“이러니 자꾸 뚫리지” 韓 기업 직원 62%가 “위험한 줄은 알지만 일단 클릭”

프루프포인트, '피싱 현황' 보고서에서 지적
62%가 위험 인지하지만 신뢰할 수 없는 메일 클릭, 비밀번호 공유
보안 담당자-직원들 '동상이몽'… "보안, 직원들은 전혀 책임 없다"

우리나라 기업의 직원 중 62%가 조직의 정보유출에 위험한 행동인 것을 인지하면서도 알 수 없는 발송자가 보낸 인터넷주소(URL)클릭 한다는 조사 결과가 발표됐다.

이들은 편리함, 시간 절약, 다급함 등을 이유로 이 같은 행동을 한다고 대답했는데, 출처가 불분명한 URL클릭은 각종 ‘피싱’에 노출될 수 있는 가장 쉬운 행동이다. 아울러 피싱으로 인한 사내 계정 유출은 대규모 랜섬웨어 공격 등 2차 피해로 이어질 수 있어 각별한 주의가 필요하다.

◆64%가 비밀번호 재사용·공유, 알 수 없는 발송자가 보낸 링크 클릭 ‘한다’

글로벌 사이버 보안 기업 프루프포인트가 최근 공개한 ‘피싱 현황(State of the Phish) 보고서’에 따르면, 설문에 응답한 국내 기업 중 지난해 랜섬웨어 감염 공격을 당한 비율은 전년 동기 대비 50%p 증가한 72%에 달했다.

랜섬웨어 피해를 본 조직 중 42%가 공격자들에게 비용(몸값)을 지불하는데 동의한 것으로 나타났는데, 63%를 기록한 전년에 비해서는 비율이 줄었다. 해당 보고서는 국내 포함 전 세계 15개국 기업 직원 7500명과 보안전문가 1050명을 대상으로 진행했다.

이 가운데 국내 설문 응답자의 64%는 비밀번호 재사용·공유, 알 수 없는 발송자가 보낸 링크 클릭, 신뢰할 수 없는 소스에 자신의 개인정보를 전달하는 행동을 하고 있다고 답했다. 특히, 이들 중 97%는 위험성을 알면서도 그러한 행동을 지속했다고 응답했다.

프루프포인트 측은 “즉, 직원 중 62%가 조직 보안을 해치는 행동인지 알면서도 편리함(43%), 시간 절약(42%), 다급함(24%)을 이유로 같은 실수를 반복한 것”이라고 설명했다.

URL을 보내 악성 앱 설치하도록 유도하거나, 악성코드를 심는 것은 공격자들이 흔히 사용하는 피싱공격이다. 구인·구직, 계정 유효성 확인, 세금체납, 해외결제, 청첩장 등의 내용이 주로 활용된다. 공격자들은 1차적으로 개인을 대상으로 삼지만, 이를 통해 기업 계정을 확보해 랜섬웨어와 같은 2차피해를 가한다. ‘URL 클릭’ 한번으로 랜섬웨어 피해의 문을 여는 셈이다.

◆보안 담당자 “직원들 보안 책임감 있다” vs 직원들 “전혀 책임 없다”

이번 보고서에선 보안 담당자와 직원들 간 보안 의식 차이도 여실히 드러났다.

설문에 응한 보안 전문가 중 88%는 ‘대부분의 직원들이 보안에 대한 책임감을 인지하고 있다’고 답한 반면, 직원 72%는 ‘잘 모르겠다’거나 ‘전혀 책임이 없다’고 생각한다고 답했다.

보안 강화를 위해 실질적 행동 변화를 유도할 수 있는 방안에 대해서도 보안 전문가들과 직원들 간에 현저한 견해차를 보였다. 보안 전문가들은 보안 교육 강화(67%)와 보안 통제 강화(81%)를 방안으로 꼽았지만, 직원 대부분(88%)은 보안 통제가 간소화되고 사용자 친화적으로 개선된다면 보안을 우선시하겠다고 답했다.

최태용 프루프포인트 코리아 수석 시스템 엔지니어는 “국내 랜섬웨어 감염률이 증가세를 보이고 있고 최근 랜섬웨어를 포함해 여러 가지 사이버 공격에 생성형 AI가 활용될 가능성이 제기되고 있다”고 말했다. 그러면서 “모든 기업은 기업 구성원 모두의 정보 보안 인식 제고를 위한 교육 프로그램을 진행하고 각종 피싱 공격으로부터 기업 기밀사항 및 임직원 개인정보가 유출되지 않도록 적절한 보안 시스템을 구축해야 한다”고 말했다.

[서울=뉴시스]