펜타시큐리티 > Insight > 진화하는 피싱 공격, 기업은 어떻게 대응해야 하나

진화하는 피싱 공격, 기업은 어떻게 대응해야 하나

2025-11-27 Insight
피싱 공격과 기업 대응 방법

오늘날 사이버 보안 환경에서 기업을 위협하는 가장 흔하면서도 치명적인 공격은 바로 피싱(Phishing)입니다. 연구에 따르면 전체 사이버 공격의 80% 이상이 피싱을 활용하고 있습니다. 피싱 공격은 단순한 해킹 기술이 아닙니다. 사회 공학적 기법으로 사람의 심리적 취약점을 공략합니다. 개인을 노리는 피싱이 늘어나는 만큼 기업을 겨냥한 피싱도 증가하고 있습니다. 기업이 피싱 공격으로 고객 정보를 유출하면 고객 개개인이 2차 피싱 공격의 표적이 됩니다. 이처럼 기업 대상 피싱은 개인 대상 공격보다 훨씬 심각한 피해를 낳을 수 있습니다. 피싱 공격과 기업 대응 방법

2025년 2월에는 대형 암호화폐 거래소를 겨냥한 피싱 공격으로 약 15억 달러 상당의 이더리움 피해가 발생했습니다. 올해 9월에는 재규어 랜드로버를 대상으로 한 대규모 랜섬웨어 공격이 피싱으로 시작되었습니다. 피해 규모는 현재까지 파악된 것만 해도 약 19억 파운드로 추정되는 큰 경제적 손실을 일으켰습니다. 이렇듯 오늘날의 사이버 보안 환경에서는 가장 흔하지만 그만큼 큰 피해를 불러올 수 있는 공격은 피싱입니다.

 

피싱 공격과 기업 대응 방법

 

기업을 겨냥하는 피싱 공격의 유형은 어떤 것이 있나요?

개인을 대상으로 할 때보다 기업을 대상으로 하는 피싱 공격은 핵심 자원(고객 정보, 기업 기밀 정보 등)을 노리기 때문에 더욱 정교한 형태로 나타납니다.

 

스피어 피싱(Spear Phishing)

특정 팀원이나 부서 관리자 등 소규모 그룹을 표적으로 삼는 맞춤형 공격입니다. 공격 대상의 이름, 직위, 회사 정보 등을 활용해 신뢰도를 높이고, 이메일로 악성 링크 클릭이나 첨부파일 다운로드를 유도합니다. 접속한 사이트나 첨부파일에는 악성 코드가 숨어 있으며, APT 공격 같은 더 큰 공격으로 이어질 수 있습니다.

웨일링 피싱(Whaling)

고래(Whale)처럼 ‘큰 물고기’인 고위직을 노리는 공격입니다. 기업 데이터에 대한 접근 권한을 가진 고위 경영진을 표적으로 삼으며, 주로 중요한 법적 문제나 주요 기관을 사칭하여 악성 코드 설치를 유도합니다.

비싱, 보이스 피싱(Vishing)

대부분의 피싱은 이메일을 매체로 삼지만, 비싱은 전화(Voice)를 이용한 공격입니다. 금융기관이나 수사기관을 사칭해 전화를 걸어 금융 정보나 비밀번호 같은 중요 정보를 직접 캐묻습니다. 사내에서 이런 전화를 받는 것이 이상하지 않기 때문에 자연스럽게 정보를 알려주게 됩니다. 더 큰 조직을 노릴 때는 본사인 척하며 사내 시스템이나 중요 정보를 관리하는 외주 업체에 전화를 거는 경우도 흔합니다.

BEC (Business Email Compromise)

주로 재무·회계 담당자를 노리는 공격입니다. CEO나 거래처 임원을 사칭해 긴급 송금이 필요하다며 대규모 금전 손실을 일으킵니다. 피해자는 자신보다 높은 직급의 요구라 자세히 묻기 꺼려지고, ‘긴급’이라는 상황에 판단력이 흐려져 송금하는 경우가 많습니다.

클론 피싱(Clone Phishing)

과거 정상적으로 주고받았던 이메일을 복제한 뒤, 첨부파일만 악성 코드로 바꿔 재발송하는 공격입니다. 이전에 정상적으로 소통했던 상대라 피해자가 의심하기 어렵습니다. 게다가 이메일 보안 솔루션의 탐지도 회피해 조직 내부에 침투할 수 있습니다.

 

피싱 공격을 예방하는 방법

피싱 방어는 보안 부서만의 책임이 아닙니다. 전사적인 방어 기술과 임직원 교육을 결합한 전략이 필수입니다. 다중 요소 인증(MFA/2FA)을 기업 계정에 적용하는 것이 가장 쉽고 안전한 방법입니다. 공격자가 비밀번호를 탈취하더라도 2차 인증 없이는 접근할 수 없어 피해를 최소화할 수 있습니다. 엔드포인트 탐지 및 대응(EDR) 시스템을 도입해 임직원 PC의 수상한 파일이나 악성 행위를 감지하고 격리하는 것도 좋은 방법입니다.

하지만 최신 피싱 공격은 사회 공학 기법으로 이런 기술적 방어막을 우회하는 경우가 많습니다. 따라서 조직 문화와 인식 개선이 필수적입니다. 모의 피싱 훈련이나 정기적인 교육으로 예방할 수 있습니다. 나아가 이메일, 링크, 첨부파일 등 악성 코드가 있을 수 있는 모든 것을 검증하는 프로세스를 의무화해야 합니다. 이메일이나 메신저로 긴급 요청을 받았다면 반드시 유선 통화나 대면 보고 등 다른 채널로 요청자의 신원을 한 번 더 확인해야 합니다. AI 딥페이크 기술이 발전한 요즘은 한 가지 채널만으로 확신해선 안 되고, 여러 채널로 교차 검증하는 것이 좋습니다. 이 과정에서 고위직 역시 인식을 개선해 긴급 요청 후 여러 재확인 절차가 있는 것을 이해해야 합니다.

 

피싱 사고가 발생했을 때 기업은 어떻게 대응해야 하나요?

피싱은 언제든지 발생할 수 있습니다. 중요한 것은 사고 발생 후 대응 속도입니다.

  1. 즉시 신고 & 격리: 피싱 공격이 확인되면 해당 계정을 잠그고, 감염된 기기를 네트워크에서 격리해 추가 확산을 막습니다.
  2. 비밀번호 즉시 변경: 유출된 계정의 비밀번호와 동일한 비밀번호를 사용하는 모든 서비스의 비밀번호를 즉시 변경합니다.
  3. 전문 기관 신고: 금전 피해가 발생했다면 관련 부서, 사이버 수사대, 금융 기관에 즉시 신고해 지급 정지 등 법적 구제 절차를 밟아야 합니다.

 

피싱 공격은 기업 보안에서 가장 약한 고리인 ‘사람’을 노립니다. 기술적 방어책을 마련하는 동시에, 전 직원이 보안 의식을 갖추고 매뉴얼대로 움직이는 조직 문화를 만드는 것만이 비즈니스 연속성과 핵심 자산을 지킬 수 있는 유일한 길입니다.

피싱 공격과 기업 대응 방법

Tags: