인터넷 도메인 등록 서비스 고대디(GoDaddy)가 직원 분노를 일으킨 피싱 테스트를 진행해 빈축을 샀다. 크리스마스 이브를 눈앞에 두고 650달러 임시 보너스를 지급한다는 내용을 사내 이메일 주소로 보내고 보너스 지급을 위한 필요 사항이라며 기입한 이메일 답장을 요구한 것. 그런데 나중에 이들이 받은 건 피싱 테스트 불합격으로 보안 강습을 수강하라는 것이다. 내용은 이렇다. 연간 휴일 파티를 모두 함께 축하할 수 없지만 올해 기록적인 성과에 공헌한 직원 모두에게 감사의 마음을 보내며 650달러 특별 보너스를 지급하겠다는 것. 이메일을 보낸 쪽은 회사 계정(Happyholiday@Godaddy.com). 자신의 회사 도메인을 사용한 이메일 주소에서 온 이메일이며 일회성 보너스를 확실하게 크리스마스 휴가 전에 받을 필요가 있다는 설명, 자신과 직장에 대한 정보를 기입해 반송하라며 요구한 양식을 포함했다.
직원 입장에선 연말을 앞두고 반가운 일이었고 이메일을 받은 직원 중 500명이 필요 사항을 기입해 답장을 했다.
하지만 결과는 보안 강습을 수강하라는 통지를 한 것이다. 직원 보안 의식을 고취하기 위해 때론 가짜 피싱 이메일을 사내에 보내는 건 드문 일이 아니다. 하지만 코로나19 전염병이라는 어려운 상황을 극복하고 최근 결산에서도 기록적인 신규 고객 유치에 기여한 직원에게 연말에 보낸 내용으로는 심한 꼴이 됐다. 일부 직원은 분노를 담아 트위터에 올렸고 일부 사용자는 고대디에 맡겼던 서버 호스팅을 전환하겠다고 말하기도 했다.
고대디는 결국 12월 24일(현지시간) 성명을 내고 직원에게 사과했다. 플랫폼 보안 유지를 진지하게 생각하고 있다면서도 하지만 일부 직원이 피싱 방지 의식을 측정 테스트하는 데 무신경하고 분개한다는 사실도 잘 알고 있으며 이번 테스트는 실제로 일어날 수 있는 피싱 수법을 모방한 것이지만 직원에 대한 배려도 앞으로 함께 해나갈 수 있도록 하겠다고 밝혔다.
피싱 수법은 상대방이 가장 걸리기 쉬운 시기를 노린다. 고대디 테스트는 보안 관점만 보면 잘못은 아니다. 하지만 과연 직원 마음을 생각하면 지나치지 않았다고 말하기 어렵다. 그만큼 문제가 된 것으로 양측이 더 보안 의식을 강화하고 사용자에게 보안 서비스를 전달해주는 계기가 되어야 할 수 있다.
참고로 고대디는 지난 11월 자사가 호스팅하는 암호화폐 거래 플랫폼인 리퀴드닷컴(liquid.com) 도메인 조작 권한을 실수로 사이트 공격자에게 전달, 내부 스토리지와 사내 이메일 정보 등에 대한 접근을 허용하는 문제가 발생했다. 또 암호화폐 채굴을 수행하는 나이스해시(NiceHash)도 고대디 도메인 등록 기록 설정을 누군가에게 변경되는 등 문제가 잇따라 보고되고 있다. 모두 직원을 겨냥한 소셜 엔지니어링 공격이 발단이라는 점을 고대디는 인정하고 있다. 고대디는 이전에도 직원을 노린 공격에서 직원 자격 정보가 외부로 유출 당하기도 했다. 관련 내용은 이곳에서 확인할 수 있다.