사이버 공격 수법이 갈수록 지능화하는 가운데 최근 피싱 공격 피해를 입는 중소기업이 늘어난 것으로 나타났다. 대다수 공격의 단초가 피싱 메일인 만큼 메일 보안에 각별히 신경써야 할 것으로 보인다.
한국인터넷진흥원(KISA)가 최근 이 같은 '중소기업 침해사고 피해지원 서비스 동향 보고서'를 발표했다.
올해 상반기 접수된 주요 침해사고 사례를 보면, 피싱 관련 침해사고는 1분기 5건에서 2분기 29건으로 24건이나 증가했다.
실제 침해사고 사례를 분석한 결과, 악성 피싱 메일로 인한 악성코드 감염이나 계정 탈취 사례가 다수 확인됐다. 피싱 메일을 이용한 공격 시도는 공격자가 가장 흔히 사용하는 방식 중 하나다. 외부에 공개된 메일 주소로 피싱 메일을 대량 유포해 계정을 탈취하는 식이다.
최근엔 공격 대상 기업의 실제 메일 서버를 침투한 뒤, 기업 메일 주소를 이용해 피싱 공격을 수행하는 사례도 증가하는 추세다. 기존에 주고받은 메일에 '답장 형식'으로 피싱 메일을 전송하기에 공격 성공률을 높인다.
일례로 A기업은 피싱메일 공격을 당해 거래대금을 탈취당했다. 해커가 피싱 메일을 통해 A기업의 직원 메일계정을 빼갔고, A기업과 거래처들 간 송·수신 메일을 파악했다. 이후 거래처에 '계좌가 변경됐다'고 안내한 뒤 거래대금을 가로챘다.
또 다른 해커는 B 이커머스 기업의 직원에게 피싱메일을 보내 시스템 계정을 빼내 시스템에 무단으로 접속했다. 이 해커는 등록된 상품 정보를 위조하거나 가격을 변경하는 등 불법 행위를 저질렀다.
KISA는 기업·기관을 위한 대응방안으로 메일 로그인 시 다요소 인증(MFA) 및 메일 보안 솔루션 도입, 조직 내 보안 문화 정착 등을 제언했다.
MFA는 서로 다른 유형의 인증 수단을 두 가지 이상 결합해 보안을 강화하는 방식으로, 메일계정이 유출되더라도 2차 인증을 통해 접근을 막을 수 있다. 또 전 직원을 대상으로 정기적인 메일 보안을 교육하고, 최신 침해사고 사례와 대응법을 공유하는 것도 필요하다. 해킹 메일 대응 모의훈련을 통해 임직원의 경각심을 높이는 방법도 효과적이다.
조재학 기자 2jh@etnews.com
![사기꾼이 올린 정보로도 답변…거짓말 못 거르는 'AI 검색' [팩플]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202508/26/c013f494-d4bb-41fd-a541-43a13f982215.jpg)
