피싱이란?
피싱 (Phishing)은 가해자가 합법적인 기업이나 평판이 좋은 사람을 사칭하여 신용카드 번호, 개인 식별 번호(PIN), 비밀번호와 같은 개인 및 민감한 정보를 획득하는 사이버 공격이다.
피싱은 기술적 속임수뿐만 아니라 피해자가 악성 링크를 클릭하거나 악성 이메일 첨부 파일을 다운로드 및/또는 열거나 공격자가 향후 공격에 사용할 수 있는 정보를 누설하는 등 공격자를 대신하여 특정 행동을 취하도록 유도하기 위해 고안된 사회공학 전술에 의존한다.
미국 사이버 보안 및 인프라 보안국(CISA)이 운영하는 공동 프로젝트에 따르면 전체 사이버 공격의 90%가 피싱으로 시작한다고 발표했다 . 피싱 공격이 널리 퍼진 주요 이유 중 하나는 공격 방법의 다양성과 사이버 범죄자의 높은 투자 수익률이다.
피싱과 관련된 위험을 완화하기 위해 개인과 조직은 피싱 인식 교육에 우선순위를 두고, 강력한 이메일 필터링을 구현하고, 피싱 방지 클라우드 서비스 사용을 고려하고, 안전한 온라인 행동을 위한 가이드라인를 따라야 한다.
피싱의 작동 방식: 피싱 공격 지표
피싱 시도가 성공할 경우 사기꾼의 주요 목표 중 하나는 피해자의 신뢰를 얻는 것이다. 이를 위해 사기꾼은 기술적 전술과 심리적 전술을 모두 사용하여 잠재적 피해자와의 커뮤니케이션을 신뢰할 수 있고 합법적인 것처럼 보이게 한다.
피싱 사기로부터 보호하려면 이메일, 음성 및 문자 메시지에서 피싱 공격의 징후를 파악하는 것이 중요하다. 로그인 인증 정보, 신용카드 번호, 주민등록번호와 같은 개인 데이터를 요구하는 메시지를 주의해야 한다. 가장 큰 징후 중 하나는 갑작스럽게 민감한 정보를 요청하거나 피해자에게 민감한 정보를 확인하도록 요청하는 것이다. 합법적인 조직은 일반적으로 이메일, 문자 또는 음성 메시지를 통해 이러한 요청을 하지 않는다.
발신자의 연락처 정보가 합법적인 출처에서 예상할 수 있는 것과 정확히 일치하지 않는다면 원치 않는 커뮤니케이션이 피싱 시도일 수 있다는 또 다른 신호이다. 피싱 공격자는 종종 합법적인 기관과 매우 유사한 사기성 이메일 주소와 합법적인 기관의 지역 번호와 일치하지 않는 전화 번호를 사용하기도 한다.
일부 피싱 사기꾼들은 합법적인 이메일 계정이나 전화번호를 도용하여 공격을 수행하기도 한다. 이렇게 하면 연락 정보의 불일치를 발견하기가 더 어려워진다.
통신의 진위 여부를 평가할 때는 메시지 내용, 모양, 요청의 전반적인 맥락과 같은 다른 요소도 고려해야 한다. 민감한 정보 확인을 요청하는 갑작스러운 요구는 피싱 시도일 가능성이 있고, 발신자의 연락처 정보가 신뢰할 수 있는 출처의 정보와 일치하지 않는 경우에도 피싱 시도일 가능성이 높다.
피싱 공격의 유형과 사례
피싱 공격은 다양한 유형의 표적과 공격 목표에 맞게 조정할 수 있다. 이러한 다재다능함 덕분에 사이버 범죄자는 대상과 목표에 맞는 커뮤니케이션 매체를 선택하고 취약한 대상을 찾을 확률을 높이기 위해 넓은 그물을 던지거나 특정 피해자를 잡기 위해 좁은 그물을 던지기도 한다.
피싱 공격의 인기 있는 유형은 다음과 같다:
이메일 피싱
가장 일반적인 피싱 공격 유형이다. 공격자는 은행, 신용카드 회사 또는 정부 기관과 같은 합법적인 출처에서 보낸 것처럼 보이는 이메일을 보낸다. 이 이메일에는 피해자가 클릭하면 실제 웹사이트처럼 보이는 가짜 웹사이트로 이동하는 링크가 포함되어 있는 경우가 많다. 피해자가 가짜 웹사이트에 로그인 자격 증명이나 기타 민감한 정보를 입력하면 사기꾼이 해당 정보를 탈취한다.
생성형 AI를 사용하는 챗봇 덕분에 피싱 공격자는 합법적인 출처에서 보낸 것처럼 보이는 이메일 커뮤니케이션을 그 어느 때보다 쉽게 제작할 수 있다.
다음은 이메일 피싱 사기의 몇 가지 예시다:
- 인보이스 사기: 사기범이 유틸리티 회사나 신용카드 회사 등 합법적인 회사에서 보낸 것처럼 보이는 이메일을 보낸다. 이메일에는 피해자에게 미납된 청구서가 있다며 링크를 클릭하여 청구서를 지불하라고 요청한다. 링크를 클릭하면 피해자는 실제 웹사이트처럼 보이는 가짜 웹사이트로 이동하고 피해자가 가짜 웹사이트에 결제 정보를 입력하면 사기꾼이 정보를 탈취한다.
- 비밀번호 재설정 사기: 사기범이 은행이나 소셜 미디어 웹사이트와 같은 합법적인 회사에서 보낸 것처럼 보이는 이메일을 보낸다. 이메일에는 피해자의 비밀번호가 재설정되었다며 비밀번호를 변경하기 위해 링크를 클릭하라고 요청한다. 링크를 클릭하면 피해자는 실제 웹사이트처럼 보이는 가짜 웹사이트로 이동하고, 피해자가 가짜 웹사이트에 새 비밀번호를 입력하면 사기꾼이 비밀번호를 탈취해 간다.
- 기술 지원 사기: 사기범이 합법적인 기술 지원 회사에서 보낸 것처럼 보이는 이메일을 보낸다. 이메일에는 피해자의 컴퓨터에 문제가 있으니 특정 번호로 전화하여 도움을 요청하라는 내용이 담겨 있다. 피해자가 해당 번호로 전화를 걸면 사기꾼과 연결되며, 사기꾼은 피해자의 컴퓨터에 대한 원격 액세스 권한을 부여하도록 유도하고 사기꾼이 피해자의 컴퓨터에 원격으로 액세스하면 개인 정보를 훔치거나 멀웨어를 설치한다.
스피어(표적화) 피싱
이는 공격자가 피해자에게 특별히 맞춤화된 메시지을 제작하는 보다 표적화된 피싱 공격 유형이다. 예를 들자면, 공격자의 이메일은 피해자의 업무와 관련이 있어 피해자가 이전에 관심을 보였던 주제에 관한 것일 수 있다. 인공 지능(AI)과 머신 러닝(ML)을 활용하여 개인 맞춤화 작업을 하면 피해자가 이메일을 열어볼 가능성이 높아져 사기에 속아 넘어갈 가능성이 더 높아진다.
다음은 스피어 피싱 사기의 몇 가지 예시다:
- 표적 이메일 사기: 사기범이 피해자에게 특별히 맞춤화된 이메일을 보낸다. 이메일에는 피해자의 이름, 회사 또는 기타 개인 정보가 언급되는 경우가 많다. 맞춤화된 이메일은 이메일을 열어볼 가능성을 높이고 피해자가 사기에 속아 넘어갈 가능성을 높힌다.
- 비즈니스 이메일 침해(BEC) 사기: 사기범이 공급업체나 고객과 같은 합법적인 비즈니스 관계자가 보낸 것처럼 보이는 이메일을 보낸다. 이 이메일은 피해자에게 결제 또는 비밀번호 변경을 요청하기도 한다. 사기범은 종종 긴박감을 이용해 피해자가 빨리 행동하도록 압력을 가한다.
- 주요 기관, 인물 사칭: 사기범이 피해자가 알고 있을 가능성이 높은 고위급 간부에게 보낸 것처럼 보이는 이메일을 보냅낸다. 이 이메일은 피해자에게 보통 해외에 있는 특정 계좌로 돈을 송금하도록 요청한다. 사기범은 BEC사기와 마찬가지로 긴박감을 이용해 피해자의 빠른 행동을 유도하고자 압력을 가한다.
웨일링
이러한 유형의 스피어 피싱 공격은 대기업의 최고재무책임자(CFO) 또는 다른 고위 경영진과 같은 ‘매우 큰 물고기’를 노린다.
웨이링 공격의 예시:
- CEO 사기: 사기범이 회사의 최고 경영자가 보낸 것처럼 보이는 이메일을 재무 담당 이사(CFO)에게 보낸다. 이 이메일은 잠재적 피해자에게 사기범을 대신하여 금전적 손실 또는 민감한 정보의 무단 유출을 초래할 수 있는 특정 조치를 즉시 취하도록 촉구한다.
- 공급업체 사칭 사기: 사기범이 피해자의 회사에서 거래하는 사람이 보낸 것처럼 보이는 이메일을 구매 담당 이사에게 보낸다. 이 가짜 이메일은 피해자에게 ‘기한이 지난’ 인보이스에 대한 결제를 승인하거나 대량 주문의 배송 주소를 변경하도록 요청한다.
- 내부 직원 사기: 사기범은 영업 이사를 표적으로 삼아 공격자가 고객 기록의 민감한 정보에 액세스할 수 있는 특정 조치를 취하도록 유도하는 이메일을 보낸다.
스미싱
이러한 유형의 피싱 익스플로잇은 SMS 문자 메시지를 사용하여 대상과 소통한다. 문자 메시지에는 피해자가 클릭하면 가짜 웹사이트로 이동하거나 피해자에게 민감한 정보를 제공하도록 요청하는 링크가 포함되어 있는 경우가 많다.
스미싱 사기의 예시:
- 택배 배송 사기: 사기범이 UPS 또는 FedEx와 같은 배송업체에서 보낸 것처럼 보이는 문자 메시지를 보낸다. 이 메시지에는 피해자에게 소포가 기다리고 있다며 추적하기 위해 링크를 클릭하라고 요청한다. 링크를 클릭하면 피해자는 실제 배송 회사 웹사이트처럼 보이는 가짜 웹사이트로 이동한다. 피해자가 가짜 웹사이트에 개인 정보를 입력하면 사기꾼이 개인 정보를 훔쳐갈 수 있다.
- 은행 사기: 사기범이 뱅크 오브 아메리카 또는 웰스파고와 같은 은행에서 보낸 것처럼 보이는 문자 메시지를 보낸다. 이 메시지에는 피해자의 계정이 유출되었다는 내용과 함께 링크를 클릭하여 정보를 확인하라는 내용이 담겨 있다. 링크를 클릭하면 피해자는 실제 은행 웹사이트처럼 보이는 가짜 웹사이트로 이동한다. 피해자가 가짜 웹사이트에 로그인 자격 증명을 입력하면 사기꾼이 이를 탈취할 수 있다.
- 비밀번호 재설정 사기: 사기범이 Amazon 또는 eBay와 같은 유명 회사에서 보낸 것처럼 보이는 문자 메시지를 보낸다. 이 메시지에는 피해자의 비밀번호가 유출되었다며 비밀번호를 변경하기 위해 링크를 클릭하라는 내용이 담겨 있다. 링크를 클릭하면 피해자는 실제 웹사이트처럼 보이는 가짜 웹사이트로 이동한다. 피해자가 가짜 웹사이트에서 새 비밀번호로 변경하기 위해 기존 비밀번호를 입력하면 사기꾼이 비밀번호를 훔쳐갈 수 있다.
보이스피싱
보이스피싱은 전화로 이루어진다. 공격자는 자신의 목소리 또는 AI가 생성한 음성을 사용하여 합법적인 회사 또는 직원을 사칭한다.
보이스 피싱 예시:
- 기술 지원 사기: 사기범이 피해자에게 전화를 걸어 정식 기술 지원 콜센터 소속이라고 주장한다. 피해자에게 컴퓨터에 문제가 있다고 알리고 원격으로 컴퓨터에 액세스할 수 있는 권한을 요청하고 피해자가 컴퓨터에 원격 액세스 권한을 부여하면 개인 정보를 훔치거나 멀웨어를 설치한다.
- 정부 기관 사칭 사기: 사기범이 피해자에게 전화를 걸어 국세청(IRS) 또는 사회보장국 등 정부 기관에서 왔다고 주장한다. 사기범은 피해자에게 빚이 있다고 알리고 전화로 돈을 지불하라고 요구한다. 이러한 유형의 피싱에서는 사기꾼이 위협이나 협박을 사용하여 피해자가 돈을 지불하도록 압력을 가할 수 있다.
- 경품 사기: 사기범이 피해자에게 전화를 걸어 경품이나 복권에서 당첨되었다고 알려준다. 사기범은 피해자에게 경품을 수령하기 위해 사회 보장 번호 또는 은행 계좌 번호와 같은 개인 정보를 제공하도록 요청한다. 그런 다음 사기범은 피해자의 정보를 사용하여 돈을 훔치거나 신원을 도용 한다.
가상화폐 피싱
이러한 유형의 사기는 가상화폐 투자자와 트레이더를 대상으로 한다. 사기범은 가상화폐 거래소나 지갑 제공 업체와 같은 합법적인 출처에서 보낸 것처럼 보이는 이메일이나 메시지를 보낸다. 이메일이나 메시지에는 피해자가 클릭하면 실제 웹사이트처럼 보이는 가짜 웹사이트로 이동하는 링크가 포함되어 있는 경우가 많다. 피해자가 가짜 웹사이트에 로그인 자격 증명이나 기타 민감한 정보를 입력하면 사기꾼이 해당 정보를 탈취할 수 있다.
가상화폐 피싱의 예시:
- 보안 경고 사기: 사기범이 가상화폐 거래소에서 보낸 것처럼 보이는 이메일을 보내 피해자에게 계정이 유출되었다고 경고한다. 이메일은 피해자에게 계정 확인을 위해 링크를 클릭하도록 요청한다. 링크를 클릭하면 피해자는 실제 거래소 웹사이트처럼 보이는 가짜 웹사이트로 이동한다. 피해자가 가짜 웹사이트에 로그인 자격 증명을 입력하면 사기꾼이 이를 탈취할 수 있다.
- 경품 사기: 사기범이 유명인이나 인플루언서가 보낸 것처럼 보이는 메시지를 소셜 미디어에 보낸다. 이 메시지는 피해자에게 콘테스트 또는 가상화폐 경품 행사에 참가하기 위해 특정 주소로 가상화폐를 보내달라고 요청한다. 해당 주소는 사기범의 소유이며 피해자의 가상화폐가 도난당한다.
- 위조 웹사이트 사기: 사기범은 합법적인 거래소 또는 지갑 제공업체처럼 보이는 가짜 가상화폐 웹사이트를 만든다. 그런 다음 사기꾼은 소셜 미디어나 기타 온라인 플랫폼에 가짜 웹사이트를 광고한다. 피해자가 가짜 웹사이트를 방문하여 로그인 자격 증명을 입력하면 사기범은 이를 탈취할 수 있다.
워터링 홀 공격
워터링 홀 피싱 공격은 특정 산업 또는 시장 부문의 전문가들이 방문할 가능성이 높은 웹사이트를 표적으로 삼는다.
워터링 홀 공격 예시
- 커뮤니티 포럼 사기: 사기범은 특정 분야의 전문가들이 방문할 가능성이 높은 산업별 포럼이나 커뮤니티 웹사이트를 손상시킨다. 표적이 된 개인이 포럼을 방문하면 디바이스가 멀웨어에 감염되거나 자격 증명을 수집하는 가짜 로그인 페이지로 이동하게 된다.
- 직원 포털 사기: 사기꾼은 직원들이 복리후생 관리, 급여 명세서 확인 또는 회사 리소스 액세스를 위해 자주 액세스하는 직원 복리후생 포털 또는 인트라넷 사이트를 표적으로 삼는다. 공격자는 이 포털을 손상시켜 직원의 로그인 자격 증명과 개인 정보를 훔치거나 디바이스에 멀웨어를 주입할 수도 있다. 이 정보는 기업 스파이 활동이나 조직 네트워크 내 추가 공격에 사용될 수 있다.
- 악성 VPN 사기: 공격자가 무료 VPN에 대한 액세스를 제공하는 가짜 웹사이트를 만든다. 가짜 VPN을 사용하기 위해 가입한 사람들은 신용카드 정보를 도난당하고, 사적인 사진과 동영상이 온라인에서 유출되거나 판매되고, 사적인 대화가 녹음되어 공격자의 서버로 전송될 위험에 처하게 된다.
악성 광고
악성 광고 피싱 공격은 합법적인 웹사이트에 악성 광고를 게재한다. 피해자가 광고를 클릭하면 멀웨어에 감염되는 가짜 웹사이트로 이동하게 된다.
악성 광고 피싱의 예시:
- 드라이브 바이 다운로드 사기: 이 유형의 사기는 사용자가 악성 코드에 감염된 웹사이트를 방문하면 악성 코드가 사용자의 컴퓨터에 자동으로 설치될 때 발생한다. 이 멀웨어는 개인 정보를 훔치거나 다른 멀웨어를 설치하거나 컴퓨터를 제어하는 데 사용될 수 있다.
- 팝업 광고 사기: 이 유형의 사기는 사용자의 컴퓨터에 원치 않는 팝업 광고를 표시하는 것을 포함한다. 광고에는 피해자의 브라우저를 가로채는 악성 코드가 포함되어 있거나 공격자가 피해자의 네트워크를 통해 측면으로 이동하여 악용할 다른 취약점을 찾을 수 있다.
- 클릭재킹 사기: 이 유형의 사기는 사용자를 속여 악성 링크나 웹사이트 버튼을 클릭하도록 유도하는 것이다. 링크나 버튼은 합법적인 것처럼 보이지만 실제로는 멀웨어를 설치하거나 개인 정보를 훔치도록 설계되어 있다.
낚시 피싱
이러한 유형의 피싱 공격은 Facebook 및 TikTok과 같은 인기 있는 소셜 미디어 웹사이트를 공격 벡터로 사용한다. 공격자는 가짜 소셜 미디어 계정을 만들어 소셜 미디어 플랫폼에서 실제 사용자와 소통하고 신뢰를 얻는다. 결국 공격자는 피싱 웹사이트로 연결되는 링크가 포함된 다이렉트 메시지(DM)를 보내거나 사이트에 게시물을 게시한다.
낚시 피싱의 예시:
- 소셜 미디어에 대한 불만: 공격자가 회사의 합법적인 고객 서비스 계정처럼 보이는 가짜 소셜 미디어 계정을 만든다. 그런 다음 소셜 미디어에 회사에 대한 불만 사항을 게시한 사람들에게 연락하여 문제 해결을 “도와주겠다”고 제안한다. 그런 다음 공격자는 피해자의 이메일 주소, 전화번호 또는 공격자가 피해자의 신원을 도용하는 데 사용할 수 있는 기타 개인 정보를 요청하는 피싱 웹사이트로 피해자를 유도한다.
- 커뮤니티 페이지 사기: 가짜 커뮤니티 페이지를 만들어 이름, 주소 또는 전화번호와 같은 개인 정보를 입력 해야만 액세스 권한이 부여 가능토록 설계한다. 사기범은 피해자의 정보를 수집한 후 다른 정보와 함께 사기 또는 신원 도용에 사용할 수 있다.
- 환불 사기: 우선, 은행이나 신용카드 회사와 같은 합법적인 회사에서 보낸 것처럼 보이는 이메일이나 문자 메시지를 보낸다. 이메일이나 문자 메시지에는 피해자가 환불을 받아야 한다며 환불을 신청할 수 있는 링크를 제공한다. 이 링크를 클릭하면 피해자는 합법적인 회사의 웹사이트처럼 보이는 가짜 웹사이트로 이동한다. 피해자가 가짜 웹사이트에 개인 정보를 입력하면 공격자가 개인 정보를 탈취할 수 있다.
피싱에 사용되는 심리 전략
공격자를 대신하여 피해자가 특정 행동을 수행하도록 유도하는 피싱 전략은 종종 인간의 심리를 악용한다. 공격자는 신뢰할 수 있는 기관을 사칭하거나, 긴박감을 조성하거나, 피해자를 돕고 싶거나 그룹의 일원이 되고 싶은 피해자의 욕구에 호소함으로써 충동적인 반응을 유도할 수 있다.
이메일 스푸핑, 도메인 모방 또는 멀웨어 전달과 같은 기술적 전술도 중요한 요소이지만, 성공을 결정하는 것은 종종 심리적 조작이다. 사기꾼이 사용하는 대부분의 전략은 잘 알려진 마케팅 기법들이다.
성공적인 공격을 수행하기 위해 사용되는 심리적 전략은 다음과 같다:
- 긴박감 조성하기: 사기범들은 종종 긴박감을 느낄 수 있도록 유도한다. 사람들은 긴급한 사안에 우선순위를 두는 경향이 있으며, 시간이 촉박한 위협을 감지하면 충동적으로 행동할 가능성이 높아진다.
- 공포심 유도: 피해자가 즉시 행동하지 않으면 계정이 정지되거나 법적 조치가 취해질 것이라고 협박한다. 두려움을 느끼는 사람은 충동적으로 반응할 가능성이 높다.
- 호기심 자극: 잘못된 정보나 자극적인 세부 정보를 제공하여 피해자가 링크를 클릭하거나 첨부 파일을 열어 자세한 내용을 알아보도록 유도함으로써 피해자의 호기심을 자극하도록 설계한다.
- 주요 기관, 인물 가칭: CEO, 정부 관계자, 임원 등 중요한 인물을 사칭하는 경우가 많다
- 친숙함에 호소: 알려진 브랜드, 기관 또는 개인에 대한 피해자의 신뢰를 이용하여 안전하다는 인식을 심어준다.
- 희소성 부여: 피해자가 신속하게 조치를 취하도록 동기를 부여하기 위해 독점적 또는 제한된 느낌을 준다.
- 죄책감 유도: 요청에서 해당 요청이 처음 보낸 것이 아니라고 주장하여 피해자가 요청에 응하지 않은 것에 대해 죄책감이나 수치심을 느끼게 하도록 설계한다.
- 사회적 증거: 요청을 신뢰할 수 있고 사회적으로 검증된 것처럼 보이게 하기 위해 가짜 추천, 보증 또는 참조를 제공한다.
- 상호성 장려: 원하는 행동을 취하는 대가로 피해자에게 할인이나 공짜 등 가치 있다고 인식되는 것을 제공한다고 약속한다.
- 과거에 대한 호소: 요청에 피해자가 익숙할만한 상황의 요청이 포함되어 있는 경우.
- 우정에 호소: 피해자의 경계심을 낮추기 위해 동료나 친구의 글쓰기 스타일을 매우 유사하게 모방하여 소통한다.
- 동정심 자극: 피해자의 동정심과 사기범이 곤경에서 벗어나도록 돕고 싶은 마음을 이용한다.
- FOMO(놓칠까 봐 두려워하는 심리) 자극: 공격자는 기회나 중요한 이벤트를 놓칠까 봐 두려워하는 피해자의 심리를 악용한다. 일반적으로 사기꾼은 이벤트에 참여하려면 즉각적인 조치가 필요하다고 주장한다.
- 편견에 호소: 피해자가 익숙한 사회 집단 또는 “단체”에 대한 소속감을 불러일으킨다. 피싱 공격자는 표적과 공통된 정체성이나 특성을 공유하는 출처에서 보낸 것처럼 보이는 피싱 이메일이나 메시지를 제작한다.
피싱에 사용되는 기술적 전략
위의 심리적 전략과 아래의 기술적 전술이 결합되면 피싱 공격이 매우 효과적으로 이루어진다. 심리적 자극에 따라 행동하면 피싱 이메일, 피싱 전화, SMS 문자 메시지에 숨겨져 있는 기술적 함정에 빠지는 경우가 많다. (편집자 Note: 공격을 수행하는 데 필요한 기술력이 부족한 공격자는 다크웹에서 피싱 키트를 구매할 수 있다.)
피싱 공격에 사용되는 기술적 전략은:
이메일 스푸핑: 신뢰할 수 있는 출처에서 보낸 것처럼 보이도록 이메일 헤더를 조작한다. 이메일 스푸핑은 이메일 전송을 위한 표준 프로토콜인 SMTP(Simple Mail Transfer Protocol)의 취약점을 통해 용이하게 이루어진다. SMTP는 이메일 발신자가 제공하는 “보낸 사람” 주소의 정확성을 확인할 필요가 없기 때문에 공격자가 이 정보를 비교적 쉽게 위조할 수 있다.
링크 조작: 이메일에 가짜 링크를 사용하여 피해자를 악성 웹사이트로 유도한다. 공격자는 종종 URL 필터를 우회하기 위해 합법적인 하위 도메인이 포함된 가짜 URL을 삽입한다.
도메인 스푸핑: 공격자는 합법적이고 잘 알려진 도메인 이름과 매우 유사하여 합법적인 것처럼 보이는 도메인 이름을 구매한다.
하위 도메인 탈취: 공격자는 조직의 취약한 하위 도메인을 식별하고 이를 장악하여 피싱 사이트를 호스팅한다.
첨부 파일 기반 공격: 공격자는 악성 코드를 실행하는 매크로 또는 스크립트가 포함된 첨부 파일이 포함된 피싱 이메일을 보낸다. 이 이메일은 일반적으로 수신자가 첨부 파일 내의 매크로 지침이나 악성 스크립트를 실행하도록 유도하기 위해 고안된 사회 공학 전술을 사용한다.
악성 리디렉션: 숨겨진 iFrames 또는 JavaScript를 사용하여 피해자를 합법적인 사이트에서 피싱 페이지로 리디렉션한다.
드라이브 바이 다운로드: 피해자의 브라우저 또는 소프트웨어의 취약점을 악용하여 피해자 몰래 멀웨어를 다운로드하고 설치한다.
난독화 기법: 인코딩 또는 난독화 기술을 사용하여 이메일이나 웹사이트 내에 악성 코드를 숨긴다.
동적 콘텐츠 로딩: 웹 서비스 또는 자바스크립트 프레임워크(예: React 또는 Angular)를 사용하여 웹사이트 코드에 임베드되지 않은 동적 콘텐츠를 생성한다. 즉석에서 생성된 동적 콘텐츠는 정적 분석으로 탐지할 수 없다.
자바스크립트 기반 공격: 이메일이나 손상된 웹사이트에 악성 자바스크립트 코드를 삽입하여 랜섬웨어 공격을 가능하게 하는 멀웨어를 전달한다.
중간자 공격(MitM): 피해자와 합법적인 웹사이트 간의 통신을 가로채 민감한 데이터를 수집한다.
데이터 유출: 피해자의 디바이스에서 훔친 데이터를 공격자가 제어하는 서버로 전송하여 나중에 해당 정보를 사용할 수 있도록 한다.
자격 증명 수집: 인기 있는 서비스에 대한 가짜 로그인 페이지를 만들어 사용자 이름, 비밀번호 및 기타 자격 증명을 수집한다.
세션 하이재킹: 공격자가 활성 세션 쿠키 또는 토큰을 훔쳐 사용자를 사칭하여 계정에 무단으로 액세스한다.
탭 가로채기: 비활성 탭을 피싱 페이지로 대체하여 브라우저 탭에 대한 사용자의 신뢰를 악용한다.
호모그래프 공격: 공격자는 도메인 이름에 라틴 문자와 유사하게 보이는 유니코드 문자를 사용하여 피해자를 속인다.
콘텐츠 스푸핑: 손상된 웹사이트의 웹 콘텐츠를 조작하여 방문자가 공격자에게 이득이 되는 행동에 참여하도록 유도한다.
이메일 포워딩: 공격자는 손상된 이메일 계정에 이메일 필터(규칙)를 설정하여 계정 정보가 포함된 민감한 메시지를 공격자에게 자동으로 전달한다.
DNS 스푸핑: 공격자는 DNS 레코드를 조작하여 사용자가 정상적인 URL을 입력할 때 가짜 웹사이트로 리디렉션한다.
.크로스 사이트 스크립팅(XSS): 공격자가 웹 페이지의 코드에 악성 스크립트를 삽입하여 공격자를 대신하여 작업을 실행한다. XSS는 세션 쿠키를 훔치는 데 사용될 수 있으며, 여기에는 공격자가 피해자를 사칭할 수 있는 로그인 자격 증명 또는 기타 민감한 정보가 포함될 수 있다.
브랜드 사칭: 특정 브랜드 이름에 대한 신뢰를 이용하여 피해자로부터 민감한 정보를 요청한다.
SQL 인젝션: 공격자가 웹사이트의 입력 필드에 특수하게 조작된 SQL 코드를 입력하여 웹사이트가 사용하는 데이터베이스에 무단으로 액세스하는 것을 말한다. SQL 인젝션은 데이터 유출 및 웹 애플리케이션 공격과 더 일반적으로 연관되어 있지만, 피싱 공격에 사용되어 정보를 수집하거나 악성 페이로드를 전달할 수도 있다.
피싱 피해를 방지하려면?
범죄자는 피싱 사기에 성공하여 얻은 민감한 정보로 피해자의 금융 기록, 개인 평판, 직업적 평판에 수년이 걸릴 수 있는 피해를 입힐 수 있다. 피싱 공격에는 심리적 요소와 기술적 요소가 결합되어 그 효과가 증폭되며, 이러한 위협에 대응하기 위한 사이버 보안 교육과 강력한 방어 체계의 중요성이 강조되고 있다.
피싱 공격의 성공을 방지하기 위해 다음과 같은 보안 예방 조치를 권장한다:
- 예상치 못한 이메일 첨부파일은 절대로 열지 않는다;
- 개인 정보를 요청하는 이메일 링크를 클릭하지 않는다;
- 클릭하기 전에 링크 위에 마우스 커서를 올려 실제 연결되는 URL을 표시하여 URL의 유효성을 검사한다. URL이 일치해야 한다;
- HTTPS가 아닌 HTTP로 시작하는 링크는 절대 클릭하지 안는다;
- 개인 식별 정보(PII)를 요청하거나 한 계정에서 다른 계정으로 자금을 이체하는 모든 전화는 의심한다;
- 모르는 번호로 걸려온 휴대폰 전화는 받지 않는다;
- 정부 기관이나 합법적인 회사라고 주장하는 사람이 전화를 걸면 전화를 끊고 해당 기관이나 회사의 공식 웹사이트에 있는 번호로 전화한다;
- 전화로 신용카드 번호를 알려주지 않는다;
- 인터넷에 액세스할 수 있는 장치에서 실행되는 웹 브라우저, 운영 체제 및 소프트웨어 애플리케이션의 업데이트를 항상 허용한다;
- 바이러스 백신 소프트웨어 및 차세대 방화벽과 같은 업데이트된 컴퓨터 보안 도구를 사용한다;
- 이메일에 제공된 전화번호로 전화를 걸기 전에 웹사이트의 전화번호를 확인한다;
- 모든 계정에 강력한 비밀번호와 2단계 인증(2FA)을 사용한다
- 피싱범이 사칭하는 회사 및 연방거래위원회(FTC)와 같은 정부 기관에 의심되는 사기를 신고하세요;
- 해당되는 경우, 정보통신기술(ICT) 팀에 중요한 데이터 및 장치에 액세스할 수 있는 회사 계정의 수를 검토하여 줄이고, 비밀번호 공유를 제한하고, 액세스 권한을 제한하여 권한 상승 기회를 줄이도록 한다.
피싱 방지 소프트웨어
피싱 방지 소프트웨어는 피싱 위협을 식별하고 무력화하기 위해 다양한 기술을 사용하는 사이버 보안 툴킷으로 생각할 수 있다. 다음은 피싱 방지 소프트웨어 제품군의 주요 특징과 기능이다:
- 이메일 필터링: 피싱 방지 솔루션에는 수신 메시지에서 의심스러운 콘텐츠를 검사하고 발신자 주소, 이메일 콘텐츠 및 포함된 링크를 분석하여 피싱 시도를 식별하는 이메일 필터링 기능이 포함되어 있는 경우가 많다. 적응형 이메일 보안 앱은 비정상적인 행동을 감지하고 직원의 민감한 데이터 및 시스템에 대한 액세스를 자동으로 제한할 수 있다.
- 링크 분석: 이 도구는 이메일 또는 메시지 내의 URL을 검사하여 합법성을 확인한다. 알려진 악성 도메인의 블랙리스트와 링크를 비교하고 평판을 평가한다.
- 콘텐츠 분석: 이 유형의 피싱 방지 소프트웨어는 이메일 콘텐츠를 분석하여 맞춤법 오류, 의심스러운 첨부 파일 또는 민감한 정보 요청과 같은 피싱 징후를 찾는다.
- 실시간 위협 인텔리전스: 많은 피싱 방지 서비스는 실시간 위협 인텔리전스 피드가 포함된 디지털 면역 시스템에 의존하여 새로운 피싱 위협과 수법에 대한 최신 정보를 제공한다. 이는 새로운 유형의 피싱 캠페인을 신속하게 식별하고 차단하는 데 도움이 된다.
- 머신 러닝 및 AI: 고급 피싱 방지 소프트웨어는 머신 러닝 및 AI 알고리즘을 사용하여 탐지 기능을 조정하고 개선한다. 이전에는 보이지 않던 위협에서도 피싱 공격을 나타내는 패턴을 인식할 수 있다.
피싱 방지 소프트웨어와 피싱 방지 클라우드 서비스는 사이버 범죄자에 대항하는 강력한 무기이지만, 효과적인 사이버 보안을 위해서는 사람의 경계가 여전히 중요한 요소라는 점을 기억해야 한다. 어떤 소프트웨어도 피싱 위협에 대해 신중하고 회의적이며 잘 알고 있어야 하는 개인의 필요성을 대체할 수 없다.
보안 인식 교육은 피싱 방지 솔루션과 함께 강력한 방어 태세를 구축하기 위해 반드시 병행되어야 한다.