“이거 설마 몰카야?”…피싱메일 누르는 순간, 사내보안팀서 전화가 [아이티라떼]

기업기밀 노린 피싱메일 등 보안위협 커져
임직원 대상으로 모의 피싱 메일 테스트
클릭한 임직원 대상 보안 교육 진행하기도

‘메타(Meta)’를 사칭해 기업 페이스북 계정을 노리는 피싱 메일 본문 [사진 = 안랩]

“김 대리님, 메일 링크 클릭하셨나요? 추가 교육 대상자입니다.”

최근 피싱 메일을 활용한 사이버 공격 위협이 커지고 수법도 다양해지면서 기업들 또한 내부 단속을 강화하고 있습니다.

그중 하나의 방법으로 ‘악성메일 모의훈련’ 방식이 활용되는데요, 최근 이를 활용하는 기업들도 증가하는 추세입니다.

악성메일 모의훈련이란, 기업이 사내 임직원 대상으로 링크 접속이나 개인 정보 입력을 유도하는 테스트용 피싱 메일을 주기적으로 발송하는 테스트입니다. 발신자를 교묘하게 조작하고, 내용도 그럴듯하게 위장한 가짜 피싱메일이죠.

한 대기업에서 개발자로 일하는 A씨는 “은행 계정이 탈취됐다는 메일이 왔는데, 발신자가 ‘Shinhan’이 아닌 ‘Shlnhan(알파벳 i 대신 l 사용)’으로 되어 있었다. 처음에 모르고 눌렀더니 바로 회사에서 연락이 왔다”고 테스트용 피싱 메일 경험을 설명하기도 했습니다.

만약에 테스트용 피싱 메일을 임직원이 누르게 되면, 각 링크마다 클릭한 사람을 추적할 수 있는 하나의 토큰이 붙어 있어 어떤 임직원이 메일을 클릭했는지 확인할 수 있게 됩니다.

기업은 ‘가짜 피싱메일’에 속은 해당 임직원에게 유의하라는 메시지를 전달하거나, 별도로 추가적인 보안 교육을 시행하기도 합니다.

또 다른 예로, 한 보안기업에 근무하는 B씨는 “하루에도 몇 개씩 이러한 테스트용 피싱 메일이 날아온다. 그러면 신고 센터로 해당 메일을 모두 전달해야 한다”며 “혹시라도 메일에 포함된 링크나 첨부 파일을 누르면 한 시간 일찍 출근해서 추가 보안 교육을 받아야 한다”고 말했습니다.

보안이나 IT 기업뿐만 아니라 은행권, 주요 대기업 등도 대부분 이러한 모의훈련을 통해 피싱 피해를 예방하는 데 힘을 쏟고 있습니다.

이러한 모의훈련 솔루션에 대한 문의도 그만큼 많아지는 추세입니다. 관련해 ‘머드픽스’라는 모의훈련 솔루션을 제공하는 보안 기업 지란지교시큐리티는 올해 상반기에 관련 부분 매출이 전년 대비 약 2배 증가했습니다.

보안 기업 파수도 ‘마인드샛(mindSAT)’이라는 서비스를 제공하고 있습니다. 파수 관계자는 “악성 메일로 인한 해킹 공격이 많아 기업들의 메일 보안에 대한 인식도 많이 바뀌고 있다. 그만큼 문의하는 기업도 확실히 증가하는 추세”라고 설명했습니다.

이메일을 통한 피싱 공격은 여전히 위협적입니다. 사이버 보안업체 아크로니스 보고서에 따르면 2023년 상반기 이메일 기반 피싱 공격 건수는 464% 급증했다고 합니다. 특히 챗GPT와 같은 인공지능(AI) 시스템을 활용하는 경우도 증가하고 있습니다.

수많은 이메일 중 하나의 이메일만으로도 기업에 큰 손실을 끼칠 수도 있는 만큼, 공격하는 자와 막으려는 자의 팽팽한 긴장은 지속될 것으로 보입니다.