세계 최대 보안 인식 교육 및 시뮬레이션 피싱 플랫폼을 제공하는 KnowBe4가 새로운 2024년 산업별 피싱 벤치마킹 보고서를 공개했다. 이는 피싱 또는 소셜 엔지니어링 사기를 당할 가능성이 있는 직원 수를 나타내는 조직의 피싱 취약 비율(PPP)을 측정하기 위한 보고서이다.

올해 보고서에서 모든 업계에 걸쳐 실시한 기본 테스트에 따르면 보안 인식 교육이 없는 경우 34.3%의 직원이 악성 링크를 클릭하거나 사기성 요청에 응할 가능성이 높은 것으로 나타났다. 이는 2023년 보고서에 비해 1% 이상 증가한 것으로, 사이버 위협으로부터 보호할 때 존재하는 인적 위험을 완화하기 위해 조직 내에 강력한 보안 문화를 구축하는 것의 중요성을 강조한다.

KnowBe4는 19개 산업 분야의 5만5675개 조직에서 1190여만 명의 사용자를 대상으로 5400여만 건의 시뮬레이션 피싱 테스트를 분석했다. 그 결과인 기준 PPP는 KnowBe4 보안 교육을 받지 않은 조직에서 테스트 중 시뮬레이션 피싱 이메일 링크를 클릭하거나 감염된 첨부파일을 열어본 직원의 비율을 측정한다.

이 보고서는 시뮬레이션 피싱 보안 테스트가 보안 인식 교육과 통합될 때 효과가 있다는 핵심적 사실을 강조한다. 초기 기준 테스트 이후 정기적인 보안 인식 교육과 테스트에 힘을 쏟은 조직은 90일 이내에 평균 PPP가 18.9%로 떨어졌다. 12개월의 지속적인 교육과 테스트 후에는 PPP가 4.6%로 훨씬 더 떨어졌다. 이러한 결과는 사이버 보안 문화를 변화시키기 위해서 먼저 기존의 습관을 깨고 보다 안전한 습관을 만들 방법을 찾아야 함을 보여준다. 직원들이 새로운 행동을 받아들이기 시작하면 습관이 되고, 시간이 지나면서 조직 문화를 형성하는 표준 관행으로 발전하게 되어 결국 일상 업무에서 본능적으로 보안을 우선시하는 인력이 탄생한다.

또한 보고서에서는 사이버 위협에 특히 취약하고, 가장 높은 PPP를 기록했으며, 보안 인식 교육이 절실히 필요한 산업도 논의된다. 의료 및 제약 산업이 소규모 및 대규모 조직에서 각각 34.7%와 51.4%를 기록하며 가장 높은 PPP로 여전히 고위험 범주에 남았다. 중간 규모 조직 전체에서는 숙박업이 39.7%의 점수로 3년 내 두 번째 1위에 올랐다.

이 보고서는 사이버 보안에서 인적 요소가 차지하는 핵심적 역할을 강조한다. 사이버 공격을 예방하고 복구하는 데는 기술이 중요하지만, 사람의 실수가 여전히 데이터 유출의 큰 기여 요소이다. 실제로 버라이즌의 2024년 데이터 유출 조사 보고서(Verizon’s 2024 Data Breach Investigations)에 따르면 데이터 유출의 68%는 우발적인 행동, 도난 당한 자격 증명 사용, 소셜 엔지니어링 및 악의적인 권한 오용 때문이었다. 비록 작년의 74%에 비해 개선된 수치이긴 하지만, 조직들은 사이버 위협으로부터 보호하기 위해 인적 방화벽을 강화하는 데 계속 노력을 집중해야 한다.

올해 보고서에서 강조한 신흥 위협 벡터는 특정 산업에서 빠르게 도입되는 AI로 나타났으며, 강력한 사이버 보안 조치를 취하지 않으면 추가적인 위험을 초래할 수 있다.

KnowBe4의 최고경영자인 스투 슈베르만(Stu Sjouwerman)은 “데이터는 거짓말을 하지 않는다. 정기적이고 집중적인 보안 교육은 직원들이 잠재적인 위협에 대처하는 방식을 새롭게 만들어간다. 우리의 목표는 교육하고 행동을 변화시켜 직원들이 본능적으로 보안을 최우선에 두도록 하는 것이다. 또한 AI로 인해 사이버 위협이 더욱 정교해지고 있으므로 교육에 대한 필요성은 절대적이다”라고 말했다.

올해 보고서에서는 북미, 남미, 유럽, 영국 및 아일랜드, 아프리카, 아시아, 호주 및 뉴질랜드의 국제 피싱 벤치마크도 조사했다.

2024년 KnowBe4 산업별 피싱 벤치마킹 보고서의 사본은 여기에서 다운로드할 수 있다.

출처 : KnowBe4