메인 콘텐츠로 건너뛰기
AlphaView LogoAlphaView
MSFT logo
MSFTNASDAQ부정AI/기술

Paubox 보고서: 2025년 의료 기관 75% 가까이가 이메일을 통해 침해당했으며, 기본적인 인증 보호 장치 부족

Business Wire
중요도

AI 요약

MSFT는 2025년 의료 기관 이메일 보안 사고의 53%에서 주요

이메일 플랫폼으로 사용되어 악재로 작용했습니다.

이는 전년 대비 10%p 증가한 수치로, MSFT의 보안 솔루션 채택률이 높아졌음에도 불구하고 기본적인 이메일 인증 설정 미비로 인한 사고가 증가했음을 시사합니다.

Paubox 보고서에 따르면, MSFT 365를 사용하는 기관의 3분의 1이 DMARC 설정을 모니터링 모드로만 사용하고 절반 가까이가 SPF 정책을 제대로 적용하지 않아 보안 리스크가 확대되었습니다.

핵심 포인트

  • MSFT는 2025년 의료 기관 이메일 보안 사고의 53%에서 주요 이메일 플랫폼으로 사용되어 악재로 작용했습니다.
  • 이는 전년 대비 10%p 증가한 수치로, MSFT의 보안 솔루션 채택률이 높아졌음에도 불구하고 기본적인 이메일 인증 설정 미비로 인한 사고가 증가했음을 시사합니다.
  • Paubox 보고서에 따르면, MSFT 365를 사용하는 기관의 3분의 1이 DMARC 설정을 모니터링 모드로만 사용하고 절반 가까이가 SPF 정책을 제대로 적용하지 않아 보안 리스크가 확대되었습니다.

긍정 / 부정 요인

부정 요인

  • Paubox 보고서: 2025년 의료 기관 이메일 보안 사고의 53%에서 Microsoft 365 사용
  • Microsoft 365 사용 기관의 3분의 1이 DMARC 모니터링 모드만 사용
  • Microsoft 365 사용 기관의 거의 절반이 SPF 정책 미비

기사 전문

**의료기관 이메일 보안, 여전히 취약… MSFT 플랫폼 사용 기관서도 허점 노출** **[2026년 의료 이메일 보안 보고서 분석] 74% 스푸핑 이메일 방지 정책 부재, 절반 이상 발신자 인증 실패** 최근 발표된 '2026년 의료 이메일 보안 보고서'에 따르면, 2025년 미국 보건복지부(HHS)에 보고된 170건의 의료기관 이메일 관련 침해 사고 중 약 4분의 3이 위조된 이메일을 직원 받은 편지함으로 차단할 효과적인 정책을 갖추지 못한 것으로 나타났습니다. 또한, 절반 이상은 수신된 이메일이 승인된 발신자로부터 온 것인지 확인하는 절차를 제대로 이행하지 않았습니다. HIPAA 규정을 준수하는 이메일 보안 기업 Paubox가 발표한 이번 보고서는 2025년 1월부터 12월까지 미국 보건복지부 민권국(Office for Civil Rights)에 공개된 170건의 이메일 침해 사고를 분석했습니다. Paubox는 각 침해 기관의 공개적으로 관찰 가능한 이메일 설정을 평가했으며, 여기에는 이메일 인증의 기반을 이루는 세 가지 프로토콜인 DMARC, SPF, MTA-STS가 포함되었습니다. DMARC는 수신 서버에 인증 실패 메시지를 어떻게 처리할지 지시하며, SPF는 이메일이 승인된 서버에서 발송되었는지 확인합니다. MTA-STS는 메일 서버 간의 암호화된 연결을 요구하여 가로채기를 방지합니다. **기본적인 보안 설정조차 미흡** 분석 대상 기관의 74%는 DMARC 정책이 전혀 없거나, 실패한 메시지를 기록만 할 뿐 차단하지 않는 '모니터링 전용 모드(monitor-only mode)'로 설정되어 있었습니다. 절반 이상은 허용적이거나 누락된 SPF 레코드를 사용하여 승인되지 않은 서버의 메시지가 여전히 전달될 수 있었습니다. 또한, 침해된 기관 중 단 한 곳도 메일 서버 간의 연결을 암호화하는 MTA-STS를 시행하지 않았습니다. 이러한 설정들은 수년간 연방 기관 및 산업 단체에서 권장해 온 기본적인 수준의 구성입니다. **침해 사고의 절반 이상, Microsoft 365 플랫폼 사용 기관에서 발생** 침해된 기관의 53%는 주 이메일 플랫폼으로 Microsoft 365를 사용하고 있었으며, 이는 2024년의 43%에서 증가한 수치입니다. 이들 중 3분의 1은 DMARC를 모니터링 전용 모드로 설정했고, 거의 절반은 '소프트 실패(soft-fail)' SPF 정책을 사용했습니다. 보고서는 Microsoft 365 플랫폼이 이러한 설정을 올바르게 구성할 수 있는 도구를 제공하지만, 많은 기관이 이를 제대로 이행하지 않고 있다고 지적했습니다. **침해 건수는 줄었지만, 보안 수준은 약화** 2025년 침해된 기관의 총 수는 2024년의 180곳에서 170곳으로 감소했습니다. 하지만 침해를 당한 기관들의 평균적인 보안 구성 수준은 더 나빠졌습니다. 인증 및 암호화 설정에 기반한 최고 위험 범주에 속한 기관은 41%로, 전년도의 31%에서 증가했습니다. 반면, 최저 위험 범주에 속한 기관은 이전 1%와 비교했을 때 0%로 나타났습니다. **2026년, 효과적인 이메일 보안의 모습** Paubox는 이러한 보안 격차를 해소하고자 하는 의료기관들을 위해 몇 가지 원칙을 제시했습니다. 가장 기본적인 원칙은 '보내는 모든 이메일과 받는 모든 이메일을 안전하게 보호하는 것'입니다. 수동으로 암호화를 트리거하거나 직원이 보안 포털 사용 여부를 선택해야 하는 기관은 우발적인 정보 노출 비율이 일관되게 높게 나타났습니다. Paubox는 모든 아웃바운드 이메일에 대한 자동 암호화와 인바운드 이메일 보안을 위한 AI 기반 위협 탐지를 권장합니다. Paubox는 8,000개 이상의 조직에서 신뢰받는 HIPAA 규정 준수 이메일 보안 분야의 선두 주자입니다. 기존 플랫폼과 연동하여 모든 이메일을 안전하게 보호하며, G2에서 1위로 평가받고 2026년 베스트 헬스케어 소프트웨어 제품 목록에 이름을 올렸습니다. Paubox는 HIPAA 규정 준수 이메일 암호화, AI 기반 인바운드 이메일 보안, 보관, 데이터 손실 방지, 거래 메시지, 양식 및 이메일 마케팅을 위한 보안 이메일 API 등을 제공합니다.

관련 기사

MSFT logo
MSFTNASDAQ
AI/기술
종목 상세 보기