프리텍스팅(Pretexting)이란 무엇인가요?

IBM의 프리텍스팅 솔루션 살펴보기 Think 뉴스레터 구독 신청하기
구름, 휴대폰, 지문, 확인 표시의 픽토그램을 콜라주한 일러스트

업데이트 날짜: 2024년 9월 6일 
기고자: 짐 홀즈워스(Jim Holdsworth), 매튜 코신스키(Matthew Kosinski)
프리텍스팅(Pretexting)이란 무엇인가요?

프리텍스팅이란 피해자의 신뢰를 얻기 위해 조작된 이야기 또는 구실을 사용하여 피해자를 속이거나 조종하여 민감한 정보를 공유하거나, 맬웨어를 다운로드하거나, 범죄자에게 돈을 보내거나, 자신이나 자신이 근무하는 조직에 해를 끼치도록 하는 행위를 말합니다.

자신감은 사기꾼의 무기입니다. 스피어 피싱, 웨일 피싱, 비즈니스 이메일 침해(BEC)와 같은 표적형 소셜 엔지니어링 공격에서 피해자의 신뢰를 얻기 위해 사용되는 방법이 바로 프리텍스팅입니다. 그러나 사이버 범죄자, 단순한 일반 범죄자들도 개인이나 조직의 귀중한 정보나 자산을 훔치기 위해 자체적으로 프리텍스팅을 사용할 수도 있습니다.
프리텍스팅 작동 방식: 캐릭터와 상황

위협 행위자는 프리텍스팅에서 피해자에게 가짜 상황을 제공한 후 ,이를 해결해 줄 믿을 수 있는 사람인 척 행동합니다. Social Engineering Penetration Testing 책에서 저자들은 대부분의 프리텍스트가 캐릭터상황이라는 두 가지 기본 요소로 구성되어 있다고 설명했습니다.1

캐릭터는 이 스토리에서 사기꾼이 맡은 역할입니다. 사기꾼은 잠재적 피해자와 신뢰를 쌓기 위해 종종 상사나 임원 등 피해자에 대해 권한을 가진 사람 또는 피해자가 신뢰할 만한 사람을 사칭합니다. 이 (가짜) 캐릭터는 동료, IT 직원 또는 서비스 제공업체일 수 있습니다. 일부 공격자는 잠재적 피해자의 친구 또는 가족을 가장하려고 시도하는 경우도 있습니다.

상황은 사기꾼이 펼치는 가짜 이야기의 줄거리, 즉 캐릭터(사기꾼)가 피해자에게 어떤 조치를 취하도록 요청하는 이유입니다. '계정 정보를 업데이트해야 합니다'처럼 일반적인 상황일 수 있습니다. 또는 사기꾼이 특정 피해자를 대상으로 하는 경우에는 '엄마, 돈 좀 보내주세요'처럼 이야기가 구체적일 수 있습니다.

위협 행위자는 캐릭터를 사칭하고 상황을 사실적으로 만들기 위해 보통 온라인에서 캐릭터와 공격 대상을 조사합니다. 이런 연구는 어렵지 않습니다. 일부 추정에 따르면 해커는 소셜 미디어 피드 및 기타 공개 소스의 정보를 바탕으로 약 100분 동안의 검색을 통해 소셜 미디어 피드와 Google이나 LinkedIn과 같은 다른 공개 리소스의 정보를 바탕으로 설득력 있는 스토리를 만들 수 있다고 합니다.

이메일 주소와 전화번호를 위조하여 다른 출처에서 온 메시지인 것처럼 보이게 하는 기법인 스푸핑을 사용하면 사기 시나리오를 더욱 그럴듯하게 만들 수 있습니다. 또는 위협 행위자는 더 나아가 다른 사람의 실제 이메일 계정이나 전화번호를 가로채서 프리텍스팅 메시지를 보낼 수 있습니다. 인공 지능을 사용하여 사람들의 목소리를 복제하는 범죄자에 대한 이야기도 있습니다.
프리텍스팅 기술 및 소셜 엔지니어링

프리텍스팅은 다음을 포함한 많은 소셜 엔지니어링 전술의 핵심 요소입니다.

  • 피싱
  • 베이팅(Baiting)
  • 테일게이팅(tailgating)
피싱

프리텍스팅은 특정 개인을 대상으로 하는 스피어 피싱과 민감한 정보나 시스템에 대한 액세스 권한이 있는 임원 또는 직원을 대상으로 하는 웨일링을 포함한 표적형 피싱 공격에서 특히 일반적입니다.  

그러나 프리텍스팅은 비표적 '스프레이 앤 프레이(spray-and-pray)' 이메일 피싱, 음성 피싱(비싱) 또는 SMS 텍스트 피싱(스미싱) 사기에서도 중요한 역할을 합니다.

예를 들어 사기꾼은 수백만의 사람들에게 “[주요 은행 이름]: 귀하의 계좌가 초과 인출되었습니다.”라는 문자 메시지를 보낼 수 있습니다. 수신자 중 일정 비율이 은행 고객이고 해당 고객 중 일부가 메시지에 응답할 것으로 예상할 수 있습니다. 소수의 피해자가 응답해도 사기꾼에게는 큰 이득을 줄 수 있습니다.
베이팅(Baiting)

이러한 유형의 공격에서 범죄자는 매력적이지만 손상된 미끼로 피해자를 유인하여 맬웨어를 다운로드하도록 유도합니다. 미끼는 악성 코드가 담긴 USB 플래시 드라이브를 공공장소에 눈에 띄게 놓아두는 등 물리적인 형태일 수도 있습니다. 또는 영화 무료 다운로드를 가장하고 있지만 실제로는 맬웨어인 경우처럼 디지털 미끼가 될 수 있습니다. 

사기꾼은 종종 미끼를 더 매력적으로 만들기 위해 프리텍스팅을 사용합니다. 예를 들어, 사기꾼은 손상된 USB 드라이브에 라벨을 부착하여 특정 회사의 소유이며 중요한 파일이 포함되어 있다고 암시할 수 있습니다.
테일게이팅(tailgating)

프리텍스팅은 테일게이팅과 같은 대면 사기에도 사용될 수 있습니다. '피기백'이라고도 하는 테일게이팅은 권한이 없는 사람이 승인된 사람을 따라 보안 사무실 건물과 같이 허가가 필요한 위치로 들어가는 것을 말합니다. 사기꾼은 테일게이팅 시도를 더 성공시키기 위해 프리텍스팅을 사용하여 배달원으로 가장하고 순진한 직원에게 잠긴 문을 열어달라고 요청합니다.
프리텍스팅 예시

미국 연방거래위원회에 따르면 가장 흔한 사기 유형은 보이스피싱으로, 작년에 보이스 피싱으로 인해 USD 27억의 손실이 보고되었습니다.2 가장 일반적인 프리텍스팅 사기 유형은 다음과 같습니다.

  • 계정 업데이트 사기
  • 비즈니스 이메일 침해 사기
  • 암호화폐 사기
  • 조부모 사기
  • 송장 사기
  • 국세청 및 정부 사기
  • 채용 제안 사기
  • 로맨스 사기 및 소셜 사기
  • 스케어웨어 사기
계정 업데이트 사기

사이버 공격에서 사기꾼은 회사 대표인 척 가장하여 청구 정보가 만료되었거나 의심스러운 구매와 같은 계정 문제를 피해자에게 경고합니다. 사기꾼은 피해자의 인증 자격 증명, 신용 카드 정보, 은행 계좌 번호 또는 주민등록번호를 훔치는 가짜 웹사이트로 피해자를 연결하는 링크를 포함합니다.
비즈니스 이메일 침해 사기

비즈니스 이메일 침해(BEC)는 프리텍스팅에 크게 의존하는 표적 소셜 엔지니어링입니다. 현재 모든 BEC 공격의 25%(ibm.com 외부 링크)가 프리텍스팅으로 시작됩니다. 

BEC에서 캐릭터는 표적에 대한 권한이나 영향력을 가진 실제 회사 임원 또는 고위 비즈니스 동료입니다. 사기꾼이 권력을 가진 사람인 것처럼 가장하기 때문에 많은 표적이 의심 없이 따릅니다.

상황은 (거의 항상) 캐릭터가 긴급한 작업에 도움이 필요한 경우일 수 있습니다. 예를 들어, "공항에 발이 묶여 있는데 결제 시스템 비밀번호가 기억나지 않네요. 한 번 더 알려줄 수 있으세요?'" 또는 "첨부된 송장을 결제해야 하는 데 USD XXX,XXX를 은행 계좌 #YYYYY로 송금해주시겠어요? 빨리 보내지 않으면 우리 서비스가 취소된대요." 등입니다.

사기꾼은 문자, 이메일, 전화 통화, 심지어 AI로 생성한 동영상을 통해 상사를 사칭하여 직원을 속이고 민감한 정보를 노출하거나 범죄를 저지르도록 유도하는 경우가 많습니다.

잘 알려진 어느 사례에서는 사전 녹화된(그리고 AI로 생성한) 웹 회의에서 직원이 가짜 고위 경영진의 지시에 따라 공격자에게 HKD 2억을 송금하는 일이 벌어졌습니다.4

해마다 BEC는 가장 큰 피해를 입히는 사이버 범죄 및 소셜 엔지니어링 기법 중 하나로 꼽힙니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 BEC로 인한 데이터 침해로 피해 조직이 손해를 입은 금액은 평균 USD 489만이었습니다. 

FBI의 인터넷 범죄 신고 센터의 데이터에 따르면, 2023년에 BEC로 인해 피해자들은 총 USD 29억에 가까운 손실을 입었습니다.3

 
암호화폐 사기

확실한 암호화폐 기회를 가진 성공적인 투자자로 가장한 사기꾼은 피해자를 가짜 암호화폐 거래소로 안내하여 피해자의 금융 정보나 돈을 훔칩니다. 

이 사기의 장기적인 변종은 '돼지 도살'이라는 이름으로 불리며, 사기꾼이 소셜 미디어를 통해 피해자와 관계를 형성하고 신뢰를 얻습니다. 그런 다음 사기꾼은 피해자에게 '사업 기회'를 소개하고 입금을 유도하며 피해자를 암호 화폐 사이트로 연결합니다. 사이트에서는 투자 가치가 상승하고 있다고 허위로 보여주기도 하지만, 해당 통화는 절대 인출할 수 없습니다.5 
조부모 사기

많은 소셜 엔지니어링 사기와 마찬가지로 이 사기 수업은 노인을 노리는 경우가 많습니다. 사이버 범죄자는 피해자의 손자로 위장하여 교통사고를 당했거나 체포되었다는 등 곤경에 처한 것처럼 가장하여 조부모가 병원비나 보석금을 지불할 수 있도록 돈을 보내달라고 요구합니다. 
송장 사기

표적이 된 피해자는 주문하거나 사용하지 않은 서비스 또는 제품에 대한 청구서를 받습니다. 사기꾼은 피해자가 추가 정보를 요청하거나 요금 청구에 대해 불만을 제기하기 위해 이메일의 링크를 클릭하도록 유도하는 경우가 많습니다. 그러면 피해자에게 계정 확인을 위해 개인 식별 정보(PII)를 제공하라는 메시지가 표시됩니다. 이 개인 정보가 처음부터 사기꾼이 노렸던 정보입니다.
국세청 및 정부 사기

국세청 공무원, 법 집행관 또는 기타 정부 대리인으로 가장한 사기꾼은 표적이 곤경에 처했다고 주장합니다. 세금을 납부하지 않거나 체포 영장이 발부되었다는 이유를 댈 수 있습니다. 일반적으로 사기꾼은 표적에게 모기지 유치권, 압류된 임금 또는 징역형을 피하기 위해 돈을 지불하도록 지시합니다 물론 지불한 금액은 사기꾼의 계좌로 입금됩니다. 
채용 제안 사기

일반적으로 구직자들은 민감한 정보를 잠재적 고용주에게 기꺼이 누설할 수 있습니다. 그러나 사기꾼이 게시한 가짜 채용공고일 경우 지원자는 신원 도용의 피해자가 될 수 있습니다.
로맨스 사기 및 소셜 사기

사기꾼은 피해자와 낭만적인 관계를 추구하는 척합니다. 피해자의 마음을 얻은 후 사기꾼은 일반적으로 피해자와의 관계를 방해하는 마지막 장애물을 해결하기 위해 돈을 요구합니다. 이 장애물은 엄청난 금액의 빚, 법적 의무 또는 피해자를 방문하기 위한 비행기 티켓 요금일 수 있습니다.
스케어웨어 사기

스케어웨어는 공포를 이용해 사람들을 속여 맬웨어를 다운로드하거나 돈을 잃거나 개인 데이터를 제공하도록 유도하는 소셜 엔지니어링 사기입니다.

가짜 바이러스 경고, 가짜 기술 지원 제안 또는 법 집행 사기 등 공포심을 조장하는 프리텍스트가 사용됩니다. 팝업 창을 통해 피해자의 디지털 장치에서 '불법 자료'가 발견되었다고 경고하거나, 온라인 '진단 테스트'를 통해 장치가 손상되었으니 이를 해결하기 위해 (가짜) 바이러스 백신 소프트웨어를 다운로드해야 한다고 하는 경우도 있습니다. 
프리텍스팅을 방지하는 데 도움이 되는 사이버 보안 단계

다른 형태의 소셜 엔지니어링과 마찬가지로 프리텍스팅 시도는 해결할 수 있는 기술적 취약성보다는 인간의 심리를 악용하기 때문에 대응하기가 어려울 수 있습니다. 하지만 조직에서 취할 수 있는 조치가 몇 가지 있습니다.

  • DMARC
  • 보안 인식 교육
  • 기타 사이버 보안 기술
도메인 기반 메시지 인증 보고 및 적합성(DMARC)

DMARC는 스푸핑을 방지할 수 있는 이메일 인증 프로토콜입니다. DMARC는 일반적인 보안 침해 지표를 찾아내기 위해 메일의 텍스트와 메타데이터를 모두 분석합니다. 이메일이 스푸핑되면 자동으로 스팸 폴더로 이동되거나 삭제될 수 있습니다.
보안 인식 교육

프리텍스팅은 사람들을 속여 자신의 보안을 침해하도록 유도하므로 프리텍스팅 사기를 탐지하고 적절하게 대응하도록 직원을 교육하면 조직을 보호하는 데 도움이 될 수 있습니다. 전문가들은 직원들이 프리텍스팅과 동료의 정당한 요청을 구분할 수 있도록 실제 프리텍스팅 예제를 기반으로 시뮬레이션을 실행할 것을 권장합니다. 

교육에는 다중 인증(MFA)과 같은 엄격한 인증 조치에 대한 명확한 프로토콜이 포함될 수 있으며, 중요한 정보를 처리하고, 결제를 승인하고, 요청에 응하기 전에 출처를 확인하는 명확한 프로토콜도 포함될 수 있습니다.

추정된 발신자에게 문자를 보내 "제게 이렇게 지시하셨나요?"라고 물어보거나, 또는 서비스 데스크에 "해커의 짓인 것 같나요?"라고 메시지를 보내는 것처럼 간단하게 확인해볼 수 있습니다. 금융 거래 절차에는 대면 또는 직접적인 접촉을 통해 수신 요청을 확인해야 하는 요건이 포함될 수 있습니다.
프리텍스팅 금지법

여러 산업별 법률에서 프리텍스팅의 명시성을 규제하고 있습니다.1999년 제정된 그램-리치-블라일리 법(Gramm-Leach-Bliley Act)은 금융 기관을 속이는 프리텍스팅을 범죄로 규정하여 허위 행위로 고객의 금융 정보를 취득하는 것을 범죄로 규정하고 있습니다. 이 법은 또한 금융 기관이 직원들에게 프리텍스팅을 탐지하고 예방하는 방법을 교육하도록 규정하고 있습니다. 

2006년 전화 기록 및 개인 정보 보호법은 통신 제공업체가 보유한 고객 정보에 액세스하기 위해 프리텍스팅을 사용하는 것을 명시적으로 금지합니다.

최근 미국 연방거래위원회(FTC)는 정부 기관 또는 기업 사칭을 공식적으로 금지하는 규정을 채택했습니다.5 이 규칙은 FTC가 허가 없이 비즈니스 로고를 사용하거나, 합법적인 사이트를 모방한 가짜 웹사이트를 만들거나, 비즈니스 이메일을 스푸핑하는 것과 같은 일반적인 프리텍스팅을 금지하는 권한을 부여합니다.
관련 솔루션
IBM X-Force

해커 주도 공격. 연구 중심 방어. 인텔리전스 기반 보호.

 

 IBM X-Force 살펴보기
위협 관리 서비스

최신 위협을 예측하고 예방하며 대응해 비즈니스 탄력성을 높이세요.

 

 위협 관리 서비스 살펴보기
랜섬웨어 보호 솔루션

랜섬웨어 방지 소프트웨어로 사이버 보안 위험을 거의 실시간으로 사전에 관리하고 랜섬웨어 공격의 영향을 최소화하세요.

 랜섬웨어 솔루션 살펴보기
리소스 데이터 유출로 인한 손해 보고서(Cost of a Data Breach)
데이터 유출이 어떻게 발생하는지 이해하고 비용을 증가시키거나 감소시키는 요인을 파악함으로써 유출에 대비해야 합니다.
X-Force Threat Intelligence Index
전 세계 보안 팀이 경험한 도전과 성공 사례를 통해 자신과 비즈니스의 역량을 강화하세요.
소셜 엔지니어링이란 무엇입니까?
소셜 엔지니어링은 기술적 해킹이 아닌 인간의 본성에 의존하여 사람들을 조종하여 개인 또는 기업 네트워크의 보안을 손상시킵니다.
다음 단계 안내

IBM X-Force Red 글로벌 팀은 침투 테스트, 취약점 관리, 상대 시뮬레이션을 포함한 광범위한 공격형 보안 서비스를 제공하여 전체 디지털 및 물리적 에코시스템을 포괄하는 보안 결함을 식별하고 우선순위를 지정하며 수정하는 데 도움이 됩니다.

 IBM X-Force Red 서비스 살펴보기
각주

모든 링크는 ibm.com 외부에 있습니다.

1  Social Engineering Penetration Testing (ibm.com 외부 링크), Syngress, 2014년.  

2 Think you know what the top scam of 2023 was? Take a guess (ibm.com 외부 링크), Federal Trade Commission, 2024년 2월 9일.   

3 Internet Crime Report 2023 (ibm.com 외부 링크), Federal Bureau of Investigation, 2024년. 

4 Hong Kong sees three deepfake video scams since last year, says security chief (ibm.com 외부 링크), The Standard, 2024년 6월 26일.

5 FTC Announces Impersonation Rule Goes into Effect Today (ibm.com 외부 링크), Federal Trade Commission, 2024년 4월 1일.