직원 88% “보안 통제 간소화·사용자 친화적으로 개선되면 보안 우선시”
[데이터넷] 우리나라 기업 직원의 상당수가 비밀번호 재사용과 공유, 알 수 없는 발송자가 보낸 링크 클릭, 신뢰할 수 없는 소스에 자신의 개인정보를 전달하는 행동 등이 위험하다는 것을 알면서도 이러한 행동을 지속하고 있는 것으로 나타났다.
프루프포인트의 ‘2024 피싱 현황 보고서’ 중 한국 응답자의 답변을 분석한 결과, 64%는 직원의 97%가 보안에 취약한 행동을 알면서도 ▲편리함(43%) ▲시간 절약(42%) ▲다급함(24%) 등의 이유로 위험한 행동을 하고 있다고 답했다.
보안 전문가와 직원 인식차 매우 커
이 보고서는 프루프포인트가 전 세계 15개국 기업 직원 7500여명과 보안 전문가 1050여명을 대상으로 실시한 설문조사 결과를 분석한 것이다.
이 보고서 중 한국 응답자의 대답을 분석하면, 보안 전문가의 88%는 대부분의 직원이 보안에 대한 책임감을 인지하고 있다고 답했지만, 직원 72%는 잘 모르겠다거나 전혀 책임이 없다고 생각한다고 답해 보안 담당자와 현업 직원의 인식 차이가 매우 큰 것으로 나타났다.
또한 보안상 위험한 행동을 한 모든 직원이 리스크를 인지하고 있었다고 가정하더라도 실질적 행동 변화를 유도할 수 있는 방안에 대해서는 보안 전문가들과 직원들 간에 현저한 견해차를 보였다.
보안 전문가는 보안 교육 강화(67%)와 보안 통제 강화(81%)를 방안으로 꼽았지만, 직원 대부분(88%)은 보안 통제가 간소화되고 사용자 친화적으로 개선된다면 보안을 우선시하겠다고 답했다.
프루프포인트 조사 결과 전 세계적으로 매월 보안 공격 100만 건이 MFA를 우회하는 이블프록시(EvilProxy)를 통해 일어나고 있는데, 국내 보안 전문가 82%가 MFA만으로도 계정탈취(ATO)를 방지하기에 충분하다고 여기는 것으로 나타나 보안 전문가조차 최신 위협 동향에 대한 이해가 부족한 것으로 나타났다.
AI 이용 전 세계 언어로 BEC 공격 진행
AI를 이용해 전 세계 언어로 진행되는 BEC 공격 시도도 크게 늘어나 각별한 주의가 요구된다. 전 세계적으로 BEC 공격 시도가 줄었는데, 우리나라의 경우 31% 증가했으며, 일본 35% 증가, UAE 29% 증가된 것으로 나타났다. 이 국가들은 이전까지는 문화·언어 장벽으로 인해 BEC 공격이 많지 않았는데, 생성형 AI의 등장으로 공격자들이 다양한 언어로 그럴듯한 맞춤식 이메일을 발송할 수 있게 됐기 때문이다. 프루프포인트는 월평균 6600만 건의 지능형 BEC 공격을 감지하고 있다.
랜섬웨어 역시 한층 진화된 공격을 전개하면서 국내 조직은 전년 대비 50%p 증가한 72%가 피해를 입었다. IT 전문가 중 50%가 소속 조직에서 랜섬웨어 감염을 다수 경험했다고 답했다. 랜섬웨어 피해를 본 조직 중 42%가 공격자들에게 비용을 지불하는데 동의한 것으로 나타났는데, 63%를 기록한 전년에 비해서는 비율이 감소한 것이다. 또한 40%만이 비용을 한차례 지불한 후 데이터 액세스 권한을 회복한 것으로 확인됐으며, 이 비율도 60%를 기록한 전년 대비 감소했다.
가짜 콜센터로 전화하도록 유도하는 ‘전화 지향적 공격 전송(TOAD)’에 대한 경고도 나왔다. 이 공격은 친근한 메시지로 위장해 잘못된 전화번호와 정보를 안내하면서 피해자가 될 직원이 의심 없이 가짜 콜세터에 전화 걸도록 유도하는 것이다. 이 공격으로 직원은 자격증명 정보를 제공하거나 공격자에게 원격 액세스를 허용해공격 체인이 활성화되도록 한다. 프루프포인트는 월 평균 1000만 건에 달하는 TOAD를 감지하고 있는데, 2023년 8월에 최고조에 달해 1,300만 건을 기록했다.
“공격 74%, 인적 요인으로 발생”
랜섬웨어, TOAD, MFA 우회 공격 등 고도로 정교해지고 나날이 확산되고 있는 사이버 위협에도 불구하고 이에 대한 대비나 대응 교육이 미비한 조직이 많은 실정이다. 기업 조직 중 12%만이 TOAD 공격 인지·예방법을 교육하고 있는 것으로 나타났고, 생성형 AI 안전 교육을 실시하고 있는 조직도 24%에 그쳤다.
최태용 프루프포인트 코리아 수석 시스템 엔지니어는 “한국의 랜섬웨어 감염률이 증가세를 보이고 있고, 최근 랜섬웨어를 포함해 여러 가지 사이버 공격에 생성형 AI가 활용될 가능성이 제기되고 있다”며 “모든 기업은 기업 구성원 모두의 정보 보안 인식 제고를 위한 교육 프로그램을 진행하고 각종 피싱 공격으로부터 기업 기밀사항 및 임직원 개인정보가 유출되지 않도록 적절한 보안 시스템을 구축해야 한다”고 말했다.
한편 이 보고서는 1년 이상에 걸쳐 취합한 피싱 공격 시뮬레이션 1.83억건, 전 세계 조직 23만 곳에 전송된 이메일 2.8조여 건을 포함한 프루프포인트의 원격측정 자료를 토대로 분석한 것이다. AI, QR 코드, MFA 등 최신 사이버 위협 동향을 심층 분석했다.
설문조사에 참여한 기업 중 82%가 2023년 1건 이상의 피싱 공격을 경험했다고 응답했으며, 법규 위반 벌금 등 금전적 처벌에 대한 보고 건수는 70%, 기업 평판 악화에 대한 보고 건수는 87% 증가하는 등 피싱공격 피해 역시 급증했다.
라이언 칼렘버(Ryan Kalember) 프루프포인트 최고전략책임자(Chief Strategy Officer)는 “사이버 범죄자들은 보안 부주의(negligence)나 ID 권한 침해(compromised identity), 악의적 의도를 통해서 사람을 범죄에 손쉽게 이용할 수 있다는 사실을 잘 알고 있다”며 “개인은 조직의 보안 방향에서 핵심적인 역할을 수행하며 보안 공격의 74%는 여전히 인적 요인으로 인해 발생한다. 보안 문화 조성은 중요하지만 교육만으로는 해결할 수 없는 문제가 있다. 무엇을 해야 할지 알고 있는 것과 실제 이행하는 것은 전혀 다른 문제이기 때문이다. 이제 관건은 인식이 아니라 행동의 변화“라고 강조했다.
