Flitto 모의훈련 결과 분석

2025년 상반기 실시된 모의 피싱 훈련 결과를 종합 분석합니다.

1차 훈련 결과

29%
감염률
대상 160명 중 46명 감염

2차 훈련 결과

16%
감염률
대상 160명 중 26명 감염

개선 효과

45%
감염률 감소
1차 대비 13%p 개선

훈련 참여 현황 비교

열람률 추이 분석

감염률 추이 분석

신고률 추이 분석

핵심 분석 결과

  • 열람률 증가: 1차 93명(58%) → 2차 119명(74%) (16%p 증가)
  • 감염률 개선: 1차 46명(29%) → 2차 26명(16%) (45% 감소)
  • 신고률 저조: 1차 10명(6%) → 2차 5명(3%)로 오히려 감소
  • 교육 필요: 특히 피싱 메일 식별 및 신고 절차 강화 요구

보안 교육 자료

계정 정보의 안전한 관리를 위한 내부 교육 및 스팸 메일과 피싱 공격의 위험성을 이해하고 올바른 대응 방법을 학습합니다.

계정 정보 보안의 중요성

보안 위협 현황

최근 2년간 77%의 회사가 최소 한 번 이상의 사이버 사고를 경험했으며, 회사에서 발생한 사이버 사고의 38%는 실제 사람의 실수로 인해 발생했습니다.

특히 부적절한 IT 리소스 사용과 직원의 IT 보안 위반은 사고 한 건당 평균 $337,561의 비용을 발생시킵니다.

1
비밀번호 관리 보안 수칙

권장 사항
길고 복잡한 비밀번호 사용
각 계정마다 서로 다른 고유한 비밀번호 사용

금지 사항
추측 가능한 힌트 비밀번호 사용

2단계 인증 활용
비밀번호 외에도 SMS, 인증 애플리케이션 또는 물리적 보안 키를 통해 추가 보안 제공

2
계정 정보 저장 금지
저장 금지 대상 정보

로그인 계정 정보 (아이디, 비밀번호)
개인정보 (주민등록번호, 여권번호, 운전면허번호)
고객 정보 및 업무 관련 중요 데이터
시스템 접근 권한 정보

안전한 정보 관리 방법

회사에서 승인한 보안 시스템에만 저장
암호화된 저장소 사용
접근 권한 통제가 가능한 시스템 활용
한글 파일은 개인정보 가리기 기능 사용 및 PDF 변환 권장
엑셀 파일은 배경색과 동일한 글자색 설정으로 숨겨진 정보 확인
인쇄물 책상이나 프린터에 방치 금지

3
실무 보안 수칙
일상 업무 중 보안 수칙

출근 시
시스템 로그인 후 최신 보안 업데이트 확인
의심스러운 이메일이나 파일 확인

업무 시
화면보호기 설정
외부인 접촉 시 신분 확인 후 업무 관련 정보 제공
첨부파일 실행 전 출처 확인

퇴근 시
PC 및 장비 전원 차단
중요 문서 및 저장매체 안전한 장소 보관

스팸 메일 열람의 위험성

스팸 메일 속 웹 비콘(Web Beacon)의 작동 원리

메일을 열어보는 것만으로도 공격자에게 중요한 정보가 노출됩니다!

1
메일 속 보이지 않는 미끼 설치

공격자가 메일 본문에 1x1 픽셀 크기의 투명한 이미지를 삽입

2
신호 전송

사용자가 메일을 열면 이미지가 공격자 서버로 자동 신호 전송

3
타겟 확정

"살아있는 타겟"으로 낙인찍혀 추가 공격의 최우선 대상이 됨

4
정보 수집

메일 열람 시간, IP 주소, 접속 환경 등 2차 공격 준비 정보 수집

악성 링크 클릭 시 피해 사례

유형 1: "내부 보안 점검 보고서" 시나리오 (랜섬웨어 감염)

랜섬웨어 감염 과정
1단계: 첨부파일 다운로드 및 실행
2단계: 시스템 전체 파일 암호화 시작
3단계: 모든 문서, 이미지, 데이터베이스 파일 사용 불가
4단계: 업무 완전 마비, 생산 활동 중단
5단계: 복구를 위한 거액의 금전 요구 (복구 보장 불가)

유형 2: "그룹웨어 비밀번호 정책 변경" 시나리오 (피싱 사이트)

피싱 공격 과정
1단계: 가짜 로그인 페이지로 유도
2단계: 아이디, 비밀번호 입력 시 즉시 탈취
3단계: 내부 시스템 무단 접근으로 기밀정보 유출
4단계: 동료 및 거래처 대상 2차 피해 발생
5단계: 신뢰도 추락 및 법적 책임 문제 발생

실제 피해 사례

A사 피싱 사이트 피해 사례

공격 유형: 급여명세서 위장 메일

피해 규모: 생산라인 3일 중단, 복구비용 5억원, 고객정보 30만건 유출

심각

B사 랜섬웨어 피해 사례

공격 유형: 안내 링크를 통한 랜섬웨어 감염

피해 규모: 파일 복구 비용 비트코인 송금

심각

보안 위협 대응 수칙 3단계

🔍

1단계: 발신자를 의심하라

  • 아는 사람이라도 평소와 다른 내용이면 의심
  • 이메일 주소를 정밀 확인 (security@회사명.co.kr vs security@회사명.com)
  • 메신저나 유선으로 직접 확인하는 습관 형성
  • 발신자 표시명 위조 가능성 항상 염두
⚠️

2단계: 제목과 내용을 의심하라

  • 긴급, 경고, 계정 정지 등 불안감 조성 문구 주의
  • 이벤트 당첨, 특별 보너스 등 호기심 자극 문구 주의
  • 맞춤법이나 번역기를 돌린 듯한 어색한 문장
  • 과도한 시급함이나 기밀성 강조 주의
🚫

3단계: 첨부파일과 링크는 절대 금지

  • 링크 위에 마우스 커서를 올려 실제 주소 확인
  • .exe, .scr, .zip, .egg 첨부파일 절대 실행 금지
  • PDF, 워드, 엑셀로 위장한 악성코드도 주의
  • 의심스러운 경우 즉시 보안팀에 신고

보안 지식 평가

보안 교육 내용을 바탕으로 한 퀴즈를 통해 보안 지식을 테스트합니다.

1 / 10

모의 피싱 훈련 결과 보고서

작성일: 2025년 5월 30일

작성자: Infra Security Lab

1. 훈련 개요 및 참여 현황

구분 1차 훈련 2차 훈련 비고
실시 일자 2025.05.19 2025.05.26 -
대상 인원 160명 160명 전직원 대상
참여 인원 93명 (58%) 119명 (74%) 16%p 향상
감염 인원 46명 (29%) 26명 (16%) 13%p 개선
신고 인원 10명 (6%) 5명 (3%) 3%p 감소

2. 주요 결과 분석

개선 사항
  • 감염률 현저한 감소: 29% → 16% (45% 개선)
  • 반복 교육을 통한 보안 인식 제고 효과 확인
취약 사항
  • 신고률 감소로 인한 보안 사고 조기 차단 능력 저하
  • 일부 부서별 편차가 크게 나타남

3. 취약점 식별 및 원인 분석

피싱 메일 식별 능력

발신자 위조, 도메인 유사성 등에 대한 인식 부족으로 인한 높은 감염률

신고 절차

의심스러운 메일 발견 시 신고 방법 및 중요성에 대한 이해 필요

보안 교육

분기별 또는 년 단위 교육으로는 보안 의식 강화

4. 개선 효과 확인

감염률 개선
45% 감소

1차 29% → 2차 16%

5. 보안 교육 필요성 및 방향성

  • 실전형 시나리오 기반 교육 강화
  • 부서별 맞춤형 교육 프로그램 개발
  • 신고 절차 간소화
  • 보안 의식 제고를 위한 지속적인 캠페인 운영