세계 최대 보안 인식 교육 및 모의 피싱 플랫폼 제공업체인 KnowBe4가 2024년 2분기 최다 클릭 피싱 보고서(Q2 2024 top-clicked phishing report)의 결과를 발표했다. 연구 결과에는 피싱 테스트에서 가장 많이 클릭된 이메일 제목이 포함되어 있는데 인사 업무 관련 메시지가 직원들의 행동을 여전히 가장 많이 유발하여 잠재적으로 해로운 결과를 초래하는 것으로 나타났다.
피싱 이메일은 사이버 범죄자들이 전 세계에서 조직들에 악의적인 공격을 개시할 때 여전히 보편적으로 사용하는 효과적인 도구로 남아있다. 이러한 악의적인 범죄자들은 지속적으로 전술을 발전시켜 현재 시장 트렌드에 적응하고 있으며, 믿음이 가는 진짜처럼 보이도록 피싱 이메일 제목을 만들어 최종 사용자와 조직을 모두 속이고 있다.
이들의 전략은 긴박감, 혼란, 불안, 심지어 흥분의 감정을 일으킬 목적으로 인간의 감정을 악용할 때가 많으며, 이 모두는 수신자를 꾀어 악성 링크를 클릭하거나 유해한 첨부 파일을 열도록 하려는 시도이다. 이 위협의 심각성은 KnowBe4의 2024년 업계별 피싱 벤치마킹 보고서(2024 Phishing by Industry Benchmarking Report)에서 강조되고 있는데, 보고서에 따르면 사용자 3명 중 1명 정도가 의심스러운 링크와 상호작용하거나 사기성 요청에 순응하기 쉬운 것으로 나타났다.
인사 관련 이메일은 작년에 사이버 범죄자들의 피싱 수법으로 점점 더 인기를 얻게 되었고, 특히 드레스 코드 변경, 교육 알림, 휴가 업데이트 등과 관련된 이메일 제목이 더욱 그랬다. 이러한 제목이 효과적인 이유는 한 개인이 이메일의 적법성에 대해 논리적으로 생각하기 전에 반응하도록 유도하며, 직원의 사생활과 직장 근무일에 영향을 미칠 수 있는 잠재력이 있기 때문이다.
피싱 이메일에 포함된 QR 코드에 대한 우려가 커지고 있으며, 사이버 범죄자들은 코드를 사용해 의심하지 않는 직원과 조직으로부터 민감한 정보를 빼내거나 돈을 훔치려고 시도하고 있다. 직원들에게 QR 코드를 스캔하도록 유도하는 대표적인 이메일 제목으로는 MFA 마이그레이션, 인사팀의 알림, 비밀번호 만료 알림 등이 있다. 또한 이러한 데이터를 살펴보면 IT 및 온라인 서비스 알림은 물론, 세금 관련 이메일 제목도 일관되게 활용하는 것으로 나타난다.
KnowBe4의 최고경영자인 스투 슈베르만(Stu Sjouwerman)은 “피싱 수법은 계속 발전하고 있으며 전 세계 조직에 심각한 위협이 되고 있다”며 “사이버 범죄자들이 전략을 수정하는 속도는 경각심을 느낄 정도이며, 인사 관련 피싱 이메일이 계속 증가하는 추세는 조직에서 신뢰의 근간을 겨냥하고 있다는 점에서 특히 문제가 심각하다”고 설명했다.
그는 이어 “더구나 피싱 시도에서 QR 코드가 증가하면서 이러한 위협에 또 다른 층차가 더해지고 있다”며 “이러한 환경에서는 조직이 포괄적인 보안 인식 교육을 우선순위에 두는 것이 매우 중요하며, 이러한 수법과 새로운 전략에 대해 직원들을 교육하고 강력한 보안 문화를 조성함으로써 조직은 내부에 존재하는 인적 위험을 완화할 수 있다”고 덧붙였다.
