사용자가 사이버 보안과 관련된 위험을 알면서도 위험한 행동을 한다면 어떻게 해야 합니까? 보안 인식 프로그램을 조정하시겠습니까? 사이버 보안 전략을 어떻게 바꾸시겠습니까? 사용자들이 사이버 보안을 우선시하도록 어떻게 동기를 부여하시겠습니까?
Proofpoint는 제10차 연례 State of the Phish 보고서에서 새로운 데이터를 수집하고 연구 범위를 확장하여 위험한 행동이 현재의 위협 환경을 어떻게 가능하게 하는지에 대해 집중적으로 조명했습니다.
호주, 일본, 대한민국, 싱가포르 등 APJ(아시아태평양지역 및 일본) 지역의 4개국을 포함하여 조사 대상 15개 국가 간에는 상당한 차이가 있었습니다. APJ 지역에서 수집한 인사이트가 위의 질문과 더 많은 질문에 대한 답을 찾는 데 도움이 되기를 바랍니다. 여기에서 몇 가지 주요 결과를 요약했습니다.
보고서 작성 방법
전 세계 2024 State of the Phish 보고서에는 Proofpoint Threat Protection 제품 및 연구는 물론 다음을 포함한 추가 소스에서 파생된 데이터가 포함되어 있습니다.
- 15개국 7,500명의 성인 직장인과 1,050명의 IT 전문가를 대상으로 수행한 전 세계 위탁 설문조사 결과
- Proofpoint 고객이 전송한 1억 8,300만 건의 시뮬레이션 피싱 공격
- 고객사의 최종 사용자가 신고한 의심스러운 이메일 2,400만 건 이상
이제 2024 State of the Phish: 아시아 태평양 지역 및 일본 보고서의 주요 내용을 살펴보겠습니다.
몇 가지 특이점이 있는 피싱 추세
APJ의 몇몇 국가는 피싱 공격에 있어 특이점을 보이고 있습니다. 대한민국의 스피어 피싱 공격 성공률은 모든 APJ 국가 중 가장 높았습니다(APJ 평균 63% 대비 82%). 스피어 피싱 공격은 빠르게 증가하여 2022년에 비해 28% 증가했습니다.
호주 조직은 다른 APJ 국가보다 높은 비율로 스피어 피싱 공격의 표적이 되었습니다. 그러나 2023년에 호주 조직의 공격 성공률은 급격히 감소했습니다(2022년 88% 대비 56%). 이는 스피어 피싱 공격에 대한 사용자 교육이 2022년에 비해 52% 증가했기 때문일 수 있습니다.
알면서도 위험한 행동을 하는 사용자
평균적으로 APJ 지역의 사용자는 전 세계 평균보다 훨씬 적은 위험을 감수합니다(전 세계 평균 71% 대비 63%). 이는 부분적으로는 사용자가 보안에 대한 책임을 확신하지 못하기 때문일 수 있습니다(전 세계 평균 54% 대비 57%). 이러한 불확실성은 사용자가 행동하는 방식에도 영향을 미칠 수 있습니다.
그러나 위험을 감수하는 사용자는 자신의 행동에 위험이 따른다는 점을 알고 있을 가능성이 더 큽니다. 조사에 따르면 APJ 지역 사용자는 알면서도 위험한 행동을 할 가능성이 더 큽니다(전 세계 평균 96% 대비 98%).
특히 APJ 사용자는 해당 지역의 보안 전문가가 가장 위험한 행동으로 꼽는 상위 5가지 행동 중 4가지를 하고 있습니다. 이는 사용자가 무엇이 위험하고 무엇이 위험하지 않은지 이해하지 못한다는 것을 의미할 수 있습니다. 위험한 행동에는 비밀번호를 공유하거나, 공공장소에서 VPN을 사용하지 않고 인터넷에 연결하거나, 모르는 사람이 보낸 메시지에 응답하는 행동 등이 포함됩니다.
국가별로 다른 TOAD 공격
최근 몇 년 동안 TOAD(전화 지향적 공격 전송) 공격이 많은 주목을 받고 있습니다. TOAD 공격은 초기 미끼를 사용하여 사용자가 전화로 추가 연락을 하도록 유도하는 피싱 공격입니다. 일반적으로 영어가 모국어가 아닌 국가에서는 위협 행위자가 피해자와 직접 대화하도록 요구하는 경우가 많으므로 TOAD 공격의 표적이 되는 경우가 적습니다. 그렇다고 해서 안전한 것은 아닙니다.
작년에 APJ 조직에서는 전 세계 평균보다 TOAD 공격이 더 적게 발생했습니다(전 세계 평균 67% 대비 62%). 하지만 싱가포르와 대한민국은 전 세계 평균과 비슷한 수준(각각 66%, 68%)이었고 호주는 전 세계 평균을 상회하는 수준(71%)이었습니다.
랜섬웨어 공격의 증가
랜섬웨어는 APJ 지역에서 여전히 심각한 위협입니다. 위협 행위자는 APJ 지역에서 다른 어떤 수법보다 이메일 기반 랜섬웨어 공격을 더 많이 사용합니다. 평균적으로 이러한 공격은 소폭 증가하여 APJ 조직의 76%가 표적이 되었습니다(2022년 75% 대비). 랜섬웨어 감염 역시 APJ 전역에서 2022년 61%에서 2023년 62%로 전년 대비 약간 증가했습니다.
이러한 추세는 국가마다 다르게 나타났으며 설문조사에서 몇 가지 특이점이 있었습니다. 그중 하나는 대한민국이었습니다. 대한민국의 조직은 랜섬웨어 감염이 많이 증가했다고 보고했습니다(2022년 48% 대비 2023년 72%). 지난해 사이버 공격을 받은 120개 국가 중 대한민국이 상위권이었다는 점을 고려하면 이는 놀라운 일이 아닙니다.
BEC 공격의 증가
수년 동안 BEC(비즈니스 이메일 사기 공격) 사기는 전 세계적으로 조직에 가장 큰 피해를 주는 위협 중 하나였습니다. 설문조사 결과에 따르면 전반적으로 2023년에 BEC 공격을 경험한 조직은 감소한 것으로 나타났습니다. 하지만 비영어권 국가에서는 공격이 증가했습니다.
이는 여러 언어로 설득력 있는 이메일 미끼를 작성하는 데 사용할 수 있는 ChatGPT와 같은 생성형 AI 도구의 부상과 관련이 있을 수 있습니다. 대한민국에서는 이러한 공격이 급격히 증가하여 조직의 76%가 표적이 된 것으로 나타났는데 이는 2022년의 58%에서 증가한 수치입니다.
일본에서도 이러한 유형의 공격을 경험한 조직의 수가 전년 대비 35% 증가했습니다.
보안 인식 교육의 일부 변화
중요한 보안 기본 사항에 대한 사용자 교육과 관련하여 좋은 소식은 APJ 조직의 94%가 보안 인식 프로그램에 위협 인텔리전스를 활용한다고 응답했다는 점입니다. 2022년과 2023년에 비해 큰 변화가 없었습니다.
그러나 인텔리전스를 적용하는 것은 여전히 어려운 과제일 수 있습니다. 예를 들어 BEC(비즈니스 이메일 사기 공격)는 아시아 태평양 지역에서 빠르게 확산되고 있으며, 응답자의 70% 이상이 표적이 되었다고 응답했습니다. 하지만 싱가포르에서는 18%, 대한민국에서는 24%의 조직만이 해당 수법에 대한 교육을 받고 있습니다.
자세히 알아보기
2024 State of the Phish: 아시아 태평양 지역 및 일본 보고서를 다운로드하여 지역별 최대 규모의 사이버 위협에 관한 내용과 사용자를 가장 안전하게 보호하는 방법을 알아보십시오. 모든 국가에 대한 자세한 내용은 전 세계 2024 State of the Phish 보고서를 참조하십시오.