최근 코로나19 사태를 악용한 피싱 이메일이 기승을 부리고 있다. 업계는 이러한 악성 이메일에 대처하는 가장 좋은 수단으로 예방을 꼽고 있으며, 기업 해킹 사고 피해를 줄이기 위해선 구성원들에 대한 교육이 필수적이라고 입을 모은다.

이에 본지는 내부 직원들을 대상으로 지난 4월 9일부터 14일까지, 6일간의 악성 메일 모의 훈련을 통해 보안 인식을 점검해봤다.

수억 원의 거래 대금 탈취하는 피싱 메일

최근 구글은 코로나19 관련 스팸 메일을 2억 4천만 건 이상 차단했다고 밝혔다. FBI는 코로나19 사태 이후 일 사이버 공격 신고 건수가 평균 4배가량 늘었다고 발표했다.

이 같은 악성 메일들의 가장 큰 특징은 개인정보를 활용해 수신자 맞춤형 피싱 메일을 보내는 ‘스피어 피싱 기법’이나 누구나 관심을 가질 법한 사회 이슈를 활용하는 ‘사회공학적 기법’을 활용한다는 점이다.

대표적인 사례로는 대한무역투자진흥공사(KOTRA)가 매년 발표하는 기업 이메일 침해(Business Email Compromise, BEC) 무역 사기가 있다.

KOTRA에 따르면 지난 2015년부터 2019년 8월까지 해외 진출한 국내 기업에 대한 이메일 무역 사기는 99건이다. 스피어 피싱 침해 사례들을 살펴보면, 대부분 개인의 부주의가 원인인 경우가 많다.

캐나다에 진출한 한 업체는 거래처 직원과 ‘비슷한 아이디’를 통해 받은 이메일에 속아 공격자의 계좌로 무역 대금을 송금했다. 프랑스의 A 기계 제조업체와 수입 계약을 체결한 국내 B기업은 해커의 이메일에 속아 중국 상하이로 보내려던 40만 달러를 해커의 계좌로 송금한 사건도 있다.

이 같은 메일 사기 사례들은 그 방식이 단순해 더욱 속기 쉽다. 따라서 기업들은 철저한 보안 수칙을 세우고 구성원들의 보안 인식 제고를 위한 교육을 소홀히 해서는 안 된다. 언급한 사례들도 담당자들이 계좌가 바뀐 것에 대해 한 번 더 확인했다면 침해 사고는 발생하지 않았을지 모른다.