사이버 보안 위협 중 피싱 공격은 여전히 가장 치명적인 침입 수단으로 자리 잡고 있다. 특히 사용자의 심리와 행동 특성을 노린 소셜 엔지니어링 기법은 기술적 방어를 우회해 조직 내부로 침투할 수 있는 주요 수단으로 작용하고 있다. 기업 내부 커뮤니케이션이나 일상적으로 사용하는 브랜드를 위장한 이메일이 공격에 활용될 경우, 수신자의 방심을 유도하기 쉽고, 실제 클릭률도 매우 높게 나타나는 경향이 있다.

인적 위험 관리 기반 사이버 보안 솔루션 기업 노우비포(KnowBe4)가 ‘2025년 2분기 피싱 시뮬레이션 종합 보고서’를 발표했다. 이번 보고서는 2025년 4월 1일부터 6월 30일까지 노우비포의 HRM+ 플랫폼을 통해 수집된 데이터를 기반으로 작성됐다.

보고서에 따르면, 익숙한 내부 조직의 이름이나 브랜드를 가장한 피싱 이메일이 여전히 높은 클릭률을 기록하며 인적 위험의 핵심 취약 요소로 작용하고 있는 것으로 나타났다.

피싱 클릭 유도 이메일의 98.4%가 내부 주제

보고서에 따르면, 가장 많이 클릭된 상위 10개 이메일 템플릿 중 98.4%가 HR 또는 IT 부서에서 온 것으로 위장한 내부 주제 중심이었다. 이 중 HR 부서를 사칭한 이메일은 전체 클릭 실패의 42.5%, IT 부서를 위장한 이메일은 21.5%를 차지했다. 이는 조직 내부에서 발송되는 것으로 보이는 이메일이 실제로 사용자에게 가장 큰 신뢰를 불러일으키고 있으며, 클릭 가능성을 높인다는 점을 보여준다.

가장 많이 클릭된 링크 상위 20개 중 80.6%는 내부 테마 시뮬레이션에 기반한 것이며, 이 중 68.2%는 도메인 스푸핑 기술을 사용했다. 도메인 스푸핑은 실제 이메일 주소나 도메인을 흉내 내는 방식으로, 이메일 수신자가 발신자의 신원을 쉽게 오인하게 만드는 기법이다.

브랜드 사칭 랜딩 페이지 통한 위협도 다수 확인

악의적인 랜딩 페이지와의 상호작용 분석에서는, 상호작용의 71.9%가 유명 브랜드 콘텐츠를 활용한 피싱 시도와 관련된 것으로 나타났다. 가장 많이 악용된 브랜드는 마이크로소프트(Microsoft)로, 전체 브랜드 사칭 시도의 26.7%를 차지했다. 그 뒤를 링크드인(LinkedIn), 엑스(X), 옥타(Okta), 아마존(Amazon)이 이었다.

이러한 결과는 일상 업무에서 자주 접하는 브랜드의 신뢰도가 공격자에게는 효과적인 공격 수단이 된다는 점을 보여준다. 사용자는 브랜드 친숙도에 따라 이메일 또는 링크를 더 쉽게 신뢰하게 되며, 이로 인해 악성 행위가 더욱 원활히 이뤄질 수 있다.

피싱 이메일에 포함된 첨부 파일 유형 중 PDF 파일에 대한 클릭 비중이 두드러졌다. 2분기 PDF 파일 클릭률은 전 분기 대비 8.1% 증가했으며, 상위 20개 첨부 파일 중 61.1%를 차지했다. 이어 HTML 파일이 20.9%, 워드 문서가 18.0%를 기록했다. PDF는 업무에서 자주 활용되는 문서 포맷으로, 공격자가 악성 매크로나 스크립트를 삽입하는 데 자주 활용된다.

이러한 첨부 파일 중심의 피싱 전략은 여전히 효과적이며, 사용자 교육과 탐지 기술의 정교함이 요구되는 보안 요소임을 확인시켜준다.

인적 신뢰 기반 위협, 다층적 대응 필요

노우비포의 사이버 보안 전문가 에리히 크론(Erich Kron)은 “이번 보고서에서 확인된 핵심 내용은 ‘신뢰’가 사이버 보안에서 얼마나 중요한 역할을 하는지를 보여준다”고 말했다. 그는 “내부 커뮤니케이션, 친숙한 브랜드, 아는 사람의 이름 등으로 위장한 이메일은 사용자의 의심을 줄이고 클릭 가능성을 높인다”고 설명했다.

에리히 크론은 또한 “정교한 소셜 엔지니어링 공격은 인간의 기본적인 본능을 악용하고 있으며, 정상 이메일과 악성 이메일을 구분하기 어려운 환경을 만든다”고 덧붙였다. 그는 보고서 결과를 토대로 “조직은 인적 위험 관리를 중심으로 다층적인 방어 전략을 마련해야 한다”고 강조했다.

노우비포는 인적 방어력을 높이기 위한 방안으로 적시성과 적응성을 갖춘 보안 교육과 실시간 탐지 기술의 결합을 제안했다. 직원이 위협을 식별하고 신속하게 완화할 수 있도록 교육을 강화하고, 위협 탐지를 위한 인공지능 기반의 보안 시스템 도입이 병행돼야 한다고 강조했다.

노우비포는 이번 보고서를 통해 소셜 엔지니어링 기반 위협의 현실성과 심각성을 강조하며, 기업들이 보안의 중심에 사람을 두는 전략을 지속적으로 강화할 필요가 있음을 시사했다. 보고서는 기업이 기술적 방어에 더해, 직원 교육 및 인식 제고에 적극 투자해야 한다는 점을 뒷받침하는 데이터로 작용하고 있다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.