피싱은 공격자가 비즈니스 네트워크에 접근하기 위해 사용하는 가장 흔한 방법 중 하나로 남아 있습니다. 이는 합법적인 일상적인 비즈니스 커뮤니케이션을 모방하므로, 눈에 띄지 않게 가치 있는 비즈니스 정보를 수집하는 데 이상적인 기법입니다. 영국 정부의 2025 사이버 보안 사고 설문조사 보고서에 따르면, 피싱은 사고를 식별한 기업들이 보고한 가장 흔한 유형의 보안 사고 또는 공격이었으며, 해당 기업의 85%, 전체 기업의 37%에 달하는 수치를 기록했습니다.
인식 교육은 단순한 준수 과제가 아니라 비즈니스의 필수 사항이어야 합니다. 단 한 번의 피싱 시도 성공만으로도 자격 증명이 노출되고 내부 시스템에 대한 접근 권한이 부여되며, 단일 직원의 받은 편지함을 훨씬 넘어서 확산되는 문제를 야기할 수 있습니다.
문제는 피싱 기법이 끊임없이 변화함에도 불구하고 많은 조직이 여전히 일회성 인식 제고 노력에만 의존하고 있다는 점입니다. 더 효과적인 프로그램은 직원들에게 반복적인 실습과 더 명확한 보고 습관을 제공하고, 실수로 인한 영향을 줄이는 지원 제어 기능을 제공할 수 있습니다.
비즈니스 문맥에서의 피싱 형태
비즈니스 피싱은 오타가 가득한 명백히 가짜인 이메일을 넘어 진화했습니다. 실제로 직원들은 다음과 같이 매우 사실적으로 보이는 시도를 접할 가능성이 훨씬 높습니다.
- 계정 확인 요청
- 공유 문서 알림
- 일반적인 비즈니스 플랫폼용 로그인 페이지
- 송장 승인
- 인사팀(HR) 업데이트
- 신뢰할 수 있는 공급업체 또는 내부 경영진이 보낸 메시지
팀원이 응답하면 공격자는 수집한 직원이나 회사에 대한 정보를 사용하여 메시지를 더욱 설득력 있고 사실적으로 만들 수 있으며, 이는 특히 표적화된 캠페인에서 두드러집니다.
스피어 피싱, 경영진 사칭, 자격 증명 수집
피싱 인식 교육은 팀이 여러 패턴에 동시에 대비할 수 있도록 구성되어야 합니다. 스피어 피싱은 가장 흔한 피싱 변종 중 하나입니다. 공격자는 수천 명의 수신인에게 일반적인 메시지를 보내는 대신 특정 역할, 프로젝트, 동료 또는 공급업체 관계에 맞춰 이메일을 맞춤 제작합니다.
메시지는 직원이 현실적으로 예상할 수 있는 내용을 중심으로 구성되기 때문에 그럴듯하게 느껴집니다. 이러한 유형의 타겟팅은 회사 웹사이트, 공개 프로필 또는 기타 온라인 소스에서 수집된 정보를 통해 설득력을 더욱 높입니다.
피싱의 또 다른 변종은 때때로 CEO 사기로 불리는 경영진 사칭입니다. 여기서 공격자는 고위 경영진이나 중요한 이해관계자를 흉내 내어 결제, 파일 또는 자격 증명 요청에 대한 긴급 상황을 조성하며, 일반적인 확인 절차를 거치지 않고 돈이나 정보를 이체하도록 직원을 압박합니다.
세 번째 패턴은 자격 증명 수집입니다. 이러한 공격에서 직원은 사용자 이름, 비밀번호, 때로는 OTP(일회용 비밀번호) 코드까지 탈취하도록 설계된 가짜 로그인 페이지로 유도됩니다.
피싱 교육은 일반적인 조언을 제공하기보다는 실제 비즈니스 워크플로를 반영해야 합니다. 많은 피싱 페이지는 직원이 매일 이미 사용하고 있는 도구와 유사하게 제작됩니다.
일상적인 비즈니스 메시지가 매우 효과적인 이유
피싱이 조직 내에서 여전히 효과적인 이유는 피싱이 일상적인 업무에 자연스럽게 섞여 들기 때문입니다. 가짜 로그인 프롬프트는 귀하가 별생각 없이 행동할 수 있을 만큼만 익숙하게 느껴지면 충분합니다. 이는 공급업체 메시지, 공유 문서 알림 또는 긴급한 내부 요청의 경우에도 마찬가지입니다.
그렇기 때문에 교육은 의심스러운 문구나 부적절한 문법에만 집중해서는 안 됩니다. 직원들은 공격자가 일반적인 업무 방식을 어떻게 악용하는지 이해해야 합니다. 귀하의 조직이 어떻게 운영되는지 생각하고, 특히 돈, 자격 증명 또는 민감한 정보가 포함된 경우 직원이 일반적인 프로세스에서 벗어난 요청을 인식할 수 있도록 도와주십시오.
최근 보안 사고 사례
최근 보안 사고 보고에 따르면 기업 내부의 피싱은 이제 단순한 받은 편지함 사기를 훨씬 뛰어넘고 있습니다.
Proton의 데이터 보안 사고 관측소에 따르면, 연하장 회사인 Hallmark Cards는 ShinyHunters로 알려진 범죄 갈취 해커 그룹의 표적이 되었습니다. 이 그룹은 Salesforce에서 Hallmark Cards의 기록을 확보하고 해당 기업에 갈취 마감 기한을 제시했습니다. 결과적으로 이 그룹은 280만 개의 고유 기록을 유출했습니다.
ShinyHunters는 최근 몇 달 동안 많은 유명 기업을 표적으로 삼으며 왕성하게 활동하고 있습니다. 2026년 1월에는 의류 브랜드 Canada Goose가 약 60만 건의 고객 기록 보안 사고와 연루되었습니다. 이 데이터는 2025년 8월에 발생한 제3자 보안 사고에서 유출된 것입니다.
이러한 사례들은 현재 비즈니스 환경에서의 피싱이 어떤 모습인지 보여주기 때문에 유용합니다. 즉, 단순한 받은 편지함 속임수뿐만 아니라 계약업체, 신원 시스템, 내부 접근 및 조직이 매일 의존하는 신뢰 관계를 겨냥한 공격임을 보여줍니다.
인식만으로는 충분하지 않은 이유
피싱 인식이 중요하긴 하지만 그 자체만으로는 충분하지 않습니다. 직원들이 단순히 정보가 부족해서 실수를 저지르는 것은 아닙니다. 바쁘거나, 주의가 산만하거나, 압박을 받거나, 피싱 메시지가 처음에는 적법한 것처럼 쉽게 통과할 수 있는 워크플로를 빠르게 진행하기 때문에 실수를 저지르기도 합니다.
그렇기 때문에 모든 직원이 모든 피싱 시도를 포착할 수 있다는 생각으로 교육을 구성해서는 안 됩니다. 조직은 사용자 탐지에만 의존할 수 없습니다. 일부 공격은 여전히 통과될 것이며, 이는 기술적 통제, 명확한 프로세스 및 사용자 교육이 함께 연계되어야 함을 의미합니다.
더 강력한 피싱 인식 교육 프로그램은 그러한 현실을 바탕으로 구축됩니다. 직원이 일반적인 경고 징후를 인식하고, 무언가 이상하다고 느껴질 때 일시정지하고, 신속하게 보고하며, 한 번의 실수를 쉽게 억제할 수 있는 시스템 내에서 작업할 수 있도록 돕습니다. 또한 이는 자연스럽게 사고 대비와도 연결됩니다.
만약 누군가 악성 링크를 클릭하거나 자격 증명을 공유하는 경우, 조직은 빠르고 명확한 대응 경로를 갖추고 있어야 합니다. 직원이 보고 후에 어떤 일이 일어나는지, 그리고 자신의 역할이 무엇인지 알 때 교육은 훨씬 더 효과적이 됩니다. Proton의 사고 대응 가이드는 귀하의 조직이 계획을 수립하는 데 도움을 줄 수 있습니다.
효과적인 피싱 인식 교육 프로그램은 어떤 모습이어야 할까요?
효과적인 피싱 인식 교육 프로그램은 단 한 번의 연례 세션과 몇 가지 오래된 사례를 중심으로 구성되지 않습니다. 이는 지속적이고 실용적이며 사람들이 실제로 일하는 방식을 중심으로 설계됩니다. 즉, 정기적인 강화 교육, 현실적인 시나리오 및 직원이 시간이 지나면서 더 나은 판단력을 기를 수 있도록 돕는 의견 수렴이 포함됩니다.
실제로 피싱 인식 교육은 한 번 이상의 순간에 나타나야 합니다. 직원이 한 번 보고 잊어버리는 것이 아니라 온보딩, 보수 교육, 짧은 시나리오 기반의 알림, 사고 검토의 일부가 되어야 합니다. 또한 실제 노출 상황을 반영해야 합니다.
송장 처리, 경영진 지원, 공급업체 커뮤니케이션, 권한 있는 접근 또는 민감한 기록을 다루는 사람은 위험도가 낮은 워크플로에 있는 사람보다 다른 종류의 피싱 압박을 받을 가능성이 높습니다. NCSC의 피싱 지침은 민감한 정보, 금융 자산 또는 IT 시스템에 접근할 수 있는 직원이 더 집중적인 표적이 될 수 있음을 지적함으로써 그러한 현실을 반영하고 있습니다.
연습 또한 적절하게 활용되어야 합니다. 시뮬레이션된 피싱은 유용할 수 있지만 비난을 위한 연습이 되어서는 안 됩니다. 서투르게 처리된 시뮬레이션은 직원이 지원받는 것이 아니라 함정에 빠졌다고 느낄 경우 신뢰를 손상시키고 실수 보고를 저해할 수 있습니다.
더 강력한 프로그램은 시뮬레이션을 주의 깊게 사용하고, 즉각적인 의견을 제공하며, 난이도를 점진적으로 높입니다. 직원이 속기 쉽다는 것을 증명하려는 것이 아닙니다. 직원이 패턴 인식 능력, 보고 습관 및 실제 상황에서의 자신감을 키울 수 있도록 돕는 것입니다.
직원들이 여전히 놓치는 피싱의 다섯 가지 위험 신호
많은 직원이 전형적인 경고 징후를 알고 있지만, 실제 비즈니스 공격에서 발생하는 더 미묘한 신호는 여전히 놓치고 있습니다. 피싱 인식 교육은 귀하의 일상 업무에 부합하는 패턴을 인식하는 법을 가르칠 때 훨씬 더 유용합니다.
1. 업무 흐름과 일치하지만 채널이나 긴급성이 바뀐 메시지
가장 효과적인 피싱 이메일은 전혀 무작위로 보이지 않습니다. 이러한 이메일은 송장 요청, 공유 문서, 급여 업데이트 또는 직원이 받을 것으로 예상하는 로그인 알림과 유사합니다.
달라지는 것은 긴급성, 비밀성 또는 프로세스입니다. 공격자는 대상자가 일반적인 확인 절차를 건너뛰기를 원합니다. NCSC 지침은 공격자가 정보 요청이나 승인되지 않은 결제 요청을 포함하여 비즈니스 프로세스와 요청을 악용한다고 특별히 경고합니다.
2. 잘못된 도메인이나 위조된 소스를 숨기고 있는 믿을 만한 보낸 사람 이름
직원들은 종종 전체 주소나 답장 경로, 도메인이 아닌 표시되는 이름에 집중합니다. 이것이 안티 스푸핑 제어가 중요한 이유 중 하나이지만, 교육을 통해 친숙한 브랜드나 동료가 약간 ‘이상하게’ 보일 때 속도를 늦추도록 가르칠 필요가 있습니다.
NCSC는 DMARC(Domain-based Message Authentication, Reporting, and Conformance), SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail)과 같은 제어를 통해 이메일 스푸핑을 더 어렵게 만들 것을 조직에 권고합니다. 이러한 이메일 인증 확인을 함께 사용하면 수신 시스템이 메시지가 실제로 주장하는 도메인에서 온 것인지 확인하는 데 도움이 됩니다.
3. 충분히 정상적으로 보이는 로그인 페이지
자격 증명 탈취 페이지는 완벽해 보일 필요가 없습니다. 직원이 사용자 이름과 비밀번호를 입력할 때까지 충분히 친숙하게 느껴지기만 하면 됩니다. 실제로는 디자인보다는 맥락이 가장 큰 단서가 될 수 있습니다. 왜 이 로그인 요청이 지금 나타났는지, 그리고 왜 이 경로를 통해서 나타났는지 자문해 보아야 합니다.
4. 확인보다 신속함을 요구하는 요청
임원 사칭, 송장 사기 및 공급업체 사기는 종종 긴급성에 의존합니다. 메시지는 확인 절차가 불편하거나 불충실하게 느껴지도록 정교하게 제작됩니다. 강력한 피싱 교육은 예상치 못한 긴급함이 단순한 의심스러운 언어가 아니라 이메일 응답 모드에서 확인 모드로 전환해야 한다는 신호임을 가르쳐야 합니다.
5. 보고하는 것이 창피하게 느껴지는 상황
가장 간과되는 경고 신호 중 하나는 기술적인 것이 아니라 내부적인 것입니다. 직원이 이상한 점을 발견했지만 확신이 없거나, 너무 바쁘거나, 부주의해 보일까 봐 걱정되어 보고를 주저하는 경우입니다.
NCSC는 보복에 대한 두려움이 보고를 억제하기 때문에 피싱을 식별하는 데 어려움을 겪는 사용자를 질책하지 말라고 경고합니다. 따라서 건전한 프로그램은 메시지가 해롭지 않은 것으로 판명되더라도 초기에 우려 사항을 제기하는 것이 유용하다는 점을 직원들에게 가르칩니다.
교육이 실패했을 때 발생하는 일
피싱 교육이 실패하면 피해는 다른 무엇보다 먼저 자격 증명 탈취로 측정되는 경우가 많습니다. 사용자가 가짜 포털에 비밀번호를 입력하거나, 예상치 못한 프롬프트를 승인하거나, 설득력 있는 내부 요청처럼 보이는 것을 통해 로그인 세부사항을 공유합니다. 그 시점부터 문제는 더 이상 받은 편지함의 결정 하나에 국한되지 않습니다. 이는 접근 제어의 문제가 됩니다.
이 지점이 피싱과 비밀번호 위생 간의 연결이 매우 중요해지는 부분입니다. 동일한 비밀번호를 여러 서비스에서 재사용하는 경우, 유출된 자격 증명 하나가 이메일, SaaS 도구, 클라우드 플랫폼 또는 관리자 시스템으로 들어가는 라우팅 경로가 될 수 있습니다. 공유 로그인이 여전히 비공식적이거나 통제되지 않은 방식으로 처리되고 있다면 책임 소재는 더욱 불분명해집니다.
Proton의 데이터 보안 사고 전망대 보고서에 따르면 보안 사고 10건 중 9건에서 이름과 이메일이 나타나며, 보안 사고의 72%에는 연락처 데이터가 포함되어 있고 49%에는 비밀번호가 포함되어 있습니다. 즉, 공격자는 피싱을 더욱 설득력 있게 만들고 성공했을 때 비밀번호 재사용을 악용하는 데 필요한 기초 자료를 이미 가지고 있는 경우가 많습니다.
최근의 보안 사고 사례들도 다른 각도에서 동일한 점을 시사합니다. Proton의 보안 사고 보고에 따르면, 2026년의 피싱 관련 이벤트는 링크 클릭에서 멈추지 않고 네트워크 접근, 내부 노출 및 더 광범위한 비즈니스 사고로 이어졌습니다. 이것이 바로 피싱 공격 방지가 직원들의 인식에만 의존해서는 안 되는 이유입니다. 또한 계정 하나가 유출되었을 때 도난당한 자격 증명이 이동할 수 있는 범위를 줄여야 합니다.
모든 서비스에 대해 고유한 비밀번호를 사용하는 것은 여기서 가장 간단하면서도 가치 높은 제어 방법 중 하나입니다. 이는 피싱 시도 자체를 막지는 못하지만 피해 확산을 억제하는 데 도움이 됩니다. 하나의 비밀번호를 도난당하더라도 다른 5개의 시스템이 잠금 해제되어서는 안 됩니다.
안전한 비즈니스 비밀번호 관리자는 보안 문화 전략을 지원합니다. Proton Pass for Business는 팀이 각 서비스에 대해 강력하고 고유한 비밀번호를 생성하고 저장할 수 있도록 설계되어, 성공한 하나의 피싱 이벤트가 조직 전체로 퍼져 나갈 가능성을 줄여줍니다.
직원을 위한 피싱 교육의 실용적인 모델
시작하기 가장 좋은 방법은 일반적인 교육 자료가 아니라 귀하의 조직이 실제로 작동하는 방식에서 시작하는 것입니다.
직원들이 직면할 가능성이 가장 높은 피싱 시나리오에 먼저 집중하십시오. 로그인 프롬프트, 공급업체 사칭, 결제 승인, 공유 문서 알림, 임원 요청 또는 신원 제공자 공격 등이 있습니다. 교육은 사람들이 그 속에서 자신의 실제 업무 현실을 인식할 수 있을 때 훨씬 더 유용해집니다.
신고 또한 간단하고 안전해야 합니다. NCSC의 피싱 지침은 조직이 사용자가 피싱으로 의심되는 메시지를 식별하고 신고하도록 도와야 한다고 명시하고 있으며, Reporting Fraud Website(새 창)는 피싱 및 사이버 범죄에 대한 영국의 공식 신고 경로를 제공합니다. 직원은 내부 어디에 신고해야 하는지, 무엇을 포함해야 하는지, 링크를 클릭했거나 자격 증명을 입력했거나 접근을 승인했을 때 즉시 무엇을 해야 하는지 알고 있어야 합니다.
교육은 실수의 대가를 줄여주는 제어 장치로 뒷받침되어야 합니다. 여기에는 이메일 필터링, 스푸핑 방지 보호, 안전한 로그인 흐름, 2단계 인증, 더욱 강력한 비밀번호 관리가 포함됩니다. 피싱 공격 예방에 관한 Proton의 비즈니스 가이드 또한 명확한 신고 채널, 반복된 연습, 유출된 자격 증명에 대한 모니터링의 가치를 강조합니다.
마지막으로 클릭 수 이상의 항목을 측정하십시오. 시뮬레이션 클릭률도 유용할 수 있지만, 신고율, 신고 소요 시간, 반복되는 실패 패턴 및 자격 증명 관련 사건이 복원력 향상 여부를 더 명확하게 보여주는 경우가 많습니다. NCSC는 또한 조직이 안전한 신고를 저해하지 않도록 피싱 지표에 대해 신중하게 생각할 것을 권장합니다.
완벽한 탐지는 불가능하지만, 더 강력한 대응은 가능합니다
피싱 인식 교육은 직원이 모든 공격을 완벽하게 찾아내야 한다는 생각을 넘어설 때 가장 효과적입니다. 더 현실적인 목표는 익숙한 경고 징후를 인식하고, 우려 사항을 신속하게 신고하며, 한 번의 실수가 더 큰 사건으로 확대되지 않도록 대응할 수 있는 팀을 구축하는 것입니다.
그러기 위해서는 정보 이상의 것이 필요합니다. 반복적인 연습, 실제 역할과 워크플로를 반영한 사례, 그리고 무언가 잘못되었다고 느껴질 때 직원이 의지할 수 있는 명확한 프로세스가 필요합니다. 또한 피싱 시도가 성공했을 때 자격 증명 도용의 영향을 줄이는 제어 장치도 필요합니다. 따라서 직원을 위한 피싱 교육은 독립적인 인식 연습이 아니라 더 넓은 보안 문화의 일부로서 작동할 때 가장 효과적입니다.
피싱 위험을 효과적으로 줄이는 조직은 실무 교육, 명확한 신고 습관, 강화된 사건 대비, 엄격한 자격 증명 관리라는 동일한 요소를 결합하는 경향이 있습니다. 피싱 공격 및 사건 대응에 관한 Proton의 리소스는 모두 동일한 원칙을 강조합니다. 즉, 유출 상황을 더 쉽게 억제할 수 있는 시스템이 뒷받침될 때 인식이 훨씬 더 효과적이라는 것입니다.
