피싱 공격 수법은 이전부터 널리 알려졌으나 지금도 피해자가 끊임없이 발생한다. 그런데, 피싱 공격 피해에 가장 취약한 집단은 어떤 집단일까? 해외 사이버 보안 전문 매체 블리핑컴퓨터가 해외 연구팀의 '피싱 공격 피해 빈도가 가장 높은 집단' 조사 결과에 주목했다.
스위스취리히연방공과대학교가 외부 사이버 보안 전문 기관과 함께 피실험자 1만 4,773명을 모집하고, 15개월 동안 대규모 피싱 공격 사례를 연구했다.
연구팀은 이번 연구에서 ▲ 피싱 피해 빈도가 가장 높은 집단 ▲ 시간에 따른 피싱 취약점 심화 수준 ▲ 사전 교육 및 경고의 피싱 예방 효과 ▲ 피싱 감지를 위해 택할 수 있는 조처 등을 확인하고자 했다.
연구팀은 피싱 공격 피해를 당할 위험성이 가장 높은 집단을 확인하고자 피실험자의 일반 업무 메일에 사전 안내 없이 가짜 피싱 메일을 보냈다. 연구팀의 메일에는 의심스러운 메일을 쉽게 보고할 수 있는 이메일 클라우드 버튼도 함께 삽입됐다. 그렇다면, 실제 피싱 공격 피해를 가장 많이 당한 집단은 어느 집단일까? 연구팀의 조사 결과는 아래와 같다.
성별, 피싱 피해와 무관
연구팀이 모집한 피실험자의 연령, 성별, 출신 배경 등 인구 집단은 다양하다. 특정 인구 집단이 피싱 공격 대상으로 지정될 확률이 더 높은지 파악하기 위함이다.
연구팀은 기존의 여러 연구와 달리 성별이 피싱 피해 위험성과 무관하다는 사실을 발견했다. 연구팀이 확인한 바에 따르면, 전체 연령대 중 매우 어리가나 나이가 많은 이들이 피싱 공격을 당할 확률이 더 높다. 이에, 연구팀은 성별보다는 연령이 피싱 피해 위험성과 더 깊은 연관성이 있다고 판단했다.
클릭 반복은 곧 피싱 피해로 향하는 길
연구팀은 링크 클릭을 반복하는 이들이 일반 사용자보다 피싱 메일 공격을 당할 확률이 30.62% 더 높다는 사실을 확인했다. 또한, 매크로 실행과 민감 정보 제출 등 위험한 행위를 하는 이들의 피싱 피해 발생률은 일반 사용자보다 23.91% 더 높은 것으로 드러났다.
이 외에 피싱 메일 수신 빈도가 피싱 공격 피해 위험성과 비례한다는 사실도 확인할 수 있었다. 연구팀은 피싱 메일을 자주 받은 피실험자 32.1%는 단 한 차례라도 악성 링크를 클릭할 확률이 더 높았다고 전했다.
사이버 공격 경고, 그 효과는?
많은 이들이 짐작한 바와 같이 이번 연구에서도 의심스러운 메일 경고가 피싱 공격 예방에 도움이 된다는 사실을 재차 확인할 수 있었다. 다만, 연구팀은 피싱 경고 메시지 내용을 더 상세하게 작성한다고 해서 피싱 예방률이 상승하지 않는다는 사실을 새로이 발견했다.
연구팀은 논문에 "흥미롭게도 과거 연구 결과 및 보편적인 업계 관행과 달리 모의 피싱 메일 전송과 자율적인 사이버 보안 교육이 피싱 공격 회복성 향상에 그리 도움이 되지 않고, 오히려 개인의 피싱 공격 의심만 키운다는 사실을 확인했다"라고 작성했다.
크라우드소싱, 피싱 예방 실현 가능해
연구팀은 실험 참가자에게 의심스러운 메일 수신 후, '피싱 보고' 버튼을 눌러 메일 수신 사실을 알릴 것을 요청했다. 90%는 의심스러운 메일을 6회 이하 보고했다. 그러나 일부 피실험자는 조금이라도 의심스러운 메일을 적극적으로 보고했다.
이에, 연구팀은 피싱 메일 수신 빈도가 높다고 해서 신고를 귀찮은 일로 치부하는 경우는 없다고 해석했다. 반대로 크라우드소싱 피싱 방지 데이터가 피해 예방에 도움이 된다고 판단했다.
마지막으로 연구팀은 신고 효과를 구체적으로 파악하고자 사용자의 피싱 메일 신고 정확도도 조사했다. 사용자의 피싱 보고 정확도는 68%이며, 가장 적극적으로 피싱 메일을 신고하는 이의 신고 정확도는 80%로 집계됐다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
