금융감독원에 따르면 23년 금감원에 접수된 보이스 피싱 피해액이 1,965억 원으로 전년 대비 35.4%(514억 원) 늘었다. 금감원에 피해 구제를 신청한 보이스 피싱 피해자 수는 1만 1,503명으로 전년보다 10.2% 줄었지만, 1명당 평균 피해액이 22년 1,130만 원 대비 1,710만 원으로 51.3%나 증가했다.
피싱(phising)은 '개인정보(Private data)를 낚는다(fishing)'라는 의미의 합성어다. 해커가 사람의 마음을 현혹하여 개인정보를 탈취하거나, 사용자 스스로 송금 또는 결제하도록 유도하는 일종의 온라인 사기수법이다. 초기에는 해커가 가짜 홈페이지를 구축한 뒤, 이용자에게 가짜 홈페이지에 개인정보를 입력하도록 유도하여 개인정보를 수집하는 행위를 의미하였다. 최근에는 메신저, 음성 등을 포함한 포괄적인 사이버 위협을 말한다.
사이버 위협으로 인한 사회적 피해를 줄이는 방법은 무엇일까. KnowBe4에서 시사점을 내어놓았다. 보고서에 따르면 산업별로 차이가 있지만 보안 의식을 높이는 것만으로도 피싱에 취약한 사람의 비율을 34.3%에서 4.6%까지 낮출 수 있다.
KnowBe4는 랜섬웨어 시뮬레이터 랜심(RanSim)의 개발사로 모의 피싱 테스트와 보안 교육을 서비스하는 미국의 회사다. 2024년 산업별 피싱 벤치마킹 보고서(2024 Phishing by Industry Benchmarking Report)를 공개했다. 피싱 또는 소셜 엔지니어링* 사기를 당할 가능성이 있는 직원 수를 나타내는 조직의 피싱 취약 비율(Phish-prone™ Percentage, PPP)을 측정한 결과다.
* 소셜 엔지니어링(Social Engineering) : 새로운 유형의 사기로, 사람들을 조종하여 개인정보 공유를 유도하거나, 멀웨어(Malware, 악성 소프트웨어)를 다운로드하게 만들거나, 유해 사이트를 방문하도록 유인하거나, 범죄자에게 송금하도록 속이거나, 개인이나 조직의 자산 또는 보안을 손상시키는 실수를 저지르게 하는 등의 심리 조작 사이버 공격이다. 컴퓨터 기술을 사용하지만 IT시스템의 취약성이 아닌 인간의 약점을 악용하기 때문에 ‘인간 기반 해킹’이라고도 부른다.
사이버 위협을 예방, 대응, 복구하는 데는 기술이 중요하지만, 사람의 실수가 여전히 정보 유출의 큰 원인이다. Verizon의 2024년 데이터 유출 조사 보고서(2024 Data Breach Investigations)에 따르면 데이터 유출의 68%는 우발적인 행동, 도난당한 자격 증명 사용, 소셜 엔지니어링 및 악의적인 권한 오용 때문이었다.
산업별 피싱 벤치마킹 보고서는 19개 산업 분야, 5만 5,675개 회사, 1,190만 명 이상의 사용자를 대상으로 5,400만 개가 넘는 시뮬레이션 피싱 테스트한 데이터를 분석한 것이다. 보안 교육이 없는 경우 34.3%의 직원이 악성 링크를 클릭하거나 사기성 요청에 응할 가능성이 높은 것으로 나타났다. 이는 사람의 취약점으로 인해 발생하는 사이버 위협의 피해를 예방하기 위해서는 조직 내 보안 문화 구축이 필요함을 방증한다.
특히 피싱 보안 테스트가 보안 교육과 통합되었을 때 효과가 있다는 사실을 강조한다. 최초 테스트 이후 정기적인 보안 교육과 피싱 보안 테스트를 병행한 회사는 3개월 후에 평균 PPP가 18.9%로, 12개월 후에 4.6%까지 떨어졌다. 이는 조직의 보안 문화가 바뀌기 위해서는 기존의 습관을 깨고 새로운 습관을 만들어야 함을 보여준다. 직원들이 새로운 행동을 받아들이기 시작하면 새로운 습관이 형성되고, 새로운 습관은 시간이 지나면서 새로운 조직 문화로 이어져 마침내 일상 업무에서 습관적으로 보안에 기반해 일상 업무를 처리하게 된다.
또한 사이버 위협에 특히 취약하고, 가장 높은 PPP를 기록했으며, 보안 의식 교육이 시급한 산업 분야도 언급한다. 의료 및 제약 산업(Healthcare & Pharmaceuticals)이 소규모 및 대규모 조직에서 각각 34.7%와 51.4%를 기록하며 가장 높은 PPP로 여전히 고위험 범주에 남아있다. 중간 규모 조직 전체에서는 숙박업(Hospitality)이 39.7%의 점수로 1위에 올라 있다. 24년 새롭게 떠오른 사이버 위협 요인은 산업계에 빠르게 도입되고 있는 AI로 나타났다.
KnowBe4의 스투 슈베르만(Stu Sjouwerman)은 “데이터는 거짓말을 하지 않는다. 정기적이고 집중적인 보안 교육은 직원들이 잠재적인 위협에 대처하는 방식을 새롭게 만들어간다.”고 밝혔다.
사이버 위협으로 인한 피해는 우리 회사, 우리 이웃, 우리 가족, 나에게까지 이어진다. 지피지기 백전불태(知彼知己 百戰不殆). ‘적을 알고 나를 알면 백번 싸워도 위태로움이 없으며, 적을 알지 못하고 나를 알면 한 번 이기고 한 번 지며, 적을 모르고 나를 모르면 싸움마다 반드시 위태롭다’는 뜻이다. 사이버 위협으로부터 소중한 것을 지키기 위해 지피지기 백전불태의 지혜가 필요한 때다.