이메일 보안 전문기업 기원테크는 실제 사이트와 유사한 피싱 사이트로 정보 입력을 유도해 정보를 탈취하는 수법이 고도화되고 있어 피해 예방을 위한 악성 메일 모의훈련이 필요하다고 밝혔다.
악성 메일 모의훈련은 사내 임직원을 대상으로 링크 접속이나 개인 정보 입력을 유도하는 악성 메일을 발송해 임직원들의 보안의식을 점검해보는 모의훈련이다. 기원테크가 제공하고 있는 악성 메일 모의 훈련은 고도화된 지능형 사기 메일(BEC)에 예방하기 위해 피싱 메일과 피싱 사이트를 제작해 훈련 대상자가 해당 사이트에 접속하고 개인정보를 입력하도록 유도한다.
해당 훈련을 통해 훈련 대상자(임직원)가 신뢰할 수 있는 기관을 사칭한 메일에 응답했는지, 신뢰할 수 없는 사이트에서 요구하는 정보를 입력했는지 평가한다. 특히, 사칭 기업 또는 기관과 유사한 도메인으로 설정할 수 있어 BEC 공격에 대한 대처 능력을 파악할 수 있다.
한편, 과학기술정보통신부는 한국인터넷진흥원(KISA)과 2022년 하반기 민간분야 사이버 위기 대응 모의훈련을 진행했는데, 해당 모의 훈련은 281개사 기업 임직원을 대상으로 내부 보안담당자나 거래업체에서 발송한 것처럼 위장하여 악성코드가 포함된 해킹 메일을 발송해 메일 열람과 첨부파일 클릭을 유도하는 방식으로 진행되었다.
훈련 결과 기 참여 기업의 감염률은 신규 기업보다 약 20% 낮았고, 참여 횟수가 높아질수록 신규 기업과의 격차가 넓어지는 것을 확인했다. 이를 통해 악성 메일에 의한 피해를 예방하기 위해서는 반복적인 모의훈련을 통해 대처 능력을 제고시키는 것이 중요하다는 것을 보여주었다.
기원테크의 김기남 이사는 “악성 메일 모의 훈련의 추진 목표는 정교해지고 고도화되어가는 지능형 사기 메일(BEC)로 인한 피해가 증가함에 따라, 기업은 훈련 대상자인 임직원의 대처 능력을 파악하여 보완점을 도출하는 것”이라며 “훈련 대상자가 직접 사기 메일의 수법을 확인함으로써 경각심을 고취시키고 임직원의 이메일 보안 의식을 제고할 수 있다”고 강조했다.
