시만텍 인터넷 보안 위협 보고서…"피해 회사, 중소기업 늘고, 대기업 줄어"

작년 세계적으로 기업의 내부 특정 직원을 노리는 '스피어피싱'(작살 꽂기 식 피싱)이 전년보다 55% 더 늘었다는 분석이 나왔다.

스피어피싱은 올해 5월 한국에서 1천만 명 이상의 개인정보가 유출된 인터파크 해킹 사건의 주범이다.

1일 글로벌 보안 업체 시만텍의 '2016년 인터넷 보안 위협 보고서'를 보면 세계 각지의 스피어피싱 공격(캠페인)은 2013년 779건·2014년 841건이었다가 작년 1천305건으로 1년 사이 55.2%가 증가했다.

스피어피싱은 특정 인물의 개인정보를 미리 분석해 당사자가 의심하지 못할 '약점'을 작살(스피어)을 꽂는 것처럼 집중적으로 공략하는 것이 골자로, 다른 피싱보다 성공률이 훨씬 높다.

직원의 이메일을 해킹해 가장 많이 연락하는 가족이나 업무 파트너를 알아내고 이 사람을 흉내 낸 메일을 보내 악성 코드를 감염시키는 것이 대표적인 수법이다.

인터파크 사건 때 사내에 악성 코드를 퍼뜨린 경로는 한 행정직 직원의 동생을 사칭한 메일 1통이었다.

스피어피싱은 애초 대기업 직원들이 주요 표적이었지만 요즘은 중소기업으로 그 초점이 바뀌었다고 시만텍은 전했다.

예컨대 2013년 스피어피싱을 당한 기업 중 50%는 직원 수 2천500명이 넘는 대기업이었고 소기업(1∼250명)·중기업(251∼2천500명)은 각각 18%와 32%였다.

그러나 작년에는 이 비율이 역전돼 대기업은 35%로 줄고 반대로 소기업이 43%까지 늘어났다.

중기업은 22%였다.

시만텍은 보고서에서 "스피어피싱은 적은 수의 사람을 표적으로 삼기 때문에 공격이 실패해도 발각될 개연성이 적다.

요즘은 돈이 된다 싶으면 기업의 규모와 관계없이 공격이 들어오는 상황"이라고 설명했다.

작년 스피어피싱을 당한 기업을 업종별로 보면 금융·보험·부동산이 35%로 가장 많았다.

서비스(22%)·제조업(14%)·교통·공공사업(13%) 등이 그 뒤를 이었다.

스피어피싱은 빼돌린 개인정보를 토대로 교묘하게 속임수를 숨기기 때문에 직원 각각이 이런 공격을 피하기가 쉽지 않다.

보안 전문가들은 스피어피싱 위험을 그나마 줄이는 방안으로 ▲ 회사 PC로 개인 메일 열람 금지 ▲ 백신 등 보안 소프트웨어(SW) 강화 ▲ 온라인에 너무 많은 개인정보를 노출하지 말기 등의 안을 내놓는다.

(서울연합뉴스) 김태균 기자 tae@yna.co.kr