지난해 전송된 모든 이메일의 절반에 달하는 45%가 불법 스팸(spam)이었던 것으로 나타났다.
글로벌 보안기업 카스퍼스키는 지난해 전 세계 이메일 트래픽의 44.99%가 스팸이었다고 26일 밝혔다. 스팸은 단순히 원치 않는 광고성 이메일뿐만 아니라 스캠(사기), 피싱(개인정보 탈취), 악성코드(멀웨어) 등 다양한 이메일 기반 위협을 포함한다.
카스퍼스키에 따르면 지난해 개인과 기업 근로자는 1억4400만건 이상의 악성 또는 원치 않는 이메일 첨부파일을 접했다. 이는 전년 대비 15% 증가한 수치다.
지역별로는 아시아태평양(APAC) 지역의 이메일 위협 탐지 비중이 30%로 가장 높았다. 국가별로는 중국과 러시아의 탐지 비율이 높게 나타났다. 이어 유럽(21%), 남아메리카(16%), 중동(15%) 순이었다.
인공지능(AI)의 확산으로 이메일 공격은 점점 더 정교해지는 추세다. 카스퍼스키는 "최근 이메일 공격은 이메일을 메신저·전화 등과 연계해 추가 접촉을 시도하거나 QR코드나 링크 보호 서비스로 피싱 주소를 숨기는 등 다양한 우회 기법이 활용되고 있다"라고 설명했다.
또 오픈AI의 챗GPT 같은 합법적인 AI 플랫폼을 악용하는 사례도 포착됐다. 카스퍼스키는 "오픈AI의 조직 생성이나 팀 초대 기능을 악용해 스팸 이메일을 발송하는 사기 수법을 발견했다"라며 "비즈니스 이메일 침해(BEC) 수법까지 고도화하는 등 위협 행위자들이 점점 더 정교하고 다층적인 공격 방식을 구사하고 있다"고 했다.
로만 데데녹 카스퍼스키 안티스팸 전문가는 "이메일 피싱을 과소평가해서는 안된다"라며 "기업 대상 공격 10건 중 1건은 피싱으로 시작되며, 이 중 상당수는 지능형 지속 위협(APT)다"라고 말했다. 그는 "생성형 AI의 상용화는 이런 위협을 크게 증폭했다"라며 "이제는 특정 공격 대상에 맞춰 톤, 언어, 맥락 등을 자동으로 조정해 설득력 있고 개인화된 피싱 메시지를 대규모로 제작할 수 있게 됐다"고 했다.
카스퍼스키는 이런 이메일 기반 공격이 기업 침해의 주요 시작점이 될 수 있다며 예상하지 못한 초대나 링크를 항상 의심하고, 클릭하기 전에 인터넷주소(URL)를 확인해야 한다고 조언했다. 기업은 메일 보안 솔루션 도입, 스마트폰을 포함한 모든 임직원 기기에 강력한 보안 소프트웨어 설치, 최신 피싱 수법에 대한 정기적인 보안 교육을 통해 대응해야 한다고 권고했다.