
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- Verizon의 DBIR은 최고의 비즈니스 보안 동향을 보여줍니다.
- 모바일 피싱은 이메일 기반 공격을 앞지르고 있습니다.
- 기업에는 모바일 중심의 피싱 교육이 필요합니다.
Verizon은 데이터 침해 상황과 전 세계 기업에 미치는 영향을 조사한 새로운 보고서에서 전통적인 피싱 시도를 더 잘 탐지할 수 있게 되면서 모바일 공격 벡터가 이메일 위협을 능가하고 있다고 밝혔습니다.
또한: 전국적인 Canvas 데이터 유출이 걱정되시나요? 지금 이 6단계를 수행하세요.
Verizon의 2026년 데이터 침해 조사 보고서(DBIR)에서 회사는 모바일 중심 사이버 공격의 인기가 높아지고 있으며 이메일을 통해 전송되는 동일한 피싱 시도보다 클릭률이 더 높다고 밝혔으며, 이는 기존 피싱 보호 조치가 적절한지에 대한 의문을 제기합니다.
모바일 소셜 엔지니어링이 주목을 받고 있습니다.
Verizon은 2025년 31,000건 이상의 실제 보안 사고에서 수집한 데이터를 기반으로 145개국의 조직에 영향을 미치는 22,000건의 확인된 데이터 침해를 기반으로 “모바일이 이메일보다 더 위험하다”고 밝혔습니다.
또한: 2026년 최고의 모바일 바이러스 백신 소프트웨어: 전문가 테스트 및 검토
일련의 피싱 시뮬레이션 평가는 음성 기반 피싱(비싱) 및 문자 사기를 포함한 모바일 중심 공격 벡터가 성공적인 미끼였으며 기존 이메일 피싱 사기보다 40% 더 높은 클릭률을 달성했다는 이러한 주장을 뒷받침합니다.
인간적인 요소
사람은 보안 시스템에서 가장 약한 연결고리인 경우가 많으며 위협 행위자들도 이를 알고 있습니다. 그러나 이것이 일반적인 사이버 보안 인식이 향상되지 않는다는 의미는 아닙니다. 이는 사이버범죄자들이 전술을 바꾸고 있다는 의미일 뿐입니다.
Verizon의 보고서에 따르면, 알려지고 기록된 데이터 침해의 62%에 “인적 요소”가 존재하며 이는 전년 대비 2% 소폭 증가한 수치입니다.
또한:끊임없는 사기 문자 뒤에 숨은 SIM 농장과 안전을 유지하는 방법
불행하게도 데이터에 따르면 많은 사이버 범죄자들이 우리의 신뢰를 남용하여 데이터를 훔치거나 결제 사기를 저지르거나 랜섬웨어 배포 및 강탈을 포함한 심각한 보안 사고의 전조 역할을 하고 있음이 드러났습니다.
피싱 이메일을 보내는 것만으로는 충분하지 않을 때, 그들은 Verizon이 “프리텍스팅(pretexting)”이라고 부르는 것을 시작했습니다. 이는 심리학이 현대 사이버 공격에서 어떻게 더 자주 역할을 하는지를 강조하는 우려스러운 개발입니다.
프리텍스팅과 피싱
전체 위반의 16%를 차지하는 사회 공학은 개인의 보안과 개인 정보 보호 또는 고용주와 같은 기업의 보안과 개인 정보 보호를 위험에 빠뜨리는 조치를 취하도록 설득하기 위한 심리적 착취를 의미합니다.
이러한 전술은 직원이 배달 운전사로 위장한 범죄자가 안전한 건물에 들어가도록 허용하는 것에서부터 재정적 긴급 상황에서 사랑하는 사람 중 한 명인 것처럼 가장하는 사람까지 다양할 수 있습니다.
모바일 기술에 적용하면 피싱은 종종 악의적인 목적을 위한 가짜 문자, 음성 메모, 전화의 형태를 취합니다. 이는 단지 사이버범죄자가 귀하인 것처럼 가장하고 통신사에 전화하여 SIM을 교체하는 것이 아닙니다. “프리텍스팅”을 전술로 사용하면 함정이 발생하기 전에 범죄자와 피해자 사이에 신뢰의 기반이 마련됩니다.
또한: Android에서 문자 메시지가 스팸인지 확인하는 방법 및 제가 사용하는 무료 도구
보다 정교한 표적 공격에 사용되는 일반적인 피싱 시도에 대한 업그레이드라고 생각하세요. 예를 들어, 모바일 메시징과 전화를 통해 우호적인 관계를 구축한 금융 직원을 표적으로 삼을 수 있으며 공격자는 임원, 팀 구성원 또는 공급업체로 가장할 수 있습니다. 충분한 신뢰가 구축되면 피해자는 속아서 청구서의 지불 세부 정보를 변경하고 자신도 모르게 공급업체가 아닌 범죄자에게 현금을 보냅니다.
Verizon의 데이터세트에서 시뮬레이션된 이메일 피싱 캠페인의 평균 클릭률은 1.4%였으며, 전화 기반 피싱 비율은 약 2%로 40% 증가했습니다.
보고서는 “용어에 관계없이 다양한 공격자들이 헬프 데스크 직원이나 비밀번호 재설정이 필요한 사용자를 사칭하여 이러한 수단을 활용해 왔으며 중간 수준의 성공을 거두었습니다”라고 밝혔습니다. “여기서 중요한 점은 전화 중심 벡터(문자 메시지, 음성 또는 콜백 중심 이메일)를 사용하는 소셜 공격이 기존 이메일 벡터 방어자를 사용하는 것보다 우리 데이터 세트에서 더 성공적이라는 것입니다.”
더 많은 주요 보안 동향
Verizon의 연구에 따르면 현재 침해의 거의 3분의 1(31%)이 취약점 악용으로 시작되는 것으로 나타났습니다. 이는 보안 결함 악용이 대상 시스템의 초기 진입점으로 도난당한 자격 증명을 사용하는 것보다 처음으로 발생했으며 현재 사고의 13% 원인으로 기록되었습니다.
이러한 변화는 AI로 인한 것으로 여겨진다. 보고서에 따르면, 사이버 범죄자들은 AI를 활용하여 취약점을 악용하는 데 필요한 시간을 줄여 “방어 기간을 몇 달에서 몇 시간으로 단축”하고 있습니다.
또한: 이 간단한 ChatGPT 트릭을 사용하면 클릭하거나 응답하기 전에 사기를 발견할 수 있습니다.
또한 CISA가 기록한 심각한 취약점 중 2025년에는 26%만이 완전히 패치되어 해결되었으며, 이는 2024년 38%에서 감소한 수치입니다.
조직이 알아야 할 또 다른 흥미로운 추세는 Shadow AI입니다. 기업은 직원이 명시적인 승인 없이 장치와 온라인 서비스를 사용하는 섀도우 IT에 대해 오랫동안 알고 있었지만 이제 섀도우 AI도 잠재적인 보안 위험이 됩니다.
전체적으로 직원의 67%가 회사에서 지급한 장치에서 회사가 아닌 AI 계정을 사용하고 있습니다. Shadow AI는 작년에 기록된 세 번째로 흔한 비악성 내부자 위협으로, 사용자는 소스 코드, 연구 및 기술 문서를 포함하여 민감한 기밀 회사 데이터를 이러한 모델에 자주 제출했습니다.
보호받는 방법
샘플 크기가 작기 때문에 모바일 중심 피싱에 대한 Verizon 연구의 공통 스레드에는 몇 가지 주의 사항이 있습니다. 하지만 이는 모바일 중심의 피싱 시뮬레이션이나 교육을 실시하는 기업이 많지 않아 이용 가능한 데이터 포인트가 거의 없었기 때문이며, 이로 인해 잠재적인 문제가 드러났습니다.
피싱 훈련은 새로운 것이 아니지만 그 이점에 대해서는 논쟁의 여지가 있습니다. 특히 상자를 확인하기 위한 연간 훈련으로 간주되는 경우에는 더욱 그렇습니다. 그러나 최신 피싱 전술의 모바일 측면을 고려하는 조직은 거의 없으므로 특히 직원이 자신의 장치를 사용하여 기업 네트워크 및 시스템에 액세스할 때 더 큰 위험에 노출될 수 있습니다.
사이버 범죄자가 자신도 모르게 직원에게 직접 연락하여 보안 시스템을 우회할 수 있게 되면 피싱 방지 방어에 대한 투자가 무용지물이 될 수 있습니다.
조직의 경우 이메일과 모바일 전반에 걸쳐 기존 피싱 위협과 진화하는 피싱 위협에 맞서기 위한 새로운 전략을 개발하는 것이 답입니다. “프리텍스팅(pretexting)”도 증가함에 따라 교육을 통해 피싱은 더 이상 단순한 스프레이 앤 기도 이메일이 아니라는 점을 직원들에게 가르쳐야 합니다. 이러한 범죄자들은 목표를 달성하기 위해 여러분의 마음을 흔들고 여러분의 신뢰를 이용할 것입니다.
또한: 클라우드 공격은 점점 더 빠르고 치명적입니다 – 비즈니스를 보호하는 4가지 방법
또한 이러한 공격은 직원 소유 장치를 통해 발생할 수 있으며, 이는 통제 범위를 벗어나 기업 보안에 눈에 보이지 않는 위협을 가할 수 있으므로 조직은 액세스 허용 또는 자체 장치 가져오기 계획 취소를 재고해야 합니다. 직원들이 자신의 스마트폰을 사용할 수 있도록 하면 단기적으로 회사의 현금을 절약할 수 있지만 데이터 유출 비용은 저렴하지 않습니다.
공식 정보 바로가기