서 Peter Bauer와 Neil Murray가 창립. 메일 보안 게이트웨이로 시작했다. 2019년 미국 보스턴 기반의 Ataata라는 보안 인식 훈련 스타트업을 인수해 Mimecast Awareness Training으로 통합.

  • **2022년 5월 Permira가 약 58억 USD에 비상장 인수.

특징.

  • 풍자 코미디 콘텐츠 — 짧고 재미있는 비디오. 전통적 "보안은 진지해야 한다"는 분위기를 깬다.
  • 위험 점수(Mimecast Awareness Risk Score) — 사용자별 위험 등급.
  • 메일 게이트웨이 통합 — Mimecast Email Security와 한 플랫폼.

작은 회사 시절 Ataata의 톤이 그대로 남아 있다. "Tom & Jerry"식 슬랩스틱 보안 비디오는 호불호가 갈리지만 직원 참여율이 높다는 데이터가 있다.

8장 · Sophos Phish Threat — EDR과 한 패키지

Sophos(sophos.com)는 1985년 영국 옥스포드에서 Jan Hruska와 Peter Lammer가 창립. 안티바이러스 → EDR → MDR(Managed Detection and Response)로 확장.

  • **2020년 3월 Thoma Bravo가 약 39억 USD에 인수, 비상장.
  • **2023년 후반 ReliaQuest 일부 사업 매각.

Sophos Phish Threat은 Sophos Central 콘솔에 통합된 시뮬레이션 모듈.

  • 간단한 설정 — Sophos Central 사용자라면 추가 도구 설치 없이 활성화.
  • 500개 + 템플릿 — 영어·독일어·프랑스어·일본어·한국어 일부.
  • EDR 통합 — 사용자가 시뮬레이션을 클릭하면 Sophos EDR 콘솔에 기록.

가격은 직원당 연 5-12 USD 수준으로 KnowBe4 대비 절반 이하. 단 콘텐츠 라이브러리·고급 분석은 약하다. **"EDR을 이미 쓰는 중견기업"**에 좋은 옵션.

9장 · NINJIO — 스토리텔링 기반 1인극

NINJIO(ninjio.com)는 2015년 Zack Schuler가 미국 캘리포니아에서 창립. 다른 회사들이 "교육적인 비디오"를 만들 때 NINJIO는 "Netflix급 미니 시리즈"를 만들었다.

  • 에피소드 분량 — 3-4분. 일주일에 하나, 1년 52편.
  • 실제 사건 기반 — Equifax 유출, Twitter 비트코인 사기(2020), Colonial Pipeline(2021) 등 실제 사건을 드라마타이즈.
  • 할리우드 작가 — 에피소드 시나리오를 정식 영화·TV 작가가 작성.

NINJIO는 보안 훈련 시장의 "프리미엄 콘텐츠 브랜드". 가격이 다른 곳보다 비싸지만 콘텐츠 품질로 차별화. 2022년 ESPN, Pfizer, Dollar Tree 등 대형 고객 확보.

다만 인터랙티브 시뮬레이션은 약하다. 비디오 콘텐츠 중심이라 KnowBe4·Hoxhunt와 묶어 쓰는 사례가 많다.

10장 · CybSafe · Living Security · Elevate — 인간 위험 관리(HRM)

CybSafe(cybsafe.com)는 2015년 영국 런던에서 Oz Alashe(전 영국 군인)가 창립. "보안 인식"을 "보안 행동"으로 바꾼다는 명확한 입장.

  • SebDB(Security Behavior Database) — 70 + 보안 행동 분류 체계. 공개 자료.
  • 데이터 기반 접근 — 클릭률뿐 아니라 비밀번호 재사용, 데이터 분류, 백업 습관 등 다층 측정.

Living Security(livingsecurity.com)는 2017년 미국 텍사스에서 창립. Unify라는 인간 위험 관리(HRM) 플랫폼.

  • 위험 통합 — 시뮬레이션 클릭, EDR 알람, IAM 권한, DLP 위반을 한 대시보드.
  • 고객사 — Mastercard, Verizon, AT&T 등.

Elevate Security(elevatesecurity.com)는 2017년 Robert Fly(전 Salesforce 보안 책임자)가 창립. 2024년 Mimecast가 인수.

HRM(Human Risk Management) 카테고리는 2023-2024년 시장이 형성된 신규 카테고리. Gartner가 2024 Magic Quadrant에서 처음 정식 인정.

11장 · AwareGO · MetaCompliance · Phriendly Phishing · Curricula

소규모지만 의미 있는 도구들.

  • AwareGO(awarego.com) — 아이슬란드. 60-90초 짧은 비디오 중심. "Microlearning" 강조.
  • MetaCompliance(metacompliance.com) — 영국 벨파스트. GDPR·ISO 27001 컴플라이언스 모듈에 강점. 2024년 Marlin Equity Partners 투자.
  • Phriendly Phishing(phriendlyphishing.com) — 호주. APAC 시장 강자. Hoxhunt와 비슷한 적응형 접근.
  • Curricula(curricula.com) — 미국. 만화 캐릭터 "Joe the Hacker" 시리즈로 인기. 2022년 CrowdStrike가 인수, CrowdStrike Falcon Awareness로 리브랜드.
  • Inspired eLearning(inspiredelearning.com) — 미국 텍사스. Trustwave가 모회사였다가 2022년 분사.
  • Click Armor(clickarmor.ca) — 캐나다. 게이미피케이션 강조.
  • Habitu8(habitu8.com) — 미국. 짧은 비디오 시리즈.
  • Terranova Security(terranovasecurity.com) — 캐나다 퀘벡. 2022년 Fortra(전 HelpSystems)가 인수.

이들은 각각 지역·산업·콘텐츠 톤에서 차별화한다. 대형 다국적 기업은 KnowBe4·Proofpoint를, 중견기업은 Sophos·Mimecast를, 특정 산업/지역은 NINJIO·MetaCompliance·Phriendly를 선택하는 패턴이 일반적.

12장 · GoPhish — 오픈 소스 피싱 시뮬레이션의 표준

GoPhish(getgophish.com)는 2015년 Jordan Wright가 만든 오픈 소스 피싱 시뮬레이션 프레임워크. Go 언어로 작성, MIT 라이선스.

  • GitHub — github.com/gophish/gophish, 약 10,000 + 별.
  • 기능 — 캠페인 생성, 메일 템플릿, 랜딩 페이지, 결과 대시보드.
  • 자체 호스팅 — 단일 바이너리. 30분이면 설치 + 첫 캠페인.

GoPhish의 가치는 모의 침투 테스트(red team)소규모 조직 자체 훈련에 있다. KnowBe4 라이선스 수억 원이 부담스러운 100명 미만 회사가 GoPhish + 자체 콘텐츠로 충분한 훈련을 만들 수 있다.

# GoPhish 설치 (단순화 버전)
wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip
unzip gophish-v0.12.1-linux-64bit.zip
cd gophish
./gophish
# https://localhost:3333/ 접속

다른 오픈 소스 도구들.

  • King Phisher(deprecated) — Rapid7의 Spencer McIntyre가 만들었지만 2022년 개발 중단.
  • Evilginx2(github.com/kgretzky/evilginx2) — Kuba Gretzky. 진보한 MITM 피싱(2FA 우회). 정식 red team 도구로 분류, 일반 훈련에는 사용 안 함.
  • SET(Social-Engineer Toolkit) — David Kennedy의 Kali Linux 기본 포함 도구.
  • Modlishka(github.com/drk1wi/Modlishka) — 폴란드의 Piotr Duszyński. Evilginx와 유사.

Evilginx2·Modlishka는 합법적 침투 테스트 또는 보안 연구에만 사용해야 한다. 실제 사용자 자격 증명을 캡처할 수 있어 법적 책임이 따른다.

13장 · NIST Phish Scale — 객관적 난이도 측정

미국 NIST(국립표준기술연구소)가 2020년에 공개한 NIST Phish Scale(csrc.nist.gov/publications/detail/sp/800-53/rev-5/final 관련 후속)은 피싱 메일의 객관적 난이도를 측정하는 프레임워크다.

  • 단서(Cue) 카운트 — 메일에서 의심할 수 있는 단서(어색한 인사말, 도메인 불일치, URL 변조 등)의 개수와 강도.
  • 맥락 정합성 — 메일이 수신자의 실제 업무 맥락과 얼마나 맞는가.
  • 난이도 등급 — Least Difficult / Moderately Difficult / Most Difficult.

NIST Phish Scale은 클릭률 비교를 의미 있게 만든다. KnowBe4가 "우리 회사 클릭률 5 %"라고 보고할 때, 그 메일이 NIST 기준 Least Difficult였다면 5 %는 형편없는 결과다. 반대로 Most Difficult였다면 우수한 결과다.

2024-2025년 다수 기업이 자체 KPI에 NIST Phish Scale을 도입했다. 단순 클릭률을 넘어 "난이도 보정 클릭률"을 측정한다.

14장 · 실제 사건 — MGM · Caesars · Twilio · Lapsus$

이론보다 실제 사례가 훈련의 가치를 보여준다. 최근 5년 굵직한 인간 요소 사건들.

  • MGM Resorts(2023년 9월) — Scattered Spider(ALPHV/BlackCat 제휴)가 IT 헬프 데스크에 전화해 직원 자격 증명 초기화 요청. 통신 마비, 호텔·카지노 시스템 정지. 손해 추정 1억 USD +.
  • Caesars Entertainment(2023년 8월) — 같은 그룹. 보고에 따르면 약 1,500만 USD 몸값 지불.
  • Twilio(2022년 8월) — 직원 SMS 피싱(스미싱). Okta 자격 증명 유출. 후속 공격으로 Cloudflare, Cisco, Mailchimp 등 100 + 회사에 영향.
  • Cisco(2022년 8월) — 직원 개인 Google 계정 자격 증명 → MFA 폭격 + 음성 보이싱으로 MFA 우회. 내부 네트워크 침입.
  • Uber(2022년 9월) — 18세 공격자가 MFA 폭격 + Slack 자격 증명 도용. 내부 시스템 광범위 노출.
  • Lapsus$ 그룹(2022년 1-3월) — Microsoft, Nvidia, Samsung, Okta, Vodafone, T-Mobile 등 침해. 보이싱·SIM 스왑·내부자 매수가 주요 기법.
  • Arup(2024년 2월) — 영국 엔지니어링 회사. CFO + 동료 다수의 영상 통화 딥페이크. 홍콩 직원이 2,500만 USD 송금.
  • Coinbase(2025년 5월) — 내부 직원·계약자 매수 + 사회공학으로 일부 고객 데이터 유출. 약 4억 USD 손해 추정.
  • Change Healthcare(UnitedHealth)(2024년 2월) — ALPHV 랜섬웨어. MFA가 없는 Citrix 자격 증명 유출이 시작점. 미국 의료 시스템 광범위 마비.
  • Marks & Spencer(2025년 4월) — Scattered Spider. 영국 소매업 마비.

공통점: 사람이 첫 진입점, MFA 우회, 헬프 데스크·IT 직원이 표적이다. 2026년 보안 인식 훈련은 일반 직원뿐 아니라 IT/SOC 운영자·헬프 데스크 직원을 별도 트랙으로 훈련하는 추세.

15장 · 딥페이크 음성 · 영상 시뮬레이션

Arup 사건 이후 보이싱(vishing) + 딥페이크 영상 시뮬레이션이 빠르게 시장에 진입했다.

  • KnowBe4 Smishing & Vishing — SMS·음성 시뮬레이션. AI 음성 생성으로 CEO/CFO 페르소나 시뮬레이션.
  • Cofense Voice — 보이싱 캠페인 모듈.
  • Hoxhunt — 2024년 보이싱 시뮬레이션 베타.
  • Pindrop Security — 콜 센터 보이싱 탐지(시뮬레이션 아닌 실시간 탐지).
  • DeepMedia — 정부·기업 딥페이크 탐지 SaaS.
  • Reality Defender — 딥페이크 탐지. 통화·이미지·영상 다 분석.

시뮬레이션 윤리 — 직원에게 가짜 CEO 영상 통화로 송금을 요구하는 시뮬레이션은 윤리적 회색지대다. 일부 회사는 그런 시뮬레이션 자체를 금지(직원 신뢰 훼손, 정신적 충격). 다른 회사는 사전 동의 + 명확한 디브리핑 조건으로 도입.

대부분 보안 컨설팅 회사는 고위험 임원·재무 부서에만 한정해 보이싱·딥페이크 시뮬레이션을 진행한다.

16장 · MFA 폭격 · 푸시 알림 피로 공격

**MFA 폭격(MFA bombing / push notification fatigue attack)**은 2022년부터 급증한 공격 패턴이다.

  • 공격 시나리오 — 공격자가 도난 자격 증명으로 로그인 → MFA 푸시 알림이 사용자 폰에 떠도 → 한밤중에 수십 번 연속 알림 → 사용자가 짜증나서 "Approve" 누름.
  • 표적 — Uber(2022), Cisco(2022), Microsoft(Lapsus$ 2022) 등.
  • 방어 — Number Matching — Microsoft Authenticator, Okta Verify, Duo가 2022-2023년 도입. 사용자가 푸시뿐 아니라 화면에 표시된 숫자를 폰에 입력해야 승인.
  • 방어 — Passkeys / FIDO2 하드웨어 토큰 — Yubico YubiKey, Google Titan Security Key. 피싱 내성(phishing-resistant). 도메인 바인딩으로 가짜 사이트 인증 불가.

2024-2025년 NIST SP 800-63 4판 공식 권고: 푸시 알림 + 비밀번호 조합을 점진적으로 FIDO2 / Passkey로 대체. 한국 KISA도 동일 방향 권고.

보안 인식 훈련 측면에서 직원이 "이게 내가 시작한 로그인이 아니면 절대 승인하지 말 것"이라는 메시지를 반복적으로 받는 게 중요. KnowBe4·Hoxhunt 모두 2023-2024년 MFA 폭격 시뮬레이션 모듈을 추가했다.

17장 · 이메일 보안 보조 도구 — Abnormal · IRONSCALES · Material · Tessian

피싱 시뮬레이션과 한 패키지로 묶이는 이메일 보안 도구들.

  • Abnormal Security(abnormalsecurity.com) — 2018년 Evan Reiser 창립. BEC 탐지 전문. AI 행동 모델링이 핵심. 2023년 후반 시리즈 D 후 평가 약 50억 USD.
  • IRONSCALES(ironscales.com) — 2014년 이스라엘. 자동 응대(Auto-remediation) 강조. SOC 부담 감소.
  • Material Security(material.security) — 2017년 미국. 메일박스 격리 + 데이터 분류. Andreessen Horowitz 투자.
  • Tessian(tessian.com) — 2013년 영국. 2023년 11월 Proofpoint가 인수. BEC + Insider threat 탐지.
  • Avanan(avanan.com) — 2014년 이스라엘. 2021년 Check Point Software가 인수. M365·Google Workspace API 기반.
  • INKY(inky.com) — 미국. 컴퓨터 비전으로 위조 브랜드 로고 탐지.
  • Slashnext(slashnext.com) — URL·메시지 보호. 2023년 ZeroFox가 인수.

이들은 기존 메일 게이트웨이(Microsoft Defender for Office 365, Proofpoint TAP)를 보완하는 API 기반 솔루션이다. 메일이 게이트웨이를 통과한 후에도 메일박스에서 다시 검사한다.

18장 · 피싱 내성 인증 — Passkey · FIDO2 · WebAuthn

훈련만으로는 한계가 있다. 기술적 통제가 결합되어야 한다.

  • FIDO2 / WebAuthn — W3C 표준. 2019년 정식화. 도메인 바인딩으로 피싱 사이트에서 절대 인증되지 않음.
  • 하드웨어 키 — Yubico YubiKey, Google Titan Security Key, Feitian K9 등. USB-A / USB-C / NFC.
  • Passkeys — 2022년 Apple·Google·Microsoft 공동 발표. 디바이스 동기화 가능한 FIDO2. iCloud Keychain, Google Password Manager에 저장.
  • 플랫폼 인증자 — Windows Hello, macOS Touch ID, Android Biometric.

2024-2025년 큰 채택 — Microsoft Authenticator Passkeys, Apple Passkeys, 1Password Passkeys, Bitwarden Passkeys. 한국은 카카오·네이버가 일부 Passkey 도입.

보안 인식 훈련의 새 메시지 — "비밀번호 강화"가 아니라 "비밀번호를 없애자". MFA도 SMS/푸시는 점진적으로 폐기, FIDO2/Passkey로 이행.

다만 도입 장벽이 있다. 디바이스 분실 복구, 게스트 계정, 레거시 시스템 대응이 어렵다. 그래서 한 번에 가는 게 아니라 점진적 마이그레이션.

19장 · 컴플라이언스 — NIS2 · PCI DSS 4.0 · ISO 27001:2022

규정 측면에서 2024-2026년 큰 변화.

  • EU NIS2 Directive — 2023년 1월 발효, 2024년 10월 회원국 국내법 전환 마감. 중대 인프라 운영자에 정기 보안 인식 훈련 의무.
  • PCI DSS 4.0 — 2024년 4월부터 의무화. 신용카드 처리 회사에 직원 보안 인식 훈련 + 시뮬레이션 의무. 12.6 항목.
  • ISO 27001:2022 — 부속서 A.6.3(awareness, education, training) 강화.
  • HIPAA(미국 의료) — 위험 평가 + 인식 훈련 의무. 2024년 후반 OCR 가이드라인 강화.
  • GDPR(EU 개인정보) — 직접 명시는 아니지만 Article 32(보안 조치)에 인식 훈련이 사실상 포함.
  • K-PIPA + ISMS-P(한국 개인정보보호법 + 정보보호관리체계) — KISA 인증 기준에 보안 인식 훈련 명시.
  • APPI(일본 개인정보보호법) — 2022년 4월 개정안에 직원 교육 강조.
  • CCPA / CPRA(캘리포니아) — 직원 인식 훈련 권고.

이 규정들은 단순히 "훈련을 한다"가 아니라 **"훈련을 측정하고 개선한다"**를 요구한다. 그래서 시뮬레이션 + 리포트 + 개선 사이클이 컴플라이언스 친화.

20장 · 한국 보안 인식 훈련

한국 시장의 주요 도구·기관.

  • 이스트시큐리티(ESTsecurity) — 알약(V3 경쟁사). 모의 훈련 컨설팅 서비스.
  • AhnLab — V3·Safe Transaction. 기업 보안 인식 훈련 별도 모듈.
  • 시큐어아이, 시큐브, NSHC — 모의 훈련 컨설팅 회사들.
  • KISA(한국인터넷진흥원) — 매년 사이버보안 모의훈련 진행. 무료 또는 저비용으로 중소기업 참여 가능.
  • 금융보안원(FSI) — 금융사 대상 모의훈련 전담. 매년 정례.
  • 국가정보원·국방부 — 공공기관·군 대상 별도 훈련.
[한국 모의훈련 일정 — 대표 예시]
  KISA 사이버 위기대응 모의훈련   — 매년 7-8월, 일반 기업 자율 참여
  금융보안원 모의훈련              — 매년 2회, 금융사 필수
  국방부 사이버안전훈련            — 군·방산
  공공기관 자체 훈련               — 각 기관 연 1-2회

한국 시장 특성: 컴플라이언스 중심. ISMS-P 인증·금융감독원 검사·개인정보보호위원회 조사에 대응하기 위한 "증빙용 훈련"이 많다. KnowBe4·Proofpoint 등 외산 도구를 도입하는 대기업과, 국내 SI 회사가 만든 자체 훈련 시스템을 쓰는 중견기업으로 양분.

21장 · 일본 보안 인식 훈련

일본 시장은 한국과 비슷하면서도 다르다.

  • NRI Secure(nri-secure.co.jp) — Nomura Research Institute 산하. 표적형 공격 메일 훈련(標的型攻撃メール訓練) 시장 리더.
  • TrendMicro Japan — 전 세계 트렌드마이크로의 도쿄 본사. Trend Micro Phish Insight 시뮬레이션 도구.
  • GMO Cybersecurity by IERAE(gmo-cybersecurity.com) — IERAE Security 인수. 침투 테스트와 함께 시뮬레이션 제공.
  • NTT Communications WideAngle — NTT 그룹 MSS. 인식 훈련 포함.
  • LRM(lrm.jp) — 보안 인식 훈련 SaaS 일본 토종. 코미컬한 비디오 콘텐츠.
  • Hitachi Solutions 標的型攻撃メール訓練サービス — Hitachi 그룹.
  • NEC 標的型メール訓練 — NEC.
  • Fujitsu, SoftBank Technology — SI 결합형.

일본은 특히 표적형 공격 메일 훈련이라는 표현을 쓴다. APT(지능형 지속 위협) 그룹의 표적 공격에 대비. 일본 정부·방위성 관련 기업·기간 인프라가 중국·북한 APT의 표적이라는 인식이 깊다.

규정 측면에서 改正個人情報保護法(2022년 4월) + NISC(내각관방 사이버보안센터) 가이드라인이 인식 훈련을 명시.

22장 · 보안 인식 훈련의 다음 단계 — 행동 변화와 AI

2026년 보안 인식 훈련의 미래는 세 갈래다.

  • AI 미끼 자동 생성 — KnowBe4 AIDA, Hoxhunt AI Spear-Phishing Module. GPT-4·Claude가 회사 페이지·LinkedIn을 읽고 1:1 맞춤 미끼를 생성.
  • 실시간 행동 코칭 — KnowBe4 SecurityCoach, Material Security Coach. 직원이 의심 행동(외부 메일 회신, 의심 URL 클릭)을 할 때 즉시 팝업 코칭.
  • 인간 위험 점수화 + IAM 통합 — Living Security, CybSafe. 고위험 사용자에게 더 엄격한 MFA, 데이터 접근 제한.

학술 연구도 활발하다.

  • Carnegie Mellon CyLab — 보안 행동 모델링.
  • Stanford SAIL — 사회공학 LLM 연구.
  • Oxford Cyber Defence — 정부·국방 사이버 훈련.
  • KAIST · POSTECH 사이버보안 연구센터 — 한국 학계.
  • 東京大学 · NICT(情報通信研究機構) — 일본.

근본 한계 — 사람을 100 % 훈련시킬 수 없다. 그래서 **인식 훈련 + 기술적 통제(피싱 내성 MFA, 메일 격리, EDR)**의 조합이 답이다. "사람이 약한 고리"를 "사람이 강한 고리"로 만드는 게 아니라, 사람이 실수해도 큰 사고로 번지지 않는 시스템을 만드는 것.

에필로그 — Mitnick에서 GenAI까지, 30년의 교훈

Kevin Mitnick은 2002년 책 "The Art of Deception"에서 이렇게 적었다.

"보안의 가장 약한 고리는 사람이다. 그리고 가장 강력한 방어선도 사람이다."

30년이 지난 2026년에도 이 명제는 변하지 않았다. 달라진 것은 공격자의 도구다. GPT-4가 영어 원어민 수준의 BEC 메일을 0.001 USD에 생성하고, ElevenLabs가 3분 음성으로 CEO 클론을 만든다. Arup의 2,500만 USD 사건이 그 분기점이었다.

방어 측 답은 명확하다.

  • AI 시뮬레이션 — KnowBe4 AIDA, Hoxhunt 적응형, Cofense 위협 인텔리.
  • 행동 측정 + HRM — Living Security, CybSafe.
  • 피싱 내성 인증 — Passkey, FIDO2.
  • 컴플라이언스 + 측정 — NIST Phish Scale, NIS2, PCI DSS 4.0.

그리고 가장 중요한 것 — 사람을 비난하지 않는 문화. 클릭한 직원에게 부끄러움을 주면 보고율이 떨어진다. Hoxhunt가 "No Gotcha" 철학을 강조하는 이유, NINJIO가 만화 캐릭터를 쓰는 이유다.

Mitnick의 다른 명언 한 줄.

"기술이 아무리 발전해도, 한 통의 전화·한 통의 메일이 가장 빠르다."

2026년에도 그 문장은 여전히 옳다. 다만 그 전화·메일이 이제 AI가 자동 생성된다는 점만 다르다.

참고 자료

Discuss on TwitterView on GitHub