Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

“위험성을 알면서도 보안을 해치는 행동을 한다”
97
%
자료 제목 :
2024 피싱 현황 보고서
2024 State of the Phish
자료 출처 :
Proofpoint
원본자료 다운로드
관련 자료 :
발행 날짜 :
2024년 02월 28일
보안

프루프포인트, 2024 피싱 현황 보고서 발표 “사람 중심 위협으로 인한 피해 지속”

편집부 | ITWorld 2024.02.28
프루프포인트가 올해로 10번째인 피싱 현황(State of the Phish) 보고서를 발표했다. 이번 보고서에 따르면, 62%의 직원이 랜섬웨어나 맬웨어 감염, 데이터 유출, 금전적 손실로 이어질 수 있는 피싱 리스크를 인지하고 있는 것으로 나타났다. 
 

이번 보고서 설문조사에 참여한 기업 중 82%가 2023년 1건 이상의 피싱 공격을 경험했다고 응답했다. 이는 72%를 기록한 2022년 대비 다소 증가한 수치로 피싱 성공률이 소폭 증가했음을 알 수 있다. 또한 법규 위반 벌금 등 금전적 처벌에 대한 보고 건수는 70%, 기업 평판 악화에 대한 보고 건수는 87% 증가하는 등 피싱 공격 피해 역시 급증했다.

올해 보고서에서는 사이버보안 지식이 부족해서 위험한 행동을 한다거나 보안 인식 교육만으로 보안에 위험한 모든 행위를 예방할 수 있다는 오랜 통념에 대한 문제가 제기됐다. 이는 곧 직원 대부분이 기업을 보호할 책임이 있다는 것에 대해 알고 있다고 믿는 보안 전문가들의 인식 문제로도 연결되는데, 보안 기술의 한계와 사용자 교육 사이의 현실적 격차를 여실히 보여준다고 업체 측은 말했다. 

올해 피싱 현황 보고서는 1년 이상에 걸쳐 취합한 피싱 공격 시뮬레이션 1.83억 건 및 전 세계 기업 23만 곳에 전송된 이메일 2.8조여 건을 포함한 프루프포인트의 원격측정 자료를 토대로 하여 생성형 AI, QR 코드, MFA(Multi-factor Authentication) 등 최신 사이버 위협 동향을 심층 분석했다. 또한 전 세계 15개국 기업 직원 7,500명과 보안전문가 1,050명의 인식 현황을 검토하고, 일상생활에서 보안을 대하는 태도가 개인마다 각양각색이며 위협 행위자들도 현행 보안 인식 개선 이니셔티브는 물론 속도와 편의 등에 대한 개인의 선호도를 이용해 다양한 신종 수법을 모색하고 있다는 동향을 파악했다.

보고서에 따르면, 국내 설문 응답자의 64%는 비밀번호 재사용·공유, 알 수 없는 발송자가 보낸 링크 클릭, 신뢰할 수 없는 소스에 자신의 개인정보를 전달하는 행동을 하고 있다고 인정했다. 이들 중 97%는 위험성을 알면서도 그런 행동을 지속했다고 응답했다. 즉 직원 중 62%가 기업 보안을 해치는 행동인지 알면서도 편리함(43%), 시간 절약(42%), 다급함(24%)을 이유로 같은 실수를 반복한 것이다.

이번 설문에 응한 보안 전문가 중 88%는 대부분의 직원들이 보안에 대한 책임감을 인지하고 있다고 답한 반면, 직원 72%는 잘 모르겠다거나 전혀 책임이 없다고 생각한다고 답했다. 그런데 보안상 위험한 행동을 한 모든 직원이 리스크를 인지하고 있었다고 가정하더라도 실질적 행동 변화를 유도할 수 있는 방안에 대해서는 보안 전문가들과 직원들 간에 현저한 견해차를 보였다. 보안 전문가들은 보안 교육 강화(67%)와 보안 통제 강화(81%)를 방안으로 꼽았지만, 직원 대부분(88%)은 보안 통제가 간소화되고 사용자 친화적으로 개선된다면 보안을 우선시하겠다고 답했다.

매월 보안 공격 100만 건이 MFA 우회 이블프록시(EvilProxy)를 통해 일어나지만, 무려 국내 보안 전문가 중 82%가 MFA만으로도 계정탈취(ATO)를 방지하기에 충분하다고 여기는 것으로 나타났다.

BEC 공격 시도를 보고한 기업 수는 전 세계적으로 감소했지만, 공격 건수는 일본(전년 동기 대비 35% 증가), 한국(31% 증가), UAE(29% 증가) 등에서 증가세를 기록했다. 이들 국가는 이전까지는 문화·언어 장벽으로 인해 BEC 공격이 많지 않던 지역인데, 생성형 AI의 등장으로 공격자들이 다양한 언어로 더욱 그럴듯한 맞춤식 이메일을 발송할 수 있게 됐기 때문으로 업체 측은 분석했다. 최근 프루프포인트는 월평균 6,600만 건의 지능형 BEC 공격을 감지하고 있다.

지난해 랜섬웨어 감염 공격을 당한 국내 기업 비율은 전년 동기 대비 50%p 증가한 72%에 달했다. IT 전문가 중 50%가 소속 기업에서 랜섬웨어 감염을 다수 경험했다는 사실도 더욱 우려스럽다. 랜섬웨어 피해를 본 기업 중 42%가 공격자들에게 몸값을 지불하는 데 동의한 것으로 나타났는데, 63%를 기록한 전년에 비해서는 비율이 감소한 것이다. 또한 40%만이 비용을 한차례 지불한 후 데이터 액세스 권한을 회복한 것으로 확인됐으며, 이 비율도 60%를 기록한 전년 대비 감소했다.

전화 지향적 공격 전송(Telephone-Oriented Attack Delivery, TOAD)도 여전히 기승을 부리고 있다. 언뜻 보기에는 친근한 메시지로 보여도 실제로는 전화번호와 잘못된 정보로 피해자가 될 직원이 아무런 의심 없이 가짜 콜 센터에 전화를 걸도록 유도한다. 이때 자격증명을 제공하거나 공격자에게 원격 액세스를 허용하면 공격 체인이 활성화된다. 프루프포인트는 월 평균 1,000만 건에 달하는 TOAD를 감지하고 있는데, 최근에는 2023년 8월에는 최고조에 달해 1,300만 건을 기록했다.

랜섬웨어, TOAD, MFA 우회 공격 등 고도로 정교해지고 나날이 확산되고 있는 사이버 위협에도 불구하고 이에 대한 대비나 대응 교육이 미비한 기업이 많은 실정이다. 기업 중 12%만이 TOAD 공격 인지·예방법을 교육하고 있는 것으로 나타났고, 생성형 AI 안전 교육을 실시하고 있는 기업도 24%에 그쳤다.

프루프포인트 최고전략책임자 라이언 칼렘버는 “사이버 범죄자는 보안 부주의나 ID 권한 침해, 일부의 경우에는 악의적 의도를 통해서 사람을 범죄에 손쉽게 이용할 수 있다는 사실을 잘 알고 있다”라며, “개인은 기업의 보안 방향에서 핵심적인 역할을 수행한다. 보안 공격 74%는 여전히 인적 요인으로 인해 발생하며, 보안 문화 조성은 중요하지만 교육만으로는 해결할 수 없는 문제가 있다”라고 말했다.

프루프포인트 코리아 최태용 수석 시스템 엔지니어는 “한국의 랜섬웨어 감염률이 증가세를 보이고 있고 최근 랜섬웨어를 포함해 여러 가지 사이버 공격에 생성형 AI가 활용될 가능성이 제기되고 있다”라며, “모든 기업은 기업 구성원 모두의 정보 보안 인식 제고를 위한 교육 프로그램을 진행하고 각종 피싱 공격으로부터 기업 기밀사항 및 임직원 개인정보가 유출되지 않도록 적절한 보안 시스템을 구축해야 한다”라고 밝혔다.
editor@itworld.co.kr
 Tags 프루프포인트

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.