2023 피싱 보고서
피싱 위협의 새로운 얼굴과 대응 전략
클라우드플레어가 제공하는 2023년 첫 번째 피싱 위협 보고서에 따르면, 피싱은 여전히 가장 지배적이고 빠르게 증가하고 있는 인터넷 범죄에요. 이메일의 보편화와 인적 오류로 인한 보안 위협이 주요 원인으로 나타났어요
피싱 위협, 경제적 피해 500억 달러에 이르다
현재 피싱으로 인한 비즈니스 이메일 침해(BEC) 손실은 무려 500억 달러에 달해요. 이러한 공격은 주로 기업을 대상으로 하지만, 포춘 500대 기업부터 중소기업, 공공 부문까지 모두 영향을 받고 있어요. 클라우드플레어는 2022년 미국 중간선거를 앞두고 15만 건의 피싱 이메일을 차단하는 데 성공했어요.
피싱 행위자의 목표와 위협 유형
피싱을 주도하는 행위자는 주로 두 가지 목표를 가지고 있어요. 첫째, 합법적이고 진정성 있는 내용으로 위장하여 피해자를 꾀는 것이며, 둘째는 피해자를 피싱에 참여하거나 링크를 클릭하도록 유인하는 것이죠. 이러한 목표가 2023년 피싱 위협 보고서에서도 드러나고 있어요
피싱 위협의 주요 결과
-악성 링크: 감지된 위협의 35.6%를 차지하는 가장 흔한 위협 유형.
-신원 도용: 전년의 10.3%에서 올해 14.2%로 증가한 전체 위협의 비중.
-브랜드 사칭 시도: 10억 건 이상의 시도가 있었으며, 1천여 개의 조직이 피해를 입음.
-대표적 브랜드: 마이크로소프트, 구글, 세일즈포스 등이 사칭의 대상.
-새로운 도메인 위협: 감지된 위협의 30%가 새롭게 등록된 도메인.
-이메일 인증 한계: 대부분의 위협은 이메일 보안 인증 기술을 통과한 것.
클라우드플레어의 CEO, 매튜 프린스의 의견
클라우드플레어 CEO 매튜 프린스는 피싱을 "신뢰를 악용해 CEO부터 정부 관계자, 일반 소비자에 이르는 모든 사람을 노리는 전염병과 같다"고 비유하며, 모든 조직은 이메일 보안을 책임지는 제로 트러스트 솔루션의 필요성을 강조했어요.
클라우드플레어의 권고사항
-제로 트러스트 접근 방식으로 이메일 보호
-다단계 인증(MFA) 채택
-실수 어려운 환경 조성
-비난하지 않는 보안 문화 조성
<관련뉴스>
"준정부기관 사칭 피싱메일 유포…링크 연결후 비번 입력 금물" (2022-12-11)
“연봉 3억에 모십니다” 삼성 채용 이메일, 알고 봤더니…(2021-11-27)
올해 상반기 수사기관이 제한한 이메일·통화 전년 대비 2.1%↑(2020-12-18)
