글로벌 조직의 대부분이 BEC 공격 피해 입어... 한국 조직도 52%가 BEC 공격 경험

랜섬웨어 공격 피해 여전, 글로벌 조직 76%, 한국 72% 공격 받은 경험 있다

IT 보안 전문가 인식 수준 제고와 강력한 보안 문화 구축 필요

[보안뉴스 이소미 기자] 최근 사이버 공격자들이 기존에 사용하던 전통적인 공격 형태뿐만 아니라 새로운 방식의 고도화된 공격 전술로 전 세계 각국의 기관, 기업 등 다양한 조직에 사이버 위협을 가하고 있다. 그에 반해 IT 보안 전문가들의 인식은 꽤나 낮은 수준에 머물러 있어 사이버 보안 인식 수준에 대한 제고가 시급해졌다.

특히, BEC(Business Email Compromise) 공격과 랜섬웨어 공격으로 인한 피해가 압도적이었다. 글로벌 정보보안업체 프루프포인트(Proofpoint)가 매년 발간하는 ‘피싱 현황 보고서’에 따르면 지난해(2022년) 글로벌 조직의 4분의 3 가량이 BEC 공격 시도를 받았으며, 조직의 76%가 랜섬웨어 공격을 받은 경험이 있다고 밝혔다. 랜섬웨어 공격을 받은 조직의 64%가 감염됐고 그중 공격자의 요구대로 비용(몸값)을 지불한 조직은 63%로 나타났다. 불행 중 다행인 것은 랜섬웨어 공격을 받은 조직의 90%가 사이버 보험에 가입했다는 사실이다. 따라서 보험에 가입한 조직의 경우 피해 금액은 약 18%가량으로 나머지 82%에 해당되는 금액은 보험사에서 지불했다.

한국은 국내 조직의 52%가 작년에 BEC 공격을 경험했고, 그중 15%가 직접적인 금전적 손실을 입은 것으로 밝혀졌다. 또한, 지난해 조직의 72%가 랜섬웨어 공격을 받았고 48%가 감염됐다. 랜섬웨어 공격 피해로 공격자에게 비용을 지불한 경우는 58%로 나타났다. 그 가운데 사이버 보험 가입 조직은 82%에 달했으며 피해 금액의 74%를 보험사가 지급한 것으로 조사됐다.

지난 1년간 공격자는 더욱 복잡한 형태로 이메일 공격을 시도했다. 매일 수십만 개의 전화 지향적 공격(TOAD) 전송 및 다중 인증(MFA) 우회 피싱 메시지를 유포해 거의 대부분의 조직을 위협했다. TOAD(Telephone-oriented attack delivery)는 이메일을 통해 수신자가 ‘가짜 콜센터’로 전화를 걸어 공격자와 직접 통화하도록 유도했는데 2021년 말을 시작으로 공격 건수는 꾸준히 증가하고 있는 추세다.

특히, 대중을 타깃으로 한 특정 브랜드 사칭 이메일 공격은 1,600건에 달했다. 이에 따른 보안 인식도 조사 결과는 낮은 수준이었다. 글로벌 응답자의 거의 절반에 해당하는 44%가 평소 알고 있던 익숙한 브랜드가 포함된 이메일은 안전하다고 생각했다. 한국도 상황은 다르지 않았다. 국내 응답자의 38%가 안전하다고 여겼으며, 이메일 발신 주소가 해당 브랜드 웹사이트와 일치할 것이라고 생각한 응답자가 글로벌은 63%, 국내는 64%로 비슷하게 나타났다.

이처럼 가장 보편적으로 행해지는 피싱 공격에 대한 이해나 이에 따른 대응책을 모르는 경우가 대부분이라는 것을 시사해 주는 결과다. 실제 글로벌 응답자의 3분의 1이상이 ‘멀웨어’, ‘피싱’, ‘랜섬웨어’의 공격 개념을 잘 모르고 있으며, 보안 인식 프로그램을 갖춘 조직 중에서 전 직원 대상으로 교육을 진행하는 곳은 56%, 피싱 시뮬레이션을 수행하는 곳은 35%에 불과했다. 한국은 전 직원 교육 66%, 피싱 시뮬레이션 수행은 30%에 불과했다.

조직 보안 문제로 더욱 심각한 것은 회사 내 정보 및 데이터 유출 위험에 현저히 노출되어있다는 점이다. 이는 코로나 팬데믹 이후 경제적 불확실성이 고용시장에 영향을 미치면서 이직·퇴직률이 높아지며 나타난 현상이다. 조사 결과에 따르면, 지난 2년 간 직장인 4명 중 1명 꼴로 이직·퇴직률이 증가하면서 조직 내부 데이터 보호는 더욱 어려워진 것으로 나타났다. 조사에 참여한 글로벌 응답자 중 65%가 내부자로 인한 데이터 손실 경험이 있다고 했고 이직자 44%는 회사 데이터를 갖고 나왔다고 인정했다. 국내에서도 이직자 중 41%에 해당하는 응답자가 회사 데이터를 별도 조치 없이 갖고 나왔다고 답했다.

라이언 칼렘버(Ryan Kalember) 프루프포인트 사이버 보안 전략담당 부사장은 “피싱은 여전히 성공적인 공격 수법이지만 현재 많은 공격자들이 다중 인증을 우회하는 전화지향적 공격 전송 및 AitM(adversary-in-the-middle) 피싱 프록시와 같은 새로운 기술로 전환했다”며, “이러한 기술은 수년 간 표적 공격에 사용되긴 했지만 작년에는 대규모로 사용됐고, 정교한 멀티 터치 피싱 캠페인이 눈에 띄게 증가하고 있다”고 말했다.

이어 프루프포인트 코리아 이석호 대표는 “새로운 사이버 위협에 대응하기 위해 조직 내 보안 인식 프로그램을 강화하고 전 직원이 적극적으로 프로그램에 참여해 강력한 보안 문화를 구축하는 것이 매우 중요하다”고 덧붙였다.

[이소미 기자(boan4@boannews.com)] 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> 

 보안 공격에 대한 위협이 나날이 엄습해오는 만큼 이에 주요 타깃이 되는 세계 각국의 주요 기관, 기업들은 그에 따라 더욱 뛰어난 보안 체계를 마련하고 대비할 것이라 예상해왔으나, 실상은 그보다 더 심각하다고 생각했다. 주요 기관들은 예상보다 수많은 보안 위협에 휩싸이고 있었으며, 뿐만 아니라 개인에게도 뚜렷하게 다가와 우리의 일상에도 위력이 가해지고 있었다. 따라서 보안 위협에 대한 인식 수준에 대한 제고와 보안 공격 예방 체계와 대응 체계 모두 발전에 박차를 가해야 함이 필수불가결하다고 여긴다.