인더뉴스 권용희 기자ㅣ마이크로소프트는 지난해 4월부터 올해 4월까지 1년간 3500만건의 비즈니스 이메일 침해 시도가 발생했다고 22일 밝혔습니다.
마이크로소프트는 사이버 위협 요약 보고서 '사이버 시그널'을 공개하고 비즈니스 이메일 침해 공격 동향을 발표했습니다.
보고서에 따르면 비즈니스 이메일 침해 시도는 하루 평균 15만 6000건이 발생했고, 서비스형 사이버 범죄는 2019년 대비 38% 증가했습니다.
비즈니스 이메일 침해 공격의 주요 피해 대상자는 고위 간부, 재무 관리자, 인사 부서 직원 등입니다. 이들에게 낚시성 정보, 급여, 영수증, 기프트 카드, 비즈니스 정보 등을 가장한 이메일을 보내는 방식으로 진행됩니다.
구체적인 수법으로는 이메일 트래픽과 메시지를 악용해 피해자가 금융 정보를 제공하거나, 범죄자의 사기 송금에 활용되는 자금 운반책 계좌로 송금을 유도하는 방식 등이 있습니다.
이메일 뿐만 아니라 전화·문자·소셜 미디어 메시지 등 다양한 형태로 이루어질 수 있다고 지적했습니다. 인증 요청 메시지를 변조된 웹사이트를 만들어 가로채거나 개인이나 회사를 사칭하는 수법도 활용되는 것으로 나타났습니다.
마이크로소프트는 비즈니스 침해 공격을 방지하기 위해 ▲AI 기능이 탑재된 이메일 클라우드 플랫폼 사용 ▲결제 인증 시스템 전환 ▲지속적인 직원 교육 등이 필요하다고 설명했습니다.
바수 자칼 마이크로소프트 보안 부문 기업 부사장은 "사이버 위험은 IT, 컴플라이언스, 사이버 위험의 각 책임자가 비즈니스 리더, 재무 및 인사 관리자 등과 함께 다기능적인 방식으로 해결해야 하는 문제"라며 "기업은 AI 기능과 피싱 방지를 통해 기존의 방어 시스템을 강화하고, 직원들이 경고 신호를 인식해 비즈니스 이메일 공격을 예방할 수 있도록 교육해야 한다"고 말했습니다.