프루프포인트(Proofpoint Inc.)가 올해로 10번째인 피싱 현황(State of the Phish) 보고서를 발표했다.
이 보고서에 따르면 기업 직원 62%가 랜섬웨어나 멀웨어 감염, 데이터 유출, 금전적 손실로 이어질 수 있는 피싱 리스크를 인지하고 있는 것으로 나타났다. 이번 보고서 설문조사에 참여한 기업 중 82%가 2023년 1건 이상의 피싱 공격을 경험했다고 응답했다. 이는 72%를 기록한 2022년 대비 다소 증가한 수치로 피싱 성공률이 소폭 증가했음을 알 수 있다. 또한, 법규 위반 벌금 등 금전적 처벌에 대한 보고 건수는 70%, 기업 평판 악화에 대한 보고 건수는 87% 증가하는 등 피싱공격 피해 역시 급증했다.
올해 보고서는 사이버 보안 지식이 부족해서 위험한 행동을 한다거나 보안 인식 교육만으로 보안에 위험한 모든 행위를 예방할 수 있다는 오랜 통념에 대해 문제를 제기했다. 이는 곧 직원 대부분이 조직을 보호할 책임이 있다는 것에 대해 알고 있다고 믿는 보안 전문가들의 인식 문제로도 연결되는데, 보안 기술의 한계와 사용자 교육 사이의 현실적 격차를 여실히 보여준다.
프루프포인트 최고전략책임자(Chief Strategy Officer) 라이언 칼렘버(Ryan Kalember)는 “사이버 범죄자들은 보안 부주의(negligence)나 ID 권한 침해(compromised identity), 일부의 경우에는 악의적 의도를 통해서 사람을 범죄에 손쉽게 이용할 수 있다는 사실을 잘 알고 있다”며, “개인은 조직의 보안 방향에서 핵심적인 역할을 수행하며 보안 공격의 74%는 여전히 인적 요인으로 인해 발생한다. 보안 문화 조성은 중요하지만 교육만으로는 해결할 수 없는 문제가 있다. 무엇을 해야 할지 알고 있는 것과 실제 이행하는 것은 전혀 다른 문제이기 때문이다. 이제 관건은 인식이 아니라 행동의 변화라고 하겠다”고 덧붙였다.
프루프포인트 코리아 최태용 수석 시스템 엔지니어(Senior Systems Engineer)는 “한국의 랜섬웨어 감염률이 증가세를 보이고 있고 최근 랜섬웨어를 포함해 여러 가지 사이버 공격에 생성형 AI가 활용될 가능성이 제기되고 있다”며, “모든 기업은 기업 구성원 모두의 정보 보안 인식 제고를 위한 교육 프로그램을 진행하고 각종 피싱 공격으로부터 기업 기밀사항 및 임직원 개인정보가 유출되지 않도록 적절한 보안 시스템을 구축해야 한다”고 말했다.
올해 피싱 현황 보고서는 1년 이상에 걸쳐 취합한 피싱 공격 시뮬레이션 1.83억 건 및 전 세계 조직 23만 곳에 전송된 이메일 2.8 조여 건을 포함한 프루프포인트의 원격측정 자료를 토대로 하여 생성형 인공지능(AI), QR 코드, 다중 인증(MFA) 등 최신 사이버 위협 동향을 심층 분석했다. 또한, 이 보고서는 전 세계 15개국 기업 직원 7,500명과 보안전문가 1,050명의 인식 현황을 검토하고, 일상생활에서 보안을 대하는 태도가 개인마다 각양각색이며 위협 행위자들도 현행 보안 인식 개선 이니셔티브는 물론 속도와 편의 등에 대한 개인의 선호도를 이용해 다양한 신종 수법을 모색하고 있다는 동향을 파악해냈다.
프루프포인트 2024 피싱 현황 보고서가 도출한 한국 시장 핵심 사항은 다음과 같다.
◆보안 인식 부족이 아닌 다른 원인으로 발생하는 직원들의 보안에 위험한 행동: 국내 설문 응답자의 64%는 비밀번호 재사용·공유, 알 수 없는 발송자가 보낸 링크 클릭, 신뢰할 수 없는 소스에 자신의 개인정보를 전달하는 행동을 하고 있다고 인정했다. 이들 중 97%는 위험성을 알면서도 그러한 행동을 지속했다고 응답했다. 즉 직원 중 62%가 조직 보안을 해치는 행동인지 알면서도 편리함(43%), 시간 절약(42%), 다급함(24%)을 이유로 같은 실수를 반복한 것이다.
◆실질적 보안 행동 변화 방안에 대한 보안 전문가들과 직원들의 견해차: 이번 설문에 응한 보안 전문가 중 88%는 대부분의 직원들이 보안에 대한 책임감을 인지하고 있다고 답한 반면, 직원 72%는 잘 모르겠다거나 전혀 책임이 없다고 생각한다고 답했다. 그런데 보안상 위험한 행동을 한 모든 직원이 리스크를 인지하고 있었다고 가정하더라도 실질적 행동 변화를 유도할 수 있는 방안에 대해서는 보안 전문가들과 직원들 간에 현저한 견해차를 보였다. 보안 전문가들은 보안 교육 강화(67%)와 보안 통제 강화(81%)를 방안으로 꼽았지만, 직원 대부분(88%)은 보안 통제가 간소화되고 사용자 친화적으로 개선된다면 보안을 우선시하겠다고 답했다.
◆잘못된 보안 감각을 제공하여 비즈니스 노출에 위험한 다중 인증(MFA): 매월 보안 공격 100만 건이 MFA 우회 이블프록시(EvilProxy)를 통해 일어나지만, 무려 국내 보안 전문가 중 82%가 MFA만으로도 계정탈취(ATO)를 방지하기에 충분하다고 여기는 것으로 나타났다.
◆AI의 기술 이점을 활용하는 이메일 사기(BEC) 공격: BEC 공격 시도를 보고한 조직 수는 전 세계적으로 감소했지만, 공격 건수는 일본(전년 동기 대비 35% 증가), 한국(31% 증가), UAE(29% 증가) 등에서 증가세를 기록했다. 이 국가들은 이전까지는 문화·언어 장벽으로 인해 BEC 공격이 많지 않던 지역인데 생성형 AI의 등장으로 공격자들이 다양한 언어로 더욱 그럴듯한 맞춤식 이메일을 발송할 수 있게 되었다. 최근 프루프포인트는 월평균 6,600만 건의 지능형 BEC 공격을 감지하고 있다.
◆사이버 공격 수법으로 횡행하고 있는 갈취(extortion): 지난해 랜섬웨어 감염 공격을 당한 국내 조직 비율이 전년 동기 대비 50%p 증가한 72%에 달했다. IT 전문가 중 50%가 소속 조직에서 랜섬웨어 감염을 다수 경험했다는 사실은 더욱 우려스러운 상황이다. 랜섬웨어 피해를 본 조직 중 42%가 공격자들에게 비용(몸값)을 지불하는데 동의한 것으로 나타났는데, 63%를 기록한 전년에 비해서는 비율이 감소한 것이다. 또한, 40%만이 비용을 한차례 지불한 후 데이터 액세스 권한을 회복한 것으로 확인되었으며, 이 비율도 60%를 기록한 전년 대비 감소했다.
◆여전히 기승을 부리는 전화 지향적 공격 전송(TOAD): 언뜻 보기에는 친근한 메시지로 보여도 실제로는 전화번호와 잘못된 정보로 피해자가 될 직원이 아무런 의심 없이 가짜 콜 센터에 전화를 걸도록 유도한다. 이 때 자격증명을 제공하거나 공격자에게 원격 액세스를 허용하면 공격 체인이 활성화된다. 프루프포인트는 월 평균 1,000만 건에 달하는 TOAD를 감지하고 있는데, 최근에는 2023년 8월에는 최고조에 달해 1,300만 건을 기록했다.
랜섬웨어, TOAD, MFA 우회 공격 등 고도로 정교해지고 나날이 확산되고 있는 사이버 위협에도 불구하고 이에 대한 대비나 대응 교육이 미비한 조직이 많은 실정이다. 기업 조직 중 12%만이 TOAD 공격 인지·예방법을 교육하고 있는 것으로 나타났고, 생성형 AI 안전 교육을 실시하고 있는 조직도 24%에 그쳤다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★