[디지털투데이 강진규 기자] 올해 실시된 정부·공공기관 모의해킹 훈련 과정에서 여러 기관들이 해킹 이메일 공격에 허점을 드러낸 것으로 나타났다. 최근 해킹 이메일 위협이 고조되는 상황에서 실제 사고가 발생할 수 있다는 우려가 나오고 있다.

국가정보원이 연이어 해킹 이메일 공격을 경고했다. 23일 국정원은 카드뉴스를 통해 북한 등의 해킹 조직의 해킹 수법 중 74%가 네이버, 카카오, 다음 등을 사칭한 이메일 전송이라며 정상 이메일을 가장해 교묘하게 공격하고 있다고 주의를 당부했다. 이어 26일에는 해킹 이메일 수법을 소개하며 보낸 사람의 메일 주소를 확인해 보면 포털 공식 이메일로 오인할 수 있는 주소를 사용하고 있다고 경고했다.

해킹 이메일은 오래 전부터 사용된 수법이다. 공공기관, 서비스 업체 등을 사칭해 악성코드 또는 가짜 사이트 링크가 포함된 이메일을 보내는 방식이다. 사칭 방식이 최근에는 더 교묘해 지고 있다. 이에 해킹 이메일의 위험이 지속적으로 전파되고 있지만 여전히 허점이 곳곳에서 드러나고 있는 것으로 알려졌다. 

보안이 중요한 A기관의 경우 올해 1분기 1300여명의 직원들을 대상으로 해킹 이메일 훈련을 진행했다. 앞서 국정원이 경고한 것처럼 카카오에서 이메일을 보낸 것으로 위장된 모의 해킹 이메일을 보낸 것이다. 그런데 1% 10여명의 직원들이 해당 이메일을 열람했고 그중 절반은 열람 후 신고하지 않았다고 한다.

B지자체는 보안 훈련의 일환으로 최근 임의로 560여명의 직원들을 선정해 기관들을 사칭하는 모의 해킹 이메일을 발송했다. 이중 16.6%인 93명이 모의 해킹 이메일을 열람했으며 일부는 악성코드에 감염될 수 있는 링크에 접근한 것으로 알려졌다.

C지자체의 경우도 최근 훈련에서 200여명의 직원들을 대상으로 모의 해킹 이메일을 수차례 발송했다. 최소 9%에서 28%까지 열람율이 나왔다고 한다. 더구나 국정원이 경고한 포털 사이트 사칭 방식의 경우 열람한 기관 직원들 중 단 1명도 열람 후 보안 부서에 신고하지 않았다고 한다.

최근 모의훈련을 진행한 D기관 관계자는 “솔직히 전년과 대비해 모의 해킹 이메일 열람이나 파일 실행 등이 증가했다”며 “열람자들의 상당수가 1분안에 무의식적으로 클릭한 것으로 분석됐다”고 말했다.

업계 관계자들은 민간 기관, 기업들의 경우 보안 수준이 더 심각할 수 있다고 보고 있다. 전문가들은 기업, 기관 내에서 단 1명이 해킹을 당하더라도 전체 조직의 피해로 이어질 수 있는 만큼 보안 의식을 더욱 강화해야 한다고 지적하고 있다.