1. 주요 사이버 공격 유형 및 위험 요인

1) 피싱·스피어피싱

피싱은 ‘그럴 듯한’ 안내 문구로 사용자의 클릭과 입력을 유도하는 공격이다. 연말 정산·기부·포인트 소멸 같은 키워드는 실제로도 빈번히 오가는 주제여서 경계심이 느슨해지기 쉽다. 특히 경영진이나 재무인사 담당자처럼 권한이 큰 계정을 노린 표적 공격은 피해가 빠르게 확산될 수 있다.

• 연말정산, 택배 배송 안내, 포인트 소멸, 기부 영수증 등을 사칭한 이메일 증가
• CEO, 재무·인사 담당자 등 내부 주요 인물을 사칭한 표적형 스피어피싱 지속
• 악성 링크 또는 첨부 파일을 통한 초기 침투 시도
• 과거 유출된 개인정보를 활용한 맞춤형(타깃형) 공격 증가

2) 스미싱(SMS 피싱)

스미싱은 문자 메시지로 접근해 즉각적인 클릭을 유도하는 방식이 많다. ‘배송 오류’, ‘지원금’, ‘환급’처럼 급박한 상황을 만들고, 확인을 서두르게 하는 것이 특징이다. 링크를 누르는 순간 악성 앱 설치나 계정 탈취로 이어질 수 있어 특히 주의가 필요하다.

• 택배 배송 오류, 정부지원금, 연말 혜택 안내, 포인트 환급 등으로 위장한 문자 유포
• 악성 앱 설치 또는 계정 정보 탈취를 유도하는 URL 포함
• 실제 기관·기업 명칭을 사용해 신뢰도를 높이는 수법 활용

3) 랜섬웨어 및 정보 탈취형 악성코드

랜섬웨어는 단순히 파일을 암호화하는 데 그치지 않고, 내부 정보를 빼낸 뒤 협박하는 방식으로도 확산되고 있다. 특히 야간·주말처럼 대응 인력이 줄어드는 시간대를 노리면 피해 규모가 커질 수 있다. 따라서 ‘외부 계정 탈취 → 내부 확산 → 백업 파괴’ 같은 연쇄 공격의 흐름을 염두에 둬야 한다.

• 휴가 기간 중 대응 지연을 노린 야간·주말 공격 빈도 증가
• 클라우드·VPN 계정 탈취 후 내부 시스템으로 확산 시도
• 백업 서버, 파일 서버 등 핵심 자산을 우선적으로 노리는 공격 양상

4) 메신저 사칭 및 결제 사기

요즘은 이메일뿐만 아니라 메신저로도 업무 지시가 오가는 만큼, 메신저를 악용한 사칭 사기가 늘고 있다. 특히 ‘지금 급하게 결제/송금이 필요하다’는 메시지를 긴박감을 이용해 확인 절차를 건너뛰게 만든다. 계정이 탈취된 경우 내부 대화 흐름까지 모방할 수 있어, 절차 기반의 검증이 필요하다.

• 카카오톡/WhatsApp/Teams 등 업무용 메신저를 통한 ‘긴급 결제 요청’ 사기
• 업무 이메일·메신저 계정 탈취 후 내부 직원이나 협력사를 사칭하는 방식

2. 임직원 및 사용자 보안 수칙

사고의 대다수는 ‘기술’보다 ‘사람의 실수’에서 시작되는 경우가 많다. 연말 연시에는 업무가 몰리거나 자리를 비우는 일이 늘어 기본 수칙이 흔들리기 쉬운 시기다. 누구나 바로 실천할 수 있는 최소한의 점검 리스트를 정리하면 다음과 같다.

1) 이메일·문자·메신저 확인 요령

공격 메시지는 한 번만 방심해도 링크 클릭이나 첨부 파일 실행으로 연결될 수 있다. 특히 실제 공지처럼 보이도록 만든 문구는 사용자의 확인하려는 심리를 노린다. 의심이 들면 혼자 판단하기보다는 신고와 공유로 빠르게 차단하는 것이 효과적이다.

• 발신 번호 또는 주소가 실제와 다른 경우 즉시 삭제
• 링크 클릭 전 URL 미리보기(Preview) 확인
• 정부·금융기관은 문자로 URL을 보내지 않는다는 점 인지
• 파일(.zip/.exe/.js) 또는 매크로 포함 문서 즉시 실행 금지
• 의심 메시지는 즉시 보안 담당자에게 신고

2) 계정 보안 강화

계정은 공격자가 가장 먼저 노리는 진입점이다. 비밀번호 재사용이나 다중 요소 인증(MFA) 미적용 같은 작은 허점이 침투의 출발점이 될 수 있다. 연말을 계기로 비밀번호와 인증 설정, 권한 상태를 한 번에 정리해두면 보안 사고 가능성을 크게 낮출 수 있다.

• 비밀번호 신규 변경
• 타 서비스와 동일한 비밀번호 사용 금지
• MFA 반드시 활성화
• 본인이 요청하지 않은 MFA 승인 요청 절대 승인 금지

3) 업무 단말기 관리

단말기는 실제 업무 데이터가 모이는 최전선이다. 패치 지연, 불필요한 프로그램, 외부 저장장치 사용 같은 요소가 감염 가능성을 높인다. 기본적인 업데이트와 정리 만으로도 상당수 위협을 예방할 수 있다.

• OS 및 보안 패치를 최신 상태로 유지할 것
• 불필요한 프로그램은 삭제할 것
• 업무 외 USB·외부 저장장치는 사용하지 말 것
• 외부 이동 시 기기 잠금·분실 방지  조치를 철저히 이행할 것

3. 관리자(IT/보안 담당자) 권고 사항

관리자 영역에서는 ‘예방’과 함께 ‘탐지’와 ‘대응 속도’가 피해 규모를 좌우한다. 특히 외부 노출 자산, 계정 이상 징후, 백업 체계는 연말 연시에 우선 점검해야 할 핵심 포인트다. 안랩은 아래 체크 항목을 기준으로 최소 점검 범위를 확보하는 것을 권고한다.

1) 시스템·네트워크 보안 점검

외부에 노출된 시스템은 공격자가 가장 먼저 스캔하는 표적이다. 패치가 늦거나 인증 정책이 약하면 계정 탈취 이후 내부 확산으로 이어질 수 있다. 접근 로그와 이상 징후 탐지를 강화해 초기 단계에서 차단하는 것이 중요하다.

• 외부 노출 시스템(Citrix, VPN, 웹서버 등)에 우선적으로 패치를 적용할 것
• 주요 계정 로그인 실패 반복 및 해외 로그인 탐지를 강화할 것
• AD·백업 서버 등 중요 시스템 접근 감사 로그를 주기적으로 검토할 것

2) 백업·복구 체계 강화

• 오프라인 또는 분리 백업을 최신 상태로 유지할 것
• 백업 데이터 무결성을 점검할 것
• 복구 절차를 사전에 검증할 것(Runbook 확인)

3) 클라우드·SaaS 보안 점검

클라우드·SaaS는 편리한 만큼 계정과 권한이 공격 표면이 되기 쉽다. 공유 링크, 오픈 인증(OAuth) 승인, 과도한 권한은 침투 이후 확산 경로로 악용될 수 있다. 권한 정리와 모니터링 강화로 ‘계정 기반 침투’ 가능성을 낮추는 것이 핵심이다.

• 과도한 권한(IAM)을 정리할 것
• 공개 공유 링크를 점검하고 만료 처리할 것
• OAuth 기반 피싱(App 승인 요청) 모니터링을 강화할 것

4. 보안 사고 발생 시 대응 절차

사고가 발생했을 때는 ‘정확한 초기 대응’이 2차 피해를 막는다. 무심코 삭제하거나 재부팅하면 증거가 사라져 분석이 어려울 수 있다. 차단 → 신고 → 조사 순서로 움직이는 것이 안전하다.

1) 의심 파일·URL은 삭제하지 말고 즉시 보안팀에 신고할 것

2) 감염 의심 PC는 네트워크 연결을 차단할 것

3) 계정 탈취 의심 시 즉시 비밀번호를 변경하고 MFA를 재등록할 것

4) 내부·외부 의심 커뮤니케이션 발견 시 즉시 공유할 것

5. 침해사고 신고

내부 대응만으로는 판단이 어렵거나 피해가 확산되는 경우, 즉시 외부 전문기관에 신고하고 협조하는 것이 필요하다. 신고 과정에서 확보된 로그증적은 원인 분석과 재발 방지에 도움이 된다. 아래 연락처와 경로를 참고해 신속히 대응하면 된다.

• 한국인터넷진흥원 인터넷침해대응센터 종합상황실: 02-405-4911~5, certgen@krcert.or.kr
• ['KISA 인터넷보호나라&KrCERT' 홈페이지] → 침해사고 신고
  
  [출처 : 안랩(www.ahnlab.com)]