- APAC 탐지 비율 30%로 최고…QR코드·합법 플랫폼 악용·BEC 고도화

 

카스퍼스키가 2025년 이메일 위협 분석 결과를 발표하며, 전 세계 이메일 트래픽의 44.99%가 스팸으로 집계됐다고 밝혔다. 자사 텔레메트리 데이터를 기반으로 분석한 결과, 악성 및 잠재적으로 원치 않는 이메일 첨부파일 탐지 건수는 1억4,400만 건 이상으로 전년 대비 15% 증가했다.

 

이메일 위협, 다시 확대 국면

스팸에는 단순 광고성 메일뿐 아니라 스캠, 피싱, 악성코드가 포함된다. 2025년 한 해 동안 개인과 기업 모두 이메일 기반 공격에 광범위하게 노출됐다. 이메일 안티바이러스 탐지 비중은 아시아태평양(APAC)이 30%로 가장 높았다. 유럽 21%, 라틴아메리카 16%, 중동 15%, 러시아 및 독립국가연합 12%, 아프리카 6% 순으로 나타났다. 국가별로는 중국이 14%로 가장 높았고, 러시아 11%, 멕시코와 스페인 각각 8%, 터키 5%로 집계됐다. 탐지 건수는 6월, 7월, 11월에 상대적으로 높은 증가세를 보였다.

 

이메일, 다채널 공격의 출발점으로 진화

보고서는 이메일이 단독 공격 수단을 넘어 메신저와 전화 등 다른 채널과 결합하는 다층 공격의 출발점으로 진화하고 있다고 분석했다. 공격자는 이메일을 통해 피해자를 가짜 웹사이트로 유도한 뒤, 전화나 메신저로 추가 접촉을 시도한다. QR코드와 링크 보호 서비스 등 우회 기법도 적극 활용한다. 이메일 본문이나 PDF에 삽입된 QR코드는 피싱 URL을 은폐하고 모바일 기기 접속을 유도한다. 기업용 PC보다 보안 통제가 약할 수 있는 모바일 기기를 경유해 공격을 확장하는 구조다.

 

합법 플랫폼 악용과 BEC 수법 고도화

카스퍼스키는 OpenAI의 조직 생성 및 팀 초대 기능을 악용해 합법적 발신 주소에서 스팸 메일을 발송하는 사례를 확인했다. 합법 플랫폼을 이용해 신뢰도를 위장하는 방식이다. 캘린더 기반 피싱 기법도 기업 사용자를 주요 대상으로 다시 등장했다. 비즈니스 이메일 침해(BEC) 공격은 가짜 전달 메일을 삽입하는 방식으로 정교해졌다. 스레드 인덱스 헤더 등 주요 정보 없이 구성해 이메일 대화 맥락 안에서 진위 판단을 어렵게 만드는 수법이다.

 

기업 공격 10건 중 1건, 피싱에서 시작

카스퍼스키 로만 데데녹 안티스팸 전문가는 기업 대상 공격 10건 중 1건이 피싱에서 시작하며 상당수는 지능형 지속 위협(APT)으로 이어진다고 설명했다. 2025년에는 표적형 이메일 공격의 정교함이 더욱 강화됐고, 생성형 AI 확산이 개인화된 피싱 메시지 대량 제작을 가속하고 있다고 밝혔다.

 

카스퍼스키 이효은 한국지사장은 디지털 의존도가 높은 한국 환경에서 이메일 기반 위협이 개인과 기업 모두에 실질적 위험으로 작용하고 있다고 언급하며, 진화하는 공격 전술에 대응하기 위한 보안 전략 강화를 강조했다.

 

보고서는 이메일이 여전히 공격의 출발점으로 기능하고 있으며, 다층적이고 정교한 위협 양상이 2026년에도 이어질 것으로 전망했다.

 

#카스퍼스키 #이메일보안 #스팸메일 #피싱공격 #BEC #OpenAI #APT #사이버위협