2021년은 피싱 공격자들이 물 만난 물고기처럼 뛰어놀던 해다. 코로나와 굵직한 사건 사고로 여러 이슈들이 터졌고, 이 때문에 각종 피싱 공격 주제거리들이 쉴 새 없이 나타났기 때문이다. 게다가 재택 근무까지 활성화 되니, 결과가 처참할 수밖에 없었다.

[보안뉴스 문가용 기자] 그것 참 이상하다. 피싱 피해 사례에 대한 소식이 그렇게 많이 나오고, 피싱 관련 교육이 그렇게나 지겹게 진행되는데도 상황이 전혀 개선되지 않고 있는 듯하니 말이다. 2021년 피싱 공격으로부터 시작된 각종 랜섬웨어 및 BEC 공격의 빈도와 피해 규모는 2020년의 그것보다 높고 컸다는 연구 결과가 발표됐다.


보안 업체 프루프포인트(Proofpoint)가 최근 600명의 IT 및 보안 전문가들과 3500명의 일반 직원들을 대상으로 조사를 벌였다. 또한 1억 건의 ‘시뮬레이션 피싱 공격’으로부터 축적된 데이터를 분석하기도 했었다. 그 결과 83%의 조직들에서 이메일 기반 피싱 공격이 한 차례 이상 성공했었던 것으로 나타났다. 여기에 속은 직원들은 악성 링크를 누르거나 파일을 다운로드 받아 실생시키거나, 크리덴셜을 제공하는 등의 행위를 하도록 유도됐었다. 이런 사례가 2020년보다 무려 46%나 증가했다.

피싱 공격으로부터 시작된 랜섬웨어 공격을 경험한 조직이 78%나 되기도 했다. 이메일 기반 BEC 공격을 경험한 조직은 77%였다. BEC 공격의 경우 2020년에 비해 18%p 증가한 것이다. 이런 저런 결과들을 종합했을 때 피싱 공격에 실질적으로 피해를 입은 조직들은 작년(2020년)에 비해 12%나 늘어난 것으로 분석됐다. 다만 이런 공격들에 대해 제대로 신고하고 있는 조직들의 수도 20% 증가했다고 한다.

“사이버 범죄자들은 계속해서 시스템이 아니라 사람을 공략합니다. 다양한 소셜 엔지니어링 공격 방식을 사용해서 말이죠.” 프루프포인트의 수석 사이버 보안 전문가인 그레텔 에간(Gretel Egan)의 설명이다. “공격자들은 세계적으로 이슈가 되는 소식들을 각종 피싱 공격에 그대로 녹여냅니다. 사람들이 궁금해 하고 소식을 더 듣고 싶어 하는 주제를 잘 이해하고 있으며, 이를 통해 높은 확률로 의도한 바를 이뤄냅니다.”

에간에 의하면 2021년 한 해 동안 공격자들은 각종 코로나 바이러스 변종의 이름과 넷플릭스에서 화제가 되는 영화나 드라마(특히 오징어게임) 등을 적절히 사용했다고 한다. 여기에 더해 지역이나 나라에서 화제가 되는 키워드를 활용하는 모습들도 적잖이 포착됐다. “이런 사례들은 빙산의 일각이죠. 공격자들은 인터넷이나 사람들 사이에 오르내리는 모든 화젯거리들을 피싱 공격에 재빠르게 활용합니다. 그래야 사람들이 클릭을 해 주니까요.”

‘아이덴티티 탈취 센터(ITRC)’라는 조직에서도 최근 “2021년 발생한 데이터 침해 사고 중 적잖은 수가 피싱 공격으로부터 시작됐다”라는 내용의 연구 결과를 발표했었다. 1613건의 침해 사고 중 537건(약 1/3)이 피싱 공격 때문에 발생했다고 한다. 정보 보안 매체 다크리딩(DarkReading)도 독자적으로 조사를 실시했을 때 69%의 조직들이 지난 해 한 번 이상의 피싱 공격 피해를 경험한 것으로 밝혀졌다. 숫자는 조금씩 다르지만 피싱 공격은 여전이 유효한 위협이라는 증언들이라고 볼 수 있다.

물론 2021년은 피싱 공격자들이 활개 치기 딱 좋은 시기였다. 코로나 소식이 끊임없이 나와 피싱 소재가 마르지 않았고, 재택 근무가 활성화되면서 각 조직원들이 회사보다는 덜 엄격한 집에서 각개전투를 벌여야 했기 때문이다. 프루프포인트가 조사한 조직들 중 81%에서는 직원들의 절반 이상이 원격에서 근무를 했다고 한다. 소셜미디어나 단순 이메일 서비스로 협업을 하는 경우가 결코 적지 않았고, 이 때문에 피싱 공격에 더 열린 환경이 된 것도 사실이다.

피싱에 대한 인식은 악화되는 중
이런 연구 결과들은 모두 피싱 공격 인식 제고 노력이 큰 결실을 맺고 있지 않다는 것을 나타낸다. 아직 일반 임직원들은 피싱 공격을 명확히 구분할 줄 모르거나, 피싱 공격에 대해 어떻게 대처해야 할지 잘 이해하지 못하고 있는 것으로 보인다. 프루프포인트의 조사에서 53%의 응답자만이 피싱 공격을 명확히 분간할 수 있는 것으로 분석됐다. 2020년에는 61%의 점수가 나오던 항목이었다. 스미싱을 정의할 수 있는 응답자는 2020년에 31%, 2021년에 23%였다. 비싱은 2020년에 30%, 2021년에 24%였다. 피싱에 속아 악성 행위를 하게 된 사람들은 42%인 것으로 조사됐다.

이렇게 피싱에 대한 사람들의 인식 수준은 낮아지고 있는데, 범죄자들의 피싱 공격은 더 진짜처럼 변하고 있다는 것도 염려스러운 점 중 하나다. 범죄자들은 2021년 한 해 동안 유명 브랜드와 기업 이름을 악용함으로써 피해자들을 속이는 활동의 빈도를 크게 높였다. 특히 마이크로소프트와 구글이라는 유명한 기업 이름과 브랜드 신뢰도를 활용한 사례가 한 해 동안 폭발적으로 늘어났다고 한다. 악용의 방법도 다양해졌다. 방어력은 낮아지고, 공격력은 높아지는 형국이다.

에간은 “정보 보안의 중요성까지 부인하는 응답자는 거의 없었다”고 말한다. “심지어 보안을 조직 운영의 우선적인 가치로 여겨야 한다는 응답은 일반 직원들 사이에서 더 많이 나왔습니다. 보안 전문가들 사이에서 더 낮았고요. 즉 일반 직원들은 최소한 스스로 보안 사고의 책임자가 되기는 싫은 마음이 강력한 겁니다. 보안 정책과 규칙들을 따를 마음이 있는 거죠. 그러니 보안 인식을 고취시키는 것보다 어떻게 대처해야 하는지에 대해서 보다 명확히 알려주는 노력이 더 필요할 것으로 보입니다. 그게 잘 안 되기 때문에 교육 효과가 나타나지 않는 것으로 분석됩니다.”

3줄 요약
1. 2021년, 피싱 공격으로 처참하게 얼룩진 한 해.
2. 피싱 공격과 관련된 교육 효과가 도무지 나타나지 않는 것처럼 보이기도 함.
3. 보안이 중요하다는 ‘인식 제고’보다 어떻게 대처해야 하는지에 대한 ‘실전 교육’이 더 필요할 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>