“이거 설마 몰카야?”…피싱메일 누르는 순간, 사내보안팀서 전화가 [아이티라떼]
기업기밀 노린 피싱메일 등 보안위협 커져 임직원 대상으로 모의 피싱 메일 테스트 클릭한 임직원 대상 보안 교육 진행하기도 ‘메타( Meta )’를 사칭해 기업 페이스북 계정을 노리는 피싱 메일 본문 [사진 = 안랩] “김 대리님, 메일 링크 클릭하셨나요? 추가 교육 대상자입니다.” 최근 피싱 메일을 활용한 사이버 공격 위협이 커지고 수법도 다양해지면서 기업들 또한 내부 단속을 강화하고 있습니다. 그중 하나의 방법으로 ‘악성메일 모의훈련’ 방식이 활용되는데요, 최근 이를 활용하는 기업들도 증가하는 추세입니다. 악성메일 모의훈련이란, 기업이 사내 임직원 대상으로 링크 접속이나 개인 정보 입력을 유도하는 테스트용 피싱 메일을 주기적으로 발송하는 테스트입니다. 발신자를 교묘하게 조작하고, 내용도 그럴듯하게 위장한 가짜 피싱메일이죠. 한 대기업에서 개발자로 일하는 A씨는 “은행 계정이 탈취됐다는 메일이 왔는데, 발신자가 ‘ Shinhan’ 이 아닌 ‘ Shlnhan (알파벳 i 대신 l 사용)’으로 되어 있었다. 처음에 모르고 눌렀더니 바로 회사에서 연락이 왔다”고 테스트용 피싱 메일 경험을 설명하기도 했습니다. 만약에 테스트용 피싱 메일을 임직원이 누르게 되면, 각 링크마다 클릭한 사람을 추적할 수 있는 하나의 토큰이 붙어 있어 어떤 임직원이 메일을 클릭했는지 확인할 수 있게 됩니다. 기업은 ‘가짜 피싱메일’에 속은 해당 임직원에게 유의하라는 메시지를 전달하거나, 별도로 추가적인 보안 교육을 시행하기도 합니다. 또 다른 예로, 한 보안기업에 근무하는 B씨는 “하루에도 몇 개씩 이러한 테스트용 피싱 메일이 날아온다. 그러면 신고 센터로 해당 메일을 모두 전달해야 한다”며 “혹시라도 메일에 포함된 링크나 첨부 파일을 누르면 한 시간 일찍 출근해서 추가 보안 교육을 받아야 한다”고 말했습니다. 보안이나 IT 기업뿐만 아니라 은행권, 주요 대기업 등도 대부분 이러한 모의훈련을 통해 피싱 피해를 예방하는 데 힘을 쏟고 있습니다. 이러한 모의훈련 솔루션에 대한 문의도 그