클라우드플레어가 첫 번째 2023 피싱 위협(Phishing Threats) 보고서를 발표했다. 해당 보고서에 따르면, 피싱은 여전히 가장 지배적이며 빠르게 증가하고 있는 인터넷 범죄로, 주요 원인은 이메일의 보편화와 인적 오류로 인한 보안 위협에 노출로 나타났다.
오늘날 비즈니스 이메일 침해(BEC)로 인한 손실은 무려 500억 달러(한화 약 67조 원)에 달하는 반면, 피싱 공격의 대상은 기업에만 국한되지 않는다. 실제로, 피싱은 포춘 500대 기업과 글로벌 기업은 물론, 중소기업과 공공 부문에 까지도 영향을 미치고 있다. 이번 보고서에 의하면, 정치 조직을 표적으로 하는 이메일 위협이 증가했는데, 클라우드플레어는 2022년 미국 중간선거를 앞둔 3개월 동안 자사 이메일 보안 서비스를 통해 약 15만 건의 피싱 이메일이 선거 운동 관계자에게 전달되는 것을 차단했다.
조직의 규모, 업종 및 분야에 관계없이 피싱 캠페인을 주도하는 위협 행위자는 크게 두 가지 목표를 갖는다. 첫번째는 피해자에게 합법적이며 진정성이 있는 것처럼 보이는 것이고, 두 번째 피싱에 참여하거나 클릭하도록 피해자를 설득하는 것이다. 이 같은 목표는 이번 보고서의 주요 결과에서도 분명하게 드러난다. 내용은 다음과 같다.
▲악성 링크는 가장 흔한 위협 유형으로, 감지된 전체 위협의 35.6%를 차지한다.
▲신원 도용 위협이 증가하는 추세로, 전체 위협 대비 비중이 전년의 10.3%에서 올해 14.2%(3,960만 건)로 증가했다.
▲10억 건 이상의 브랜드 사칭 시도가 있었으며, 이 과정에서 1천여 개의 조직이 사칭 피해를 입었다. 대부분의 시도(51.7%)에서 위협 행위자는 20개의 유명 브랜드 중 하나를 사칭했다.
▲사칭의 대상이 된 가장 대표적 브랜드는 마이크로소프트(Microsoft)와 같이 널리 신뢰받는 소프트웨어 기업으로 나타났으며, 이 밖에 구글(Google), 세일즈포스(Salesforce), 노션(Notion.so) 등이 있다.
▲감지된 위협의 3분의 1(30%)은 새롭게 등록된 도메인에서 발생했으며, 이는 두 번째로 흔한 위협 유형이다.
▲이메일 인증방식 만으로는 위협을 막는데 한계가 있는 것으로 나타났으며, 위협적인 메시지의 대부분(89%)은 이메일 보안 인증 기술인 SPF, DKIM 또는 DMARC 인증 확인을 통과한 것으로 드러났다.
클라우드플레어 CEO 매튜 프린스(Matthew Prince)는 "피싱은 마치 인터넷 구석구석에 스며든 전염병과도 같아, 신뢰를 악용해 CEO부터 정부 관계자, 그리고 일반 소비자에 이르는 모든 사람을 노린다"며, “특히, 이메일 메시지와 악성 링크는 가장 일반적인 인터넷 위협 형태라는 측면에서 일종의 범죄 파트너라고 볼 수 있다. 모든 조직은 그 규모에 관계없이 이메일 보안을 책임지는 제로 트러스트(Zero Trust) 솔루션을 필요로 하고 있으며, 이를 간과하는 것은 오늘날의 위협 환경에서 가장 큰 위협 요소에 자신을 노출하는 것 과도 같다”고 설명했다.
이메일 보안을 위한 클라우드플레어의 권고사항은 다음과 같다.
▶제로 트러스트 접근 방식으로 이메일 보호
이메일이 만연해 있음에도 불구하고, 많은 조직에서는 여전히 특정 개인 및 시스템의 메시지를 기본적으로 신뢰하는 "성과 해자" 보안 모델을 따른다. "성과 해자"는 네트워크 외부의 누구도 내부의 데이터에 액세스할 수 없지만 네트워크 내부의 모든 사람은 액세스할 수 있는 네트워크 보안 모델이다.
제로 트러스트 보안 모델은 그 누구도, 그 무엇도 믿지 않는다. 어떤 사용자나 장치도 완전히 자유롭지 않으며, 이메일을 포함한 모든 앱 또는 네트워크 리소스에 신뢰할 수 있는 액세스 권한을 갖지 않는다. 이러한 사고방식의 전환은 멀티 클라우드 환경 및 원격 또는 하이브리드 인력을 갖추고 있을 경우 특히 중요하다.
이메일 인증이 설정되어 있거나, 평판이 좋은 도메인에서 보낸 이메일이거나, 이전에 소통 이력이 있는 "누군가가" 보낸 이메일이라는 이유만으로 신뢰해서는 안 된다. 제로 트러스트 모델에 기반한 클라우드 이메일 보안을 선택하여 "알려진" 발신자에 대한 기존 신뢰를 공격자가 악용하기 어렵도록 해야 한다.
▶피싱을 차단하는 다단계 인증 채택
모든 형태의 다단계 인증(MFA)은 없는 것보다 낫다. 하지만 모든 MFA가 동일한 수준의 보안을 제공하는 것은 아니다. 하드웨어 보안 키는 성공적인 피싱 공격을 차단하기 위해 가장 안전한 인증 방법 중 하나이며, 공격자가 사용자 이름과 비밀번호의 접근 권한을 확보하더라도 네트워크를 보호할 수 있다. SMS 또는 시간 기반 OTP와 같은 MFA 방법을 FIDO-2 준수 MFA 구현 등 더 입증된 방법으로 대체하는 것을 고려해 봐야 한다. 또한 최소 권한 원칙을 적용하면 MFA 제어를 통과한 해커도 제한된 앱 세트에만 액세스할 수 있으며, 세분화로 네트워크를 분할하여 내부망 이동을 방지하고 유출을 조기에 방지할 수 있다.
▶사람이 실수하기 어려운 환경 만들기
조직의 규모가 클수록 각 팀에서는 자체 선호 도구 및 소프트웨어를 사용하고 싶어할 것이다. 직원과 팀이 이미 사용하고 있는 도구를 더 안전하게 만들고, 실수를 방지하도록 보호하여 기대를 충족해야 한다. 예를 들어, 이메일 보안 및 원격 브라우저 격리(RBI) 기술을 통합하는 이메일 링크 격리를 사용하면 피싱 링크를 호스팅하는 도메인을 사용자가 직접 클릭하지 않는 것에 의존하는 대신 해당 도메인을 자동으로 차단하고 격리한다.
▶비난하지 않는 보안 문화 조성
IT 및 보안 사고 대응 팀과 24시간 연중무휴로 협업하여 개방적이고 투명하게 "본 사실을 그대로 말하는 접근 방식"을 장려하면 모두가 "사이버 팀"이 될 수 있다. 공격을 받는 중에는 1분 1초가 중요하다. 의심스러운 활동과 진짜 실수까지도 조기에 자주 보고하여 편집증처럼 보이더라도, 남을 비난하지 않는 문화를 구축하면 사고가 얼마나 적게 발생하는지와 상관없이 사고 발생 시 최대한 빨리 보고하도록 하는 데 도움이 된다.
◆하반기 최대 정보보호 컨퍼런스 PASCON 2023 개최-보안교육7시간 이수 가능
○ 주최: 데일리시큐
○ 후원: 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회
○ 참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업 정보보호 담당자, 개인정보보호 담당자, IT담당자 등 1,000여 명 참석
(※보안실무자가 아니면 참석금지)
○ 일시: 2023년 9월 5일 화요일(오전9시~오후5시30분)
○ 장소: 더케이호텔서울 2층 가야금홀 전관
○ 솔루션전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션
○ 참가기업 : △좋을 △블랑코코리아 △클라우드네트웍스 △굿모닝아이텍 △노르마 △오픈텍스트 △넥스원소프트 △모니터랩 △옥타코 △트렌드마이크로 △지란지교에스앤씨 △파수 △롤텍 △아이티원 △이지시큐 △엠클라우독 △퓨쳐시스템 △씨디네트웍스 △센티널테크놀로지 △다크트레이스(Darktrace) △지란지교데이터 △에프원시큐리티 △에스에스알 △인스피언 △스콥정보통신 △한국전자인증 △디지서트 △엘세븐시큐리티 △트리니티소프트 △스냅태그 △KISIA
○ 보안교육인증: 공무원 및 기업 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간 수료증 발급
○ 참석문의: 데일리시큐 길민권 기자/ mkgil@dailysecu.com
○ 사전등록: 클릭
○ 공공, 기업 보안책임자/실무자가 아니면 참석이 금지됩니다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
