글로벌 IT 보안 기업 체크포인트(Check Point)의 보고서를 포함한 여러 보고서에 따르면, 교육 부문은 2024년에 사이버 공격의 가장 큰 표적 산업이었으며, 공격의 급격한 증가를 겪었다.

글로벌 사이버 보안 플랫폼인 노우비포(KnowBe4, CEO 스튜 쇼어만)가 교육 부문의 사이버 보안 현황을 조사한 ‘초등학교부터 대학교까지, 글로벌 교육 부문은 증가하는 사이버 공격에 대비되어 있지 않다’라는 제목의 보고서를 발표했다.

초등 및 고등 교육 기관 모두 서비스형 소프트웨어, 클라우드 스토리지 및 IT 서비스에 대해 타사 공급 업체에 크게 의존한다. 이는 타사 시스템 내의 취약점이나 침해가 이러한 서비스를 사용하는 모든 기관에 나중에 영향을 미칠 수 있는 위험을 야기하며, 이는 종종 감지되지 않는다.

한편, 제한된 자원과 현대화에 대한 증가하는 요구로 인해 학교와 대학은 종종 최신 IT 시스템과 레거시 IT 시스템을 혼합하여 사용하며, 이는 민감한 개인 정보가 악용 가능한 시스템에 남을 수 있다고 전했다.

버라이즌(Verizon)은 2024년 데이터 유출 조사 보고서(DBIR)에서 총 30458건의 보안 사고를 조사했으며, 그중 10626건이 데이터 유출로 확인되었다. 이 중 1780건(17%)이 교육 시스템에 대한 공격이었고, 1537건(14%)에서 데이터 공개가 확인되었다.

한편, 2023년 트러스트웨이브(Trustwave) 연구원들은 교육 기관에 대한 352건의 랜섬웨어 공격을 감시했으며, 피싱은 조직 내 초기 발판을 마련하기 위해 가장 일반적으로 악용되는 방법이었다.

한편 교육 기관에서 보안 인식 교육은 인적 위험을 줄이는 데 상당한 영향을 끼치고 있다. 지속적인 훈련과 모의 피싱 평가를 1년 이상 받은 소규모 교육 기관에서 피싱 공격에 대한 직원 취약성은 33.4%에서 3.9%로 감소했다.

노우비포 CEO 스튜 쇼어만(Stu Sjouwerman)은 “교육 기관은 전반적인 자원 부족으로 인해 부주의하게 정교한 위협 행위자들의 주요 표적이 되었다.”라며 “IT 시스템에 접근하는 모든 개인이 사이버 위협으로부터 보호하고 인적 위험을 줄이기 위한 적절한 도구, 교육 및 인식을 갖추도록 보장하는 것이 중요하다.”라고 말했다.