Skip to content

필사 모드: AI 피싱 시뮬레이션 & 보안 인식 훈련 2026 완벽 가이드 - KnowBe4 · Hoxhunt · Cofense · Proofpoint Security Awareness · Infosec IQ · Mimecast Awareness · Sophos Phish Threat · NINJIO · CybSafe · Living Security 심층 분석

한국어
0%
정확도 0%
💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.
원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

프롤로그 — 사람이 가장 약한 고리라는 30년 명제

1995년 Kevin Mitnick은 자서전에서 "기술적 침투보다 전화 한 통이 더 빨랐다"고 적었다. 30년이 지난 2026년에도 Verizon DBIR(Data Breach Investigations Report)은 사건의 약 68 %가 인간 요소(human element)를 포함한다고 보고한다. 사회공학(social engineering), 도난 자격 증명, 단순 실수의 합이다.

달라진 것은 공격의 진입 비용이다.

- **2018년 — 피싱 메일 한 통의 비용** — 영어권 원어민이 직접 작성. 시간당 비용 30-100 USD.

- **2026년 — GPT-4·Claude 자동 생성** — 메일 한 통 0.001 USD. 1만 통도 10 USD.

- **음성 클로닝** — ElevenLabs가 3분 음성 샘플로 CEO 목소리 복제. 한 달 22 USD 구독.

- **딥페이크 영상** — HeyGen·Synthesia가 정적 사진에서 영상 통화 수준의 결과를 만든다.

2024년 2월, 영국 엔지니어링 회사 **Arup**의 홍콩 지사 직원이 영상 통화로 본사 CFO와 동료들을 만났다. 모두 딥페이크였다. 2,500만 달러(약 340억 원)가 송금되었다. 보안 업계의 분기점이었다.

이 글은 그 변화를 직시한다. 22개 챕터로 나누어 — KnowBe4부터 GoPhish까지, NIST Phish Scale부터 한국·일본 모의훈련까지 — 실제 도구·실제 사건·실제 URL을 한 흐름으로 묶는다.

1장 · 왜 AI 피싱 시뮬레이션이 2026년의 화두인가

GenAI 등장 전 피싱은 패턴이 단순했다. "Dear customer, your account has been suspended"식 어색한 영어. 한글 메일은 더 노골적이었다 — "고객님 통장이 압류되었습니다" 같은 명백한 위조.

2024년부터 풍경이 바뀌었다. 보안 연구 단체(예: SoSafe, Egress, IRONSCALES)들이 2024-2025년 발표한 보고서는 일관되게 다음을 지적한다.

- **AI 생성 피싱의 클릭률** — 사람이 만든 미끼 대비 1.5~3배.

- **언어 정확성** — 영어·한국어·일본어 모두 원어민 수준.

- **개인화** — LinkedIn·페이스북 공개 정보를 GPT가 요약해 1:1 맞춤.

- **양과 속도** — 일 1,000 통 작성이 1인 공격자에게 가능.

이게 핵심이다. "AI가 인간 못지않은 피싱을 만든다"가 아니라 "1인 공격자가 1만 명을 타겟팅할 수 있다"는 양의 변화. 그래서 2026년 보안 인식 훈련은 단순한 "이메일 조심" 캠페인을 넘어, **행동 변화(behavior change)**와 **인간 위험 관리(human risk management)**라는 새 패러다임으로 이동했다.

[2026년 보안 인식 훈련의 4계층]

1. 시뮬레이션 — 가짜 피싱 메일 발송, 클릭률 측정 (KnowBe4, Hoxhunt)

2. 실시간 학습 — 클릭 즉시 마이크로 러닝 모듈 (Hoxhunt, CybSafe)

3. 행동 분석 — 위험 사용자 점수화 (Living Security, Elevate)

4. 위협 인텔리 — 실제 캠페인 데이터로 시뮬레이션 업데이트 (Cofense, Proofpoint)

각 계층은 다른 도구가 채운다. KnowBe4는 1-2계층, Hoxhunt는 2-3계층, Cofense·Proofpoint는 4계층 + 인시던트 대응.

2장 · KnowBe4 — Stu Sjouwerman과 4,000만 사용자

**KnowBe4**(knowbe4.com)는 2010년 Stu Sjouwerman이 미국 플로리다 클리어워터에서 설립했다. Stu는 Sunbelt Software를 매각한 후 보안 인식 훈련 전용 회사를 만들었다. Kevin Mitnick이 2011년 공동 창립자(Chief Hacking Officer)로 합류했다(2023년 7월 별세).

- **사용자 수** — 약 6.5만 고객사, 4,000만 + 최종 사용자(2024 기준).

- **상장** — 2021년 NYSE 상장(KNBE).

- **재상장 폐지** — 2023년 2월 Vista Equity Partners가 약 46억 USD에 인수, 비상장 전환.

- **핵심 제품** — KSAT(보안 인식 훈련 플랫폼), PhishER(인시던트 응대), KCM(GRC), SecurityCoach(실시간 코칭).

KnowBe4의 강점은 콘텐츠 라이브러리. "The Inside Man"이라는 자체 제작 드라마 시리즈를 비롯해 한 회사가 만들었다고 믿기 어려운 분량의 비디오·인터랙티브 모듈을 보유한다.

**가격 모델**(2026년 5월 기준).

- **Silver** — 직원당 연 12-18 USD. 시뮬레이션 + 기본 훈련.

- **Platinum** — 직원당 연 28-40 USD. PhishER + 고급 리포트 포함.

- **Diamond** — 직원당 연 60+ USD. AIDA(AI 기반 미끼 추천), 모든 모듈.

가격은 직원 수·계약 기간(보통 1-3년)·지역에 따라 다르다. 미국 외 시장에서 Vista 인수 후 가격 인상 이슈가 일부 제기되었지만, 한국 기준 직원 1,000명 회사가 연 1,200-3,500만 원 수준이다.

3장 · Hoxhunt — 핀란드의 행동 과학 접근

**Hoxhunt**(hoxhunt.com)는 2016년 핀란드 헬싱키에서 Mika Aalto, Pyry Ahkavainen, Ari Kesäniemi가 창립. KnowBe4보다 6년 늦었지만 다른 철학을 들고 왔다.

- **2024년 8월 시리즈 B 4,000만 USD** — Level Equity, Icebreaker.vc 등.

- **고객사** — Nokia, Telia, Kone, AirBaltic, Qualcomm 등 50개국 1,800만 + 사용자.

- **핵심 아이디어** — 행동 과학 기반 적응형 학습. 각 사용자의 위험 프로파일에 맞춰 시뮬레이션 난이도·주제·빈도가 자동 조정.

Hoxhunt의 차별점.

- **No "Gotcha"** — 사용자가 피싱을 클릭해도 부끄러움이 아닌 학습 기회로 프레이밍. 게이미피케이션 점수 시스템.

- **적응형 난이도** — Duolingo와 유사. 사용자가 잘하면 어려워지고, 못하면 쉬워진다.

- **실제 의심 메일 보고** — Hoxhunt 플러그인으로 사용자가 의심 메일을 보고하면 AI가 자동 분류. 진짜 위협은 SOC로, 시뮬레이션은 점수로.

Hoxhunt의 효과 데이터는 인상적이다. 자체 발표에 따르면 1년 사용 후 의심 메일 보고율이 50 %대까지 상승. KnowBe4가 "낮은 클릭률"을 자랑한다면 Hoxhunt는 "높은 보고율"을 자랑한다 — 둘은 다른 행동이다.

**가격** — 공개되어 있지 않다. 직원당 연 15-30 USD 수준이 알려진 추정. 견적 기반.

4장 · Cofense — 인시던트 대응에 강한 회사

**Cofense**(cofense.com)는 2007년에 Aaron Higbee와 Rohyt Belani가 PhishMe라는 이름으로 창립. 2018년 회사 이름을 Cofense로 변경.

- **2022년 3월 BlackRock 매수** — Carlyle Group과 BlackRock 컨소시엄에 매각.

- **고객 — 약 35만 + 사용자, Fortune 500의 50 % 이상.

Cofense는 KnowBe4·Hoxhunt와 다른 자리에 있다. **시뮬레이션 + 실제 위협 인텔리 + SOC 통합**이라는 구조다.

- **Cofense PhishMe** — 시뮬레이션 플랫폼.

- **Cofense Reporter** — Outlook·O365·Gmail 플러그인. 사용자가 한 클릭으로 의심 메일 보고.

- **Cofense Triage** — 보고된 메일을 자동 분류·우선순위화하는 SOC 도구.

- **Cofense Intelligence** — 실제 피싱 캠페인 위협 인텔리.

- **Cofense Vision** — 메일 검색·격리(메일박스 검색).

Cofense의 차별점은 SOC 워크플로우와의 통합. 사용자가 의심 메일을 신고하면 PhishER급 자동 분류 + 인간 SOC 분석가 검토 + 자동 격리가 한 흐름으로 이어진다. 그래서 직원 1만 이상 대기업에서 인기.

5장 · Proofpoint Security Awareness Training (구 Wombat)

**Proofpoint**(proofpoint.com)는 2002년에 Eric Hahn이 창립, 메일 보안 게이트웨이로 시작했다. 2014년 미국 카네기멜런 대학교 출신의 Wombat Security Technologies가 만든 "ThreatSim" 시뮬레이션을 2018년 Proofpoint가 인수했다.

- **2021년 4월 Thoma Bravo 인수** — 약 124억 USD에 비상장 전환.

- **2023년 11월 Tessian 인수** — BEC(비즈니스 이메일 침해) 탐지 전문 영국 회사.

- **2024년 8월 Normalyze 인수** — 데이터 보안 자세 관리(DSPM).

Proofpoint Security Awareness Training의 강점은 메일 보안 본체와의 통합. **TAP(Targeted Attack Protection)**가 실제로 막은 위협 데이터를 시뮬레이션에 즉시 반영한다. "이번 주 우리 회사로 들어온 진짜 캠페인"을 그대로 훈련 시뮬레이션으로 만들 수 있다.

- **CLEAR**(Closed-Loop Email Analysis and Response) — 사용자가 신고하면 자동 분석·삭제·격리.

- **Phish Alarm 버튼** — Outlook·Gmail 플러그인.

- **Targeted Attack Protection** — 실제 메일 게이트웨이.

가격은 명시적이지 않지만 직원당 연 25-50 USD 수준의 견적이 시장에 알려져 있다. 메일 게이트웨이 + 인식 훈련을 묶어 살 때 더 매력적.

6장 · Infosec IQ — Cengage 산하

**Infosec IQ**(infosecinstitute.com)는 2004년 Jack Koziol이 Infosec Institute로 시작. 2022년 Cengage Group(교육 출판)이 약 2.4억 USD에 인수, 현재 Infosec Skills · Infosec IQ로 분리 운영.

- **Infosec IQ** — 보안 인식 훈련 + 피싱 시뮬레이션.

- **Infosec Skills** — IT/보안 전문가 자격증·기술 훈련.

특징.

- **PhishSim** — 자체 시뮬레이션. 1,000개 + 템플릿.

- **AwareEd** — 마이크로 러닝 모듈. 평균 3-5분 짜리 비디오.

- **NIST 800-50 / 800-16 매핑** — 미국 정부·계약자 친화.

Infosec IQ는 미국 연방·주 정부 계약에서 강점을 보여왔다. NIST 800-50("보안 인식 훈련 프로그램 구축") 매핑이 명시적이어서 FedRAMP·CMMC 환경에서 쉽게 채택된다.

7장 · Mimecast Awareness Training (구 Ataata)

**Mimecast**(mimecast.com)는 2003년 영국에서 Peter Bauer와 Neil Murray가 창립. 메일 보안 게이트웨이로 시작했다. 2019년 미국 보스턴 기반의 Ataata라는 보안 인식 훈련 스타트업을 인수해 **Mimecast Awareness Training**으로 통합.

- **2022년 5월 Permira가 약 58억 USD에 비상장 인수.

특징.

- **풍자 코미디 콘텐츠** — 짧고 재미있는 비디오. 전통적 "보안은 진지해야 한다"는 분위기를 깬다.

- **위험 점수**(Mimecast Awareness Risk Score) — 사용자별 위험 등급.

- **메일 게이트웨이 통합** — Mimecast Email Security와 한 플랫폼.

작은 회사 시절 Ataata의 톤이 그대로 남아 있다. "Tom & Jerry"식 슬랩스틱 보안 비디오는 호불호가 갈리지만 직원 참여율이 높다는 데이터가 있다.

8장 · Sophos Phish Threat — EDR과 한 패키지

**Sophos**(sophos.com)는 1985년 영국 옥스포드에서 Jan Hruska와 Peter Lammer가 창립. 안티바이러스 → EDR → MDR(Managed Detection and Response)로 확장.

- **2020년 3월 Thoma Bravo가 약 39억 USD에 인수, 비상장.

- **2023년 후반 ReliaQuest 일부 사업 매각.

**Sophos Phish Threat**은 Sophos Central 콘솔에 통합된 시뮬레이션 모듈.

- **간단한 설정** — Sophos Central 사용자라면 추가 도구 설치 없이 활성화.

- **500개 + 템플릿** — 영어·독일어·프랑스어·일본어·한국어 일부.

- **EDR 통합** — 사용자가 시뮬레이션을 클릭하면 Sophos EDR 콘솔에 기록.

가격은 직원당 연 5-12 USD 수준으로 KnowBe4 대비 절반 이하. 단 콘텐츠 라이브러리·고급 분석은 약하다. **"EDR을 이미 쓰는 중견기업"**에 좋은 옵션.

9장 · NINJIO — 스토리텔링 기반 1인극

**NINJIO**(ninjio.com)는 2015년 Zack Schuler가 미국 캘리포니아에서 창립. 다른 회사들이 "교육적인 비디오"를 만들 때 NINJIO는 "Netflix급 미니 시리즈"를 만들었다.

- **에피소드 분량** — 3-4분. 일주일에 하나, 1년 52편.

- **실제 사건 기반** — Equifax 유출, Twitter 비트코인 사기(2020), Colonial Pipeline(2021) 등 실제 사건을 드라마타이즈.

- **할리우드 작가** — 에피소드 시나리오를 정식 영화·TV 작가가 작성.

NINJIO는 보안 훈련 시장의 "프리미엄 콘텐츠 브랜드". 가격이 다른 곳보다 비싸지만 콘텐츠 품질로 차별화. 2022년 ESPN, Pfizer, Dollar Tree 등 대형 고객 확보.

다만 인터랙티브 시뮬레이션은 약하다. 비디오 콘텐츠 중심이라 KnowBe4·Hoxhunt와 묶어 쓰는 사례가 많다.

10장 · CybSafe · Living Security · Elevate — 인간 위험 관리(HRM)

**CybSafe**(cybsafe.com)는 2015년 영국 런던에서 Oz Alashe(전 영국 군인)가 창립. "보안 인식"을 "보안 행동"으로 바꾼다는 명확한 입장.

- **SebDB**(Security Behavior Database) — 70 + 보안 행동 분류 체계. 공개 자료.

- **데이터 기반 접근** — 클릭률뿐 아니라 비밀번호 재사용, 데이터 분류, 백업 습관 등 다층 측정.

**Living Security**(livingsecurity.com)는 2017년 미국 텍사스에서 창립. **Unify**라는 인간 위험 관리(HRM) 플랫폼.

- **위험 통합** — 시뮬레이션 클릭, EDR 알람, IAM 권한, DLP 위반을 한 대시보드.

- **고객사** — Mastercard, Verizon, AT&T 등.

**Elevate Security**(elevatesecurity.com)는 2017년 Robert Fly(전 Salesforce 보안 책임자)가 창립. 2024년 Mimecast가 인수.

HRM(Human Risk Management) 카테고리는 2023-2024년 시장이 형성된 신규 카테고리. Gartner가 2024 Magic Quadrant에서 처음 정식 인정.

11장 · AwareGO · MetaCompliance · Phriendly Phishing · Curricula

소규모지만 의미 있는 도구들.

- **AwareGO**(awarego.com) — 아이슬란드. 60-90초 짧은 비디오 중심. "Microlearning" 강조.

- **MetaCompliance**(metacompliance.com) — 영국 벨파스트. GDPR·ISO 27001 컴플라이언스 모듈에 강점. 2024년 Marlin Equity Partners 투자.

- **Phriendly Phishing**(phriendlyphishing.com) — 호주. APAC 시장 강자. Hoxhunt와 비슷한 적응형 접근.

- **Curricula**(curricula.com) — 미국. 만화 캐릭터 "Joe the Hacker" 시리즈로 인기. 2022년 CrowdStrike가 인수, **CrowdStrike Falcon Awareness**로 리브랜드.

- **Inspired eLearning**(inspiredelearning.com) — 미국 텍사스. Trustwave가 모회사였다가 2022년 분사.

- **Click Armor**(clickarmor.ca) — 캐나다. 게이미피케이션 강조.

- **Habitu8**(habitu8.com) — 미국. 짧은 비디오 시리즈.

- **Terranova Security**(terranovasecurity.com) — 캐나다 퀘벡. 2022년 Fortra(전 HelpSystems)가 인수.

이들은 각각 지역·산업·콘텐츠 톤에서 차별화한다. 대형 다국적 기업은 KnowBe4·Proofpoint를, 중견기업은 Sophos·Mimecast를, 특정 산업/지역은 NINJIO·MetaCompliance·Phriendly를 선택하는 패턴이 일반적.

12장 · GoPhish — 오픈 소스 피싱 시뮬레이션의 표준

**GoPhish**(getgophish.com)는 2015년 Jordan Wright가 만든 오픈 소스 피싱 시뮬레이션 프레임워크. Go 언어로 작성, MIT 라이선스.

- **GitHub** — github.com/gophish/gophish, 약 10,000 + 별.

- **기능** — 캠페인 생성, 메일 템플릿, 랜딩 페이지, 결과 대시보드.

- **자체 호스팅** — 단일 바이너리. 30분이면 설치 + 첫 캠페인.

GoPhish의 가치는 **모의 침투 테스트(red team)** 및 **소규모 조직 자체 훈련**에 있다. KnowBe4 라이선스 수억 원이 부담스러운 100명 미만 회사가 GoPhish + 자체 콘텐츠로 충분한 훈련을 만들 수 있다.

GoPhish 설치 (단순화 버전)

wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip

unzip gophish-v0.12.1-linux-64bit.zip

cd gophish

./gophish

https://localhost:3333/ 접속

다른 오픈 소스 도구들.

- **King Phisher**(deprecated) — Rapid7의 Spencer McIntyre가 만들었지만 2022년 개발 중단.

- **Evilginx2**(github.com/kgretzky/evilginx2) — Kuba Gretzky. 진보한 MITM 피싱(2FA 우회). 정식 red team 도구로 분류, 일반 훈련에는 사용 안 함.

- **SET(Social-Engineer Toolkit)** — David Kennedy의 Kali Linux 기본 포함 도구.

- **Modlishka**(github.com/drk1wi/Modlishka) — 폴란드의 Piotr Duszyński. Evilginx와 유사.

Evilginx2·Modlishka는 **합법적 침투 테스트 또는 보안 연구**에만 사용해야 한다. 실제 사용자 자격 증명을 캡처할 수 있어 법적 책임이 따른다.

13장 · NIST Phish Scale — 객관적 난이도 측정

미국 NIST(국립표준기술연구소)가 2020년에 공개한 **NIST Phish Scale**(csrc.nist.gov/publications/detail/sp/800-53/rev-5/final 관련 후속)은 피싱 메일의 객관적 난이도를 측정하는 프레임워크다.

- **단서(Cue) 카운트** — 메일에서 의심할 수 있는 단서(어색한 인사말, 도메인 불일치, URL 변조 등)의 개수와 강도.

- **맥락 정합성** — 메일이 수신자의 실제 업무 맥락과 얼마나 맞는가.

- **난이도 등급** — Least Difficult / Moderately Difficult / Most Difficult.

NIST Phish Scale은 **클릭률 비교를 의미 있게 만든다**. KnowBe4가 "우리 회사 클릭률 5 %"라고 보고할 때, 그 메일이 NIST 기준 Least Difficult였다면 5 %는 형편없는 결과다. 반대로 Most Difficult였다면 우수한 결과다.

2024-2025년 다수 기업이 자체 KPI에 NIST Phish Scale을 도입했다. 단순 클릭률을 넘어 "난이도 보정 클릭률"을 측정한다.

14장 · 실제 사건 — MGM · Caesars · Twilio · Lapsus$

이론보다 실제 사례가 훈련의 가치를 보여준다. 최근 5년 굵직한 인간 요소 사건들.

- **MGM Resorts**(2023년 9월) — Scattered Spider(ALPHV/BlackCat 제휴)가 IT 헬프 데스크에 전화해 직원 자격 증명 초기화 요청. 통신 마비, 호텔·카지노 시스템 정지. 손해 추정 1억 USD +.

- **Caesars Entertainment**(2023년 8월) — 같은 그룹. 보고에 따르면 약 1,500만 USD 몸값 지불.

- **Twilio**(2022년 8월) — 직원 SMS 피싱(스미싱). Okta 자격 증명 유출. 후속 공격으로 Cloudflare, Cisco, Mailchimp 등 100 + 회사에 영향.

- **Cisco**(2022년 8월) — 직원 개인 Google 계정 자격 증명 → MFA 폭격 + 음성 보이싱으로 MFA 우회. 내부 네트워크 침입.

- **Uber**(2022년 9월) — 18세 공격자가 MFA 폭격 + Slack 자격 증명 도용. 내부 시스템 광범위 노출.

- **Lapsus$ 그룹**(2022년 1-3월) — Microsoft, Nvidia, Samsung, Okta, Vodafone, T-Mobile 등 침해. 보이싱·SIM 스왑·내부자 매수가 주요 기법.

- **Arup**(2024년 2월) — 영국 엔지니어링 회사. CFO + 동료 다수의 영상 통화 딥페이크. 홍콩 직원이 2,500만 USD 송금.

- **Coinbase**(2025년 5월) — 내부 직원·계약자 매수 + 사회공학으로 일부 고객 데이터 유출. 약 4억 USD 손해 추정.

- **Change Healthcare(UnitedHealth)**(2024년 2월) — ALPHV 랜섬웨어. MFA가 없는 Citrix 자격 증명 유출이 시작점. 미국 의료 시스템 광범위 마비.

- **Marks & Spencer**(2025년 4월) — Scattered Spider. 영국 소매업 마비.

공통점: **사람이 첫 진입점**, **MFA 우회**, **헬프 데스크·IT 직원이 표적**이다. 2026년 보안 인식 훈련은 일반 직원뿐 아니라 IT/SOC 운영자·헬프 데스크 직원을 별도 트랙으로 훈련하는 추세.

15장 · 딥페이크 음성 · 영상 시뮬레이션

Arup 사건 이후 보이싱(vishing) + 딥페이크 영상 시뮬레이션이 빠르게 시장에 진입했다.

- **KnowBe4 Smishing & Vishing** — SMS·음성 시뮬레이션. AI 음성 생성으로 CEO/CFO 페르소나 시뮬레이션.

- **Cofense Voice** — 보이싱 캠페인 모듈.

- **Hoxhunt** — 2024년 보이싱 시뮬레이션 베타.

- **Pindrop Security** — 콜 센터 보이싱 탐지(시뮬레이션 아닌 실시간 탐지).

- **DeepMedia** — 정부·기업 딥페이크 탐지 SaaS.

- **Reality Defender** — 딥페이크 탐지. 통화·이미지·영상 다 분석.

**시뮬레이션 윤리** — 직원에게 가짜 CEO 영상 통화로 송금을 요구하는 시뮬레이션은 윤리적 회색지대다. 일부 회사는 그런 시뮬레이션 자체를 금지(직원 신뢰 훼손, 정신적 충격). 다른 회사는 사전 동의 + 명확한 디브리핑 조건으로 도입.

대부분 보안 컨설팅 회사는 **고위험 임원·재무 부서**에만 한정해 보이싱·딥페이크 시뮬레이션을 진행한다.

16장 · MFA 폭격 · 푸시 알림 피로 공격

**MFA 폭격(MFA bombing / push notification fatigue attack)**은 2022년부터 급증한 공격 패턴이다.

- **공격 시나리오** — 공격자가 도난 자격 증명으로 로그인 → MFA 푸시 알림이 사용자 폰에 떠도 → 한밤중에 수십 번 연속 알림 → 사용자가 짜증나서 "Approve" 누름.

- **표적** — Uber(2022), Cisco(2022), Microsoft(Lapsus$ 2022) 등.

- **방어 — Number Matching** — Microsoft Authenticator, Okta Verify, Duo가 2022-2023년 도입. 사용자가 푸시뿐 아니라 화면에 표시된 숫자를 폰에 입력해야 승인.

- **방어 — Passkeys / FIDO2 하드웨어 토큰** — Yubico YubiKey, Google Titan Security Key. 피싱 내성(phishing-resistant). 도메인 바인딩으로 가짜 사이트 인증 불가.

2024-2025년 NIST SP 800-63 4판 공식 권고: **푸시 알림 + 비밀번호** 조합을 점진적으로 **FIDO2 / Passkey**로 대체. 한국 KISA도 동일 방향 권고.

보안 인식 훈련 측면에서 직원이 "이게 내가 시작한 로그인이 아니면 절대 승인하지 말 것"이라는 메시지를 반복적으로 받는 게 중요. KnowBe4·Hoxhunt 모두 2023-2024년 MFA 폭격 시뮬레이션 모듈을 추가했다.

17장 · 이메일 보안 보조 도구 — Abnormal · IRONSCALES · Material · Tessian

피싱 시뮬레이션과 한 패키지로 묶이는 이메일 보안 도구들.

- **Abnormal Security**(abnormalsecurity.com) — 2018년 Evan Reiser 창립. BEC 탐지 전문. AI 행동 모델링이 핵심. 2023년 후반 시리즈 D 후 평가 약 50억 USD.

- **IRONSCALES**(ironscales.com) — 2014년 이스라엘. 자동 응대(Auto-remediation) 강조. SOC 부담 감소.

- **Material Security**(material.security) — 2017년 미국. 메일박스 격리 + 데이터 분류. Andreessen Horowitz 투자.

- **Tessian**(tessian.com) — 2013년 영국. 2023년 11월 Proofpoint가 인수. BEC + Insider threat 탐지.

- **Avanan**(avanan.com) — 2014년 이스라엘. 2021년 Check Point Software가 인수. M365·Google Workspace API 기반.

- **INKY**(inky.com) — 미국. 컴퓨터 비전으로 위조 브랜드 로고 탐지.

- **Slashnext**(slashnext.com) — URL·메시지 보호. 2023년 ZeroFox가 인수.

이들은 기존 메일 게이트웨이(Microsoft Defender for Office 365, Proofpoint TAP)를 보완하는 **API 기반 솔루션**이다. 메일이 게이트웨이를 통과한 후에도 메일박스에서 다시 검사한다.

18장 · 피싱 내성 인증 — Passkey · FIDO2 · WebAuthn

훈련만으로는 한계가 있다. 기술적 통제가 결합되어야 한다.

- **FIDO2 / WebAuthn** — W3C 표준. 2019년 정식화. 도메인 바인딩으로 피싱 사이트에서 절대 인증되지 않음.

- **하드웨어 키** — Yubico YubiKey, Google Titan Security Key, Feitian K9 등. USB-A / USB-C / NFC.

- **Passkeys** — 2022년 Apple·Google·Microsoft 공동 발표. 디바이스 동기화 가능한 FIDO2. iCloud Keychain, Google Password Manager에 저장.

- **플랫폼 인증자** — Windows Hello, macOS Touch ID, Android Biometric.

2024-2025년 큰 채택 — Microsoft Authenticator Passkeys, Apple Passkeys, 1Password Passkeys, Bitwarden Passkeys. 한국은 카카오·네이버가 일부 Passkey 도입.

**보안 인식 훈련의 새 메시지** — "비밀번호 강화"가 아니라 "비밀번호를 없애자". MFA도 SMS/푸시는 점진적으로 폐기, FIDO2/Passkey로 이행.

다만 도입 장벽이 있다. 디바이스 분실 복구, 게스트 계정, 레거시 시스템 대응이 어렵다. 그래서 한 번에 가는 게 아니라 점진적 마이그레이션.

19장 · 컴플라이언스 — NIS2 · PCI DSS 4.0 · ISO 27001:2022

규정 측면에서 2024-2026년 큰 변화.

- **EU NIS2 Directive** — 2023년 1월 발효, 2024년 10월 회원국 국내법 전환 마감. 중대 인프라 운영자에 정기 보안 인식 훈련 의무.

- **PCI DSS 4.0** — 2024년 4월부터 의무화. 신용카드 처리 회사에 직원 보안 인식 훈련 + 시뮬레이션 의무. 12.6 항목.

- **ISO 27001:2022** — 부속서 A.6.3(awareness, education, training) 강화.

- **HIPAA**(미국 의료) — 위험 평가 + 인식 훈련 의무. 2024년 후반 OCR 가이드라인 강화.

- **GDPR**(EU 개인정보) — 직접 명시는 아니지만 Article 32(보안 조치)에 인식 훈련이 사실상 포함.

- **K-PIPA + ISMS-P**(한국 개인정보보호법 + 정보보호관리체계) — KISA 인증 기준에 보안 인식 훈련 명시.

- **APPI**(일본 개인정보보호법) — 2022년 4월 개정안에 직원 교육 강조.

- **CCPA / CPRA**(캘리포니아) — 직원 인식 훈련 권고.

이 규정들은 단순히 "훈련을 한다"가 아니라 **"훈련을 측정하고 개선한다"**를 요구한다. 그래서 시뮬레이션 + 리포트 + 개선 사이클이 컴플라이언스 친화.

20장 · 한국 보안 인식 훈련

한국 시장의 주요 도구·기관.

- **이스트시큐리티(ESTsecurity)** — 알약(V3 경쟁사). 모의 훈련 컨설팅 서비스.

- **AhnLab** — V3·Safe Transaction. 기업 보안 인식 훈련 별도 모듈.

- **시큐어아이**, **시큐브**, **NSHC** — 모의 훈련 컨설팅 회사들.

- **KISA(한국인터넷진흥원)** — 매년 사이버보안 모의훈련 진행. 무료 또는 저비용으로 중소기업 참여 가능.

- **금융보안원(FSI)** — 금융사 대상 모의훈련 전담. 매년 정례.

- **국가정보원·국방부** — 공공기관·군 대상 별도 훈련.

[한국 모의훈련 일정 — 대표 예시]

KISA 사이버 위기대응 모의훈련 — 매년 7-8월, 일반 기업 자율 참여

금융보안원 모의훈련 — 매년 2회, 금융사 필수

국방부 사이버안전훈련 — 군·방산

공공기관 자체 훈련 — 각 기관 연 1-2회

한국 시장 특성: 컴플라이언스 중심. ISMS-P 인증·금융감독원 검사·개인정보보호위원회 조사에 대응하기 위한 "증빙용 훈련"이 많다. KnowBe4·Proofpoint 등 외산 도구를 도입하는 대기업과, 국내 SI 회사가 만든 자체 훈련 시스템을 쓰는 중견기업으로 양분.

21장 · 일본 보안 인식 훈련

일본 시장은 한국과 비슷하면서도 다르다.

- **NRI Secure**(nri-secure.co.jp) — Nomura Research Institute 산하. 표적형 공격 메일 훈련(標的型攻撃メール訓練) 시장 리더.

- **TrendMicro Japan** — 전 세계 트렌드마이크로의 도쿄 본사. Trend Micro Phish Insight 시뮬레이션 도구.

- **GMO Cybersecurity by IERAE**(gmo-cybersecurity.com) — IERAE Security 인수. 침투 테스트와 함께 시뮬레이션 제공.

- **NTT Communications WideAngle** — NTT 그룹 MSS. 인식 훈련 포함.

- **LRM**(lrm.jp) — 보안 인식 훈련 SaaS 일본 토종. 코미컬한 비디오 콘텐츠.

- **Hitachi Solutions 標的型攻撃メール訓練サービス** — Hitachi 그룹.

- **NEC 標的型メール訓練** — NEC.

- **Fujitsu**, **SoftBank Technology** — SI 결합형.

일본은 특히 **표적형 공격 메일 훈련**이라는 표현을 쓴다. APT(지능형 지속 위협) 그룹의 표적 공격에 대비. 일본 정부·방위성 관련 기업·기간 인프라가 중국·북한 APT의 표적이라는 인식이 깊다.

규정 측면에서 **改正個人情報保護法**(2022년 4월) + **NISC**(내각관방 사이버보안센터) 가이드라인이 인식 훈련을 명시.

22장 · 보안 인식 훈련의 다음 단계 — 행동 변화와 AI

2026년 보안 인식 훈련의 미래는 세 갈래다.

- **AI 미끼 자동 생성** — KnowBe4 AIDA, Hoxhunt AI Spear-Phishing Module. GPT-4·Claude가 회사 페이지·LinkedIn을 읽고 1:1 맞춤 미끼를 생성.

- **실시간 행동 코칭** — KnowBe4 SecurityCoach, Material Security Coach. 직원이 의심 행동(외부 메일 회신, 의심 URL 클릭)을 할 때 즉시 팝업 코칭.

- **인간 위험 점수화 + IAM 통합** — Living Security, CybSafe. 고위험 사용자에게 더 엄격한 MFA, 데이터 접근 제한.

학술 연구도 활발하다.

- **Carnegie Mellon CyLab** — 보안 행동 모델링.

- **Stanford SAIL** — 사회공학 LLM 연구.

- **Oxford Cyber Defence** — 정부·국방 사이버 훈련.

- **KAIST · POSTECH 사이버보안 연구센터** — 한국 학계.

- **東京大学 · NICT(情報通信研究機構)** — 일본.

**근본 한계** — 사람을 100 % 훈련시킬 수 없다. 그래서 **인식 훈련 + 기술적 통제(피싱 내성 MFA, 메일 격리, EDR)**의 조합이 답이다. "사람이 약한 고리"를 "사람이 강한 고리"로 만드는 게 아니라, **사람이 실수해도 큰 사고로 번지지 않는 시스템**을 만드는 것.

에필로그 — Mitnick에서 GenAI까지, 30년의 교훈

Kevin Mitnick은 2002년 책 "The Art of Deception"에서 이렇게 적었다.

> "보안의 가장 약한 고리는 사람이다. 그리고 가장 강력한 방어선도 사람이다."

30년이 지난 2026년에도 이 명제는 변하지 않았다. 달라진 것은 공격자의 도구다. GPT-4가 영어 원어민 수준의 BEC 메일을 0.001 USD에 생성하고, ElevenLabs가 3분 음성으로 CEO 클론을 만든다. Arup의 2,500만 USD 사건이 그 분기점이었다.

방어 측 답은 명확하다.

- **AI 시뮬레이션** — KnowBe4 AIDA, Hoxhunt 적응형, Cofense 위협 인텔리.

- **행동 측정 + HRM** — Living Security, CybSafe.

- **피싱 내성 인증** — Passkey, FIDO2.

- **컴플라이언스 + 측정** — NIST Phish Scale, NIS2, PCI DSS 4.0.

그리고 가장 중요한 것 — **사람을 비난하지 않는 문화**. 클릭한 직원에게 부끄러움을 주면 보고율이 떨어진다. Hoxhunt가 "No Gotcha" 철학을 강조하는 이유, NINJIO가 만화 캐릭터를 쓰는 이유다.

Mitnick의 다른 명언 한 줄.

> "기술이 아무리 발전해도, 한 통의 전화·한 통의 메일이 가장 빠르다."

2026년에도 그 문장은 여전히 옳다. 다만 그 전화·메일이 이제 AI가 자동 생성된다는 점만 다르다.

참고 자료

- KnowBe4 — [knowbe4.com](https://www.knowbe4.com/)

- Hoxhunt — [hoxhunt.com](https://hoxhunt.com/)

- Cofense — [cofense.com](https://cofense.com/)

- Proofpoint Security Awareness — [proofpoint.com/us/products/security-awareness-training](https://www.proofpoint.com/us/products/security-awareness-training)

- Infosec IQ — [infosecinstitute.com](https://www.infosecinstitute.com/)

- Mimecast Awareness Training — [mimecast.com](https://www.mimecast.com/)

- Sophos Phish Threat — [sophos.com/en-us/products/phish-threat](https://www.sophos.com/en-us/products/phish-threat)

- NINJIO — [ninjio.com](https://ninjio.com/)

- CybSafe — [cybsafe.com](https://www.cybsafe.com/)

- Living Security — [livingsecurity.com](https://www.livingsecurity.com/)

- AwareGO — [awarego.com](https://awarego.com/)

- MetaCompliance — [metacompliance.com](https://www.metacompliance.com/)

- Phriendly Phishing — [phriendlyphishing.com](https://www.phriendlyphishing.com/)

- CrowdStrike Falcon Awareness (구 Curricula) — [crowdstrike.com](https://www.crowdstrike.com/)

- Terranova Security — [terranovasecurity.com](https://www.terranovasecurity.com/)

- GoPhish — [getgophish.com](https://getgophish.com/)

- NIST Phish Scale — [nist.gov/itl/applied-cybersecurity/nist-phish-scale-user-guide](https://www.nist.gov/itl/applied-cybersecurity/nist-phish-scale-user-guide)

- NIST SP 800-50 — [csrc.nist.gov/publications/detail/sp/800-50/final](https://csrc.nist.gov/publications/detail/sp/800-50/final)

- NIST SP 800-63 (Digital Identity) — [pages.nist.gov/800-63-3/](https://pages.nist.gov/800-63-3/)

- Verizon DBIR — [verizon.com/business/resources/reports/dbir/](https://www.verizon.com/business/resources/reports/dbir/)

- Abnormal Security — [abnormalsecurity.com](https://abnormalsecurity.com/)

- IRONSCALES — [ironscales.com](https://ironscales.com/)

- Material Security — [material.security](https://material.security/)

- Tessian (Proofpoint) — [tessian.com](https://www.tessian.com/)

- KnowBe4 PhishER — [knowbe4.com/products/phisher](https://www.knowbe4.com/products/phisher)

- Arup 딥페이크 사건 (CNN 보도, 2024년 2월) — [edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html](https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html)

- KISA 사이버위기대응훈련 — [boho.or.kr](https://www.boho.or.kr/)

- 금융보안원(FSI) — [fsec.or.kr](https://www.fsec.or.kr/)

- NRI Secure — [nri-secure.co.jp](https://www.nri-secure.co.jp/)

- TrendMicro Phish Insight — [phishinsight.trendmicro.com](https://phishinsight.trendmicro.com/)

- NISC 사이버보안 — [nisc.go.jp](https://www.nisc.go.jp/)

- FIDO Alliance — [fidoalliance.org](https://fidoalliance.org/)

- Passkeys (Apple Developer) — [developer.apple.com/passkeys/](https://developer.apple.com/passkeys/)

- EU NIS2 Directive — [digital-strategy.ec.europa.eu/en/policies/nis2-directive](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive)

- PCI DSS 4.0 — [pcisecuritystandards.org](https://www.pcisecuritystandards.org/)

- ISO 27001:2022 — [iso.org/standard/27001](https://www.iso.org/standard/27001)

현재 단락 (1/265)

1995년 Kevin Mitnick은 자서전에서 "기술적 침투보다 전화 한 통이 더 빨랐다"고 적었다. 30년이 지난 2026년에도 Verizon DBIR(Data Breach I...

작성 글자: 0원문 글자: 17,396작성 단락: 0/265