포스코 직원들, 피싱메일 대처 미흡

1분기 생활보안 점검 결과 192명 낚여

[아시아경제 박민규 기자] 낚시성 메일(피싱메일)에 대한 포스코 직원들의 대처 요령이 여전히 미흡한 것으로 나타났다.

20일 포스코에 따르면 최근 올 1·4분기 생활보안 점검 때 직원들을 대상으로 '회원 가입만 해도 이승기 등산복이 쏟아진다'는 내용의 피싱메일을 발송한 결과 192명의 직원이 개인정보를 제공했다. 이 중 27명은 피싱메일 2회 이상 응대자였다. 지난해 말 기준 포스코의 총 직원 수는 1만7553명이다. 100명 중 1명이 피싱메일에 걸린 셈이다.

포스코는 지난해 6월 모의 피싱메일을 처음 발송한 이래 지속적으로 그 위험성을 알리고 개인정보 제공 요구에 응대하지 않도록 안내해왔다.

그럼에도 불구하고 여전히 일부 직원은 피싱메일이 보안시스템에서 자동으로 차단될 것으로 생각하는 등 피싱메일 예방에 대한 인식이 부족한 것으로 나타났다.

하루 동안 포스코 사내 서버를 통해 유입되는 66만건의 메일 중 56만건(85%)은 특정 발신자나 음란·스팸성 문자열의 필터링을 거쳐 정책적으로 사전 차단된다. 그러나 정상적으로 유입되는 10만건의 메일도 800여건의 잠재적 피싱메일을 포함하고 있어 임직원의 자발적 노력 없이 100% 차단하는 것은 원천적으로 불가능하다.

회사 PC를 통해 개인정보를 제공하거나 첨부된 파일을 열어 악성코드가 유입될 경우 그 PC는 좀비PC가 돼 조업에 심각한 장애를 일으킬 수 있다. 좀비PC는 컴퓨터 바이러스에 감염된 채 사용자가 알지 못하게 스팸메일을 보내는 등 원격조종을 당하기 때문이다.

실제 지난 2010년 산업기반시설 공격 바이러스인 '스턱스넷'이 이란의 원전시설을 해킹해 핵심 시설인 원심분리기 1000대에 심각한 피해를 입힌 바 있다.

이런 피해를 막기 위해 포스코는 최근 ▲출처가 의심스럽거나 모르는 사람에게서 온 메일 즉시 삭제 ▲메신저로 금전요청 시 반드시 전화로 본인여부 확인 ▲모르는 사람에게서 금전이나 은행업무 관련 전화가 오면 무조건 전화금융사기(보이스피싱)로 판단 ▲금융계좌 및 공인인증서 비밀번호는 서로 다르게 설정 등의 피싱 예방법을 안내했다.

포스코 관계자는 "2분기 생활보안 점검에서도 피싱메일에 대한 강도 높은 검사에 나서 직원들의 인식 변화를 도모할 것"이라고 말했다.