글로벌 이메일 위협 환경이 더욱 정교하고 맞춤화되며, 기업과 조직의 방어 체계에 근본적인 변화가 요구되고 있다.

사이버 보안 및 데이터 보호 전문 기업 바이프 시큐리티 그룹(VIPRE Security Group, 이하 바이프)이  ‘2025년 2분기 이메일 보안 동향 보고서’를 통해 악성 이메일 캠페인의 진화 양상을 상세히 분석하며, 기존 보안 체계의 한계를 경고했다. 특히 AI 기반 자동화와 현지화 기술이 결합된 초개인화 공격이 확산되고 있으며, 대응 체계 재정립이 시급하다고 지적했다.

피싱 기술보다 개인화 전략...사이버 공격 방식 변화

보고서에 따르면, 사이버 범죄자들은 전통적인 기술적 기법보다 인간 심리를 자극하는 정교한 개인화 수법에 의존하는 추세다. 특히 피싱 캠페인에서 식별 불가한 피싱 키트가 대세로 부상하고 있으며, 전체 피싱 사이트의 58%가 이를 사용하는 것으로 나타났다.

이러한 키트는 악성 도메인 식별과 추적을 어렵게 만들고 있으며, 대표적으로 Evilginx(20%), Tycoon 2FA(10%), 16shop(7%)이 주도적으로 사용되고 있다. 맞춤형 및 난독화된 배포 방식이 증가하고 있으며, 생성AI 기술의 활용으로 피싱 제작 비용은 대폭 절감되고 있다.

피싱 유인 수법 중 가장 높은 비중을 차지한 항목은 금전 유혹(35%)이었으며, 긴급 메시지(25%), 계정 확인(20%), 여행(10%), 택배·법률 관련 메시지(각 5%)가 뒤를 이었다. 링크 전송 방식으로는 오픈 리디렉션 메커니즘이 54%로 가장 많이 사용됐고, 감염된 웹사이트(30%)와 URL 단축기(7%)가 그 뒤를 이었다.

주요 공격 대상은 제조업

2025년 2분기 이메일 공격에서 제조업은 전체의 26%를 차지하며 가장 많은 피해를 입은 산업군으로 나타났다. 제조업은 6분기 연속 사이버 범죄의 주요 타깃이 되었으며, 이는 기업 이메일 침해(BEC), 피싱, 악성 스팸 등 다양한 수법이 동시에 적용되었기 때문이다.

그 뒤를 소매업(20%), 의료업(19%)이 이었으며, 이는 2024년 말부터 이어진 공격 양상의 연속으로 분석된다. 특히 제조 산업은 글로벌 공급망과 연결돼 있어 침해 시 연쇄 피해가 발생할 수 있어 보안 강화가 시급한 상황이다.

지역별로는 스칸디나비아 국가들이 BEC 공격의 주요 표적이 되고 있으며, 공격자는 영어뿐 아니라 덴마크어(11.9%), 스웨덴어(3.8%), 노르웨이어(1.5%) 등 현지 언어를 활용한 공격을 감행하고 있다. 영어권 임원(42%) 외에도, 덴마크(38%), 스웨덴·노르웨이(19%) 임원이 주요 대상이었다.

사칭 수법은 여전히 BEC 공격의 핵심 전략이며, CEO 및 임원 대상 사칭이 82%로 가장 많았다. 이어 관리자(9%), 인사 담당자(4%), IT직원(3%), 심지어 교장(2%)까지 대상 범위가 확장되고 있다.

루마 스틸러 악성코드 확산...PDF·QR 활용 공격 기법 증가

2분기 가장 많이 사용된 악성코드는 루마 스틸러(Lumma Stealer)로 나타났다. 이는 주로 악성 .docx, .html, .pdf 첨부파일 또는 원드라이브(OneDrive), 구글 드라이브에 위장된 피싱 링크를 통해 배포되고 있다. 루마 스틸러는 ‘서비스형 맬웨어(MaaS)’로서 사이버 범죄자에게 저렴하고 손쉬운 접근 수단을 제공한다.

해당 악성코드는 감염된 시스템의 계정 정보 및 민감 데이터를 탈취하며, 사용자 모르게 원격 서버로 HTTP POST 방식으로 전송하거나 이메일 유출(30%)을 유도하는 방식으로 공격을 마무리한다.

PDF는 전체 악성 첨부파일의 64%를 차지하며, QR코드를 삽입해 공격 실행을 유도하는 방식도 늘어나고 있다. 이러한 공격 기법은 사용자의 보안 경계심을 우회하는 데 효과적이며, 마치 정당한 문서나 알림처럼 위장되어 피해자의 대응을 유도한다.

바이프의 최고 제품 및 기술 책임자인 우스만 초다리(Usman Choudhary)는 “공격자는 AI의 모든 역량을 활용하며, 인간 행동을 예측해 초개인화된 피싱을 실행하고 있다.”라며, “이제는 기존의 표준 보안 절차나 정적 기술로는 대응이 불가능하며, 기업은 동등하거나 그 이상 수준의 보안 체계를 구축해야 한다.”라고 경고했다.

기업은 이메일 보안 시스템에 AI 기반 탐지 기능을 통합하고, 실시간 위협 인텔리전스 반영, 공격 패턴 분석, 사용자 행태 인식 기반 대응 체계를 구축해야 한다. 특히 피싱 키트 및 악성 링크 유형에 대한 실시간 탐지, 다국어 기반 BEC 탐지 강화, PDF·QR코드 보안 감지 솔루션 강화 등이 시급하다.

초개인화된 이메일 위협은 기존의 필터링 기반 방어체계를 우회하며 인간 심리를 노리는 만큼, 기술적 대응과 함께 사용자 교육, 실시간 대응 체계, 고급 분석 시스템이 병행돼야 한다. VIPRE는 이를 위한 포괄적이고 진보된 이메일 보안 전략의 도입이 필수라고 강조했다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.