연말을 앞두고 직원들의 기대감을 자극하는 공지 하나가 온라인에서 화제가 됐다. 제목은 ‘특별 성과급 지급 안내’. 하지만 클릭한 순간 나타난 것은 축하 메시지가 아닌 보안 경고 화면이었다.
최근 한 기업이 실시한 내부 악성 메일 대응 훈련이 온라인 커뮤니티를 통해 알려지면서, 현실적인 보안 취약성을 적나라하게 드러냈다는 평가가 나온다
▲ 성과급 공지 가장한 메일…클릭 후 드러난 정체
공개된 사례에 따르면, 직원들에게 발송된 메일은 연말 분위기에 맞춰 감사 인사와 함께 성과급 지급 계획을 알리는 형식이었다. 지급 대상과 일정, 개인별 확인 안내까지 실제 공지와 크게 다르지 않아 의심을 피했다.
메일 하단에는 ‘개인별 명세서 확인’ 버튼이 있었고, 이를 클릭하자 화면에는 “피싱 링크를 클릭했다”는 안내 문구가 나타났다. 실제 해킹이 아닌, 사내 IT 보안팀이 진행한 모의 훈련이라는 설명도 함께 표시됐다.
▲ “현실이었다면 피해는 치명적”
해당 화면에는 만약 실제 공격이었다면 금전 피해나 개인정보 유출로 이어질 수 있었을 것이라는 경고도 담겼다. 단 한 번의 클릭이 기업 전체의 보안 리스크로 확산될 수 있다는 점을 체감하게 한 셈이다.
이 사례가 알려지자 누리꾼들은 “이건 누구라도 속을 수 있다”, “연봉·성과급처럼 돈이 걸린 메시지는 가장 위험하다”는 반응을 보였다. 보안 실무자라고 밝힌 한 이용자는 “메일 제목보다 발신 주소와 링크 경로 확인이 훨씬 중요하다”고 조언했다.
▲ 갈수록 교묘해지는 피싱…보안 인식이 관건
전문가들은 최근 피싱 메일이 단순한 경고 문구나 과장된 표현을 넘어, 실제 기업 공지와 구분하기 어려운 수준으로 정교해졌다고 지적한다. 특히 연말·인사 시즌·복지 안내 등 직원들의 심리를 자극하는 시점이 주요 타깃이 된다.
이번 사례는 단순한 해프닝을 넘어, “보안은 시스템보다 사람의 문제”라는 오래된 경고를 다시 떠올리게 한다. 기업 차원의 기술적 방어뿐 아니라, 구성원 개개인의 기본적인 확인 습관이 가장 현실적인 보안 수단이라는 점을 보여준 사례다.