[아이티라떼] 임직원 경각심 높이려 피싱메일 보내는 기업

"김 대리님, 메일 링크 클릭하셨나요? 추가 교육 대상자입니다."

최근 피싱 메일을 활용한 사이버 공격 위협이 커지고 수법도 다양해지면서 기업들 또한 내부 단속을 강화하고 있습니다. 그중 한 방법으로 '악성메일 모의훈련' 방식이 활용되는데요, 최근 이를 활용하는 기업이 증가하는 추세입니다. 악성메일 모의훈련이란 기업이 사내 임직원을 대상으로 링크 접속이나 개인정보 입력을 유도하는 테스트용 피싱 메일을 주기적으로 발송하는 테스트입니다. 발신자를 교묘하게 조작하고, 내용도 그럴듯하게 위장한 가짜 피싱 메일이죠.

한 대기업에서 개발자로 일하는 A씨는 "은행 계정이 탈취됐다는 메일이 왔는데, 발신자가 'Shinhan'이 아닌 'Shlnhan'(알파벳 i 대신 l 사용)으로 돼 있었다. 처음에 모르고 눌렀더니 바로 회사에서 연락이 왔다"고 테스트용 피싱 메일 경험을 설명하기도 했습니다. 만약에 테스트용 피싱 메일을 임직원이 누르게 되면, 링크마다 클릭한 사람을 추적할 수 있는 하나의 토큰이 붙어 있어 어떤 임직원이 메일을 클릭했는지 확인할 수 있게 됩니다. 기업은 '가짜 피싱 메일'에 속은 해당 임직원에게 유의하라는 메시지를 전달하거나, 별도로 추가적인 보안 교육을 시행하기도 합니다.

또 다른 예로, 한 보안기업에 근무하는 B씨는 "하루에도 몇 개씩 이러한 테스트용 피싱 메일이 날아온다. 그러면 신고 센터로 해당 메일을 모두 전달해야 한다"며 "혹시라도 메일에 포함된 링크나 첨부 파일을 누르면 1시간 일찍 출근해서 추가 보안 교육을 받아야 한다"고 말했습니다.

보안이나 정보기술(IT) 기업뿐만 아니라 은행권, 주요 대기업 등도 대부분 이러한 모의훈련을 통해 피싱 피해를 예방하는 데 힘을 쏟고 있습니다. 이러한 모의훈련 솔루션에 대한 문의도 그만큼 많아지는 추세입니다. 이와 관련해 '머드픽스'라는 모의훈련 솔루션을 제공하는 보안기업 지란지교시큐리티는 올해 상반기에 관련 부분 매출이 전년 대비 약 2배 증가했습니다.

한편 사이버 보안업체 아크로니스 보고서에 따르면 올해 상반기 이메일 기반 피싱 공격 건수는 464% 급증했다고 합니다. 특히 챗GPT와 같은 인공지능(AI) 시스템을 활용하는 사례도 증가하고 있습니다.

[정호준 기자]