2025년 국내 대규모 계정 정보 유출 사고가 발생함에 따라 유출된 정보를 이용한 2차 피싱 공격이 빈번하게 발생하였습니다. 이에 정보통신원에서는 대학 사용자 보안 인식 수준을 식별하고 경각심을 통해 실제 침해사고 위협에 대응하기 위해 교내 교직원을 대상으로 수행한 모의 훈련을 수행하였습니다.

금번 훈련은 이메일 기반 피싱 메일 유포 방식으로 사용자의 훈련용 피싱 페이지 접속 유도를 통해 대응 결과(신고, 계정정보 입력, 유출 등)을 확인하였으며 교원, 직원(조교) 그룹으로 구분하여 2차에 걸쳐 수행되었습니다.

[그림] 모의 훈련용 피싱 메일

[그림] 스마트키 피싱 및 경고 페이지

□ 훈련결과

금번 모의 훈련은 사전 안내 없이 수행하였으며 교내 도메인을 사용한 발신자 정보로 인하여 사용자 계정 입력 건이 다수 확인되었습니다. 또한 계정 정보 입력 시 스마트키 계정 외 이메일 및 개인 계정 정보 입력하는 사례가 식별되었으며 이를 통해 공격자의 의도(단위 시스템 계정 탈취) 이상의 정보 탈취 가능성이 확인되었습니다.

향후 실제 피싱 공격 발생 시 피해 예방을 위해 비밀번호 변경, 2단계 인증 설정, 의심스러운 링크 및 첨부파일 실행 지양, 공식 앱/웹 사이트 이용 등 주기적인 관심과 노력을 통해 침해사고 피해를 예방해야 합니다.

정보통신원은 증가하는 계정 정보 유출 보안 위협에 대해 관련 내용 지속 안내 및 모의 훈련의 지속 수행을 통해 구성원의 관심 및 보안 강화를 위해 노력하겠습니다.