최근 5년 간 미국 내 사이버 범죄 피해 추이 (출처: FBI)

FBI 2024년 연간 인터넷 범죄 분석 

미국 연방수사국(FBI) 인터넷범죄신고센터(IC3)가 23일 발간한 2024 연간 인터넷 범죄 보고서에 따르면, 지난해 85만 9,532건의 사이버 범죄 피해 신고가 접수 됐으며, 피해 총액은 166억달러였습니다. 이는 전년 대비 33% 증가한 수치입니다. 이중 실제 피해가 일어난 것은 25만 6,256건이었으며, 사건당 평균 피해 금액 은 1만 9,372달러였습니다. 

가장 흔하게 나타난 공격 방식은 피싱 및 스푸핑으로 전체 중 22.5% 차지했으며 갈취가 10%, 개인정보 유출이 7.5%로 뒤를 이었습니다. 투자 사기 관련 사이버 범죄 피해 규모가 650만달러로 가장 컸고, 기업 이메일 공격과 기술 지원 사칭으로 인한 피해가 각각 277만달러와 146만달러였습니다. 개인정보 유출로 인한 피해도 145만달러에 달했습니다. 

연령대별 사이버 범죄 피해 규모 (출처: FBI)

FBI가 발표한 사이버 위협 연령대별 통계 

연령대별 사이버 범죄 피해를 조사한 결과, 특히 노인들이 사이버 공격에 취약해 가장 많은 피해를 보는 것으로 드러났습니다. 60세 이상 인구 집단은 14만 7,127건 의 신고를 접수했고, 피해액은 48억달러였습니다. 신고 건수와 피해 금액 모두 전체 연령별 집단 중 가장 많았습니다. 

콜센터나 교통 범칙금을 통보하는 경찰 등을 사칭해 돈이나 개인정보를 가로채는 인터넷 사기 피해액이 137억달러로 전체 사이버 범죄 피해의 대부분을 차지했습니다. 랜섬웨어나 DDos 등 디지털 인프라에 대한 공격으로 인한 피해는 15억 7,100 만달러였습니다. 전체 신고의 9%를 차지한 랜섬웨어 공격이 인프라에 대한 가장 큰 위협으로 평가되었습니다.

인기 있는 소셜 플랫폼과 금융 사이트를 사칭한 피싱 사이트 (출처: Fortinet) 

진화하는 사이버 위협, 피싱

피싱 전술이 더욱 정교해짐에 따라 공격자들은 다양한 플랫폼과 서비스로 공격 대상을 확대하고 있습니다. AI의 활용은 이러한 기법을 더욱 정교하게 만들어 피싱 시도를 더욱 기만적이고 탐지하기 어렵게 만들었습니다. 

조직은 빠르게 진화하는 위협 환경에 발맞춰 방어 체계를 강화해야 합니다. 이 메일 필터나 블랙리스트와 같은 기존 방어 체계는 알려진 위협을 차단할 수 있지만, 신종 및 AI 기반 피싱 공격에는 효과가 떨어집니다. 실시간 안티피싱 (RTAP) 솔루션은 AI와 머신러닝을 활용하여 대규모 피싱 캠페인과 고도로 표적화된 스피어피싱 공격을 실시간으로 식별하고 완화함으로써 이러한 과제를 해결하는 데 도움을 줍니다. 

결론

최근 다수 발견된 피싱은 단순한 수준을 넘어서 정교한 복제 기술과 다크웹 기반 유통망을 통해 실제 사이트와 거의 구별이 불가능한 수준으로 진화하고 있습니다. 특히 다크웹에서 프론트 및 백앤드 통합 복제 서비스가 거래되고, 도메인 위장 기법이 고도화되면서 피해자는 물론 정상 기업에도 심각한 피해를 유발하고 있습니다. 또한, 단일 도메인 내에서 국가별 피싱 페이지를 운영하는 정황은 다수의 사기 캠페인이 전 세계적으로 확산되고 있음을 시사합니다. 

사용자, 기업 및 보안 담당자 대응 방안

 • 사용자 측 대응방안 

  1. 도메인 철자와 형식을 주의 깊게 확인하고 자주 이용하는 사이트는 북마크를 활용해 접속하는 방법이 좋습니다. 

  2. 사칭 사이트는 로그인 필드만 존재하거나 입력 시 비 정상적인 리다이렉션이 발생하는 경우가 많아 이상 징후에 주의를 기울여야 합니다.

 • 기업 및 보안 담당자 대응 방안 

  1. 브랜드 보호 차원에서 유사 도메인 등록 여부를 주기적으로 모니터링합니다. 

  2. DNS 및 방화벽 보안 장비에 IOC를 등록하여 위협 도메인을 차단하고, 기타 보안솔루션에도 연동해 사전 대응력을 높이는 것이 중요합니다. 

  3. 고객을 대상으로 자사 공식 도메인을 안내하고 피해 사례 발생 시 빠르게 공지하여 신뢰를 유지할 필요가 있습니다. 

  4. 다크웹 모니터링을 통해 위협 조기 탐지 및 대응체계를 갖추는 것도 권장됩니다