프리텍스팅이란 피해자의 신뢰를 얻기 위해 조작된 이야기 또는 구실을 사용하여 피해자를 속이거나 조종하여 민감한 정보를 공유하거나, 맬웨어를 다운로드하거나, 범죄자에게 돈을 보내거나, 자신이나 자신이 근무하는 조직에 해를 끼치도록 하는 행위를 말합니다.
자신감은 사기꾼의 무기입니다. 스피어 피싱, 웨일 피싱, 비즈니스 이메일 침해(BEC)와 같은 표적형 소셜 엔지니어링 공격에서 피해자의 신뢰를 얻기 위해 사용되는 방법이 바로 프리텍스팅입니다. 그러나 사이버 범죄자, 단순한 일반 범죄자들도 개인이나 조직의 귀중한 정보나 자산을 훔치기 위해 자체적으로 프리텍스팅을 사용할 수도 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
위협 행위자는 프리텍스팅에서 피해자에게 가짜 상황을 제공한 후 ,이를 해결해 줄 믿을 수 있는 사람인 척 행동합니다. Social Engineering Penetration Testing 책에서 저자들은 대부분의 프리텍스트가 캐릭터와 상황이라는 두 가지 기본 요소로 구성되어 있다고 설명했습니다.1
캐릭터는 이 스토리에서 사기꾼이 맡은 역할입니다. 사기꾼은 잠재적 피해자와 신뢰를 쌓기 위해 종종 상사나 임원 등 피해자에 대해 권한을 가진 사람 또는 피해자가 신뢰할 만한 사람을 사칭합니다. 이 (가짜) 캐릭터는 동료, IT 직원 또는 서비스 제공업체일 수 있습니다. 일부 공격자는 잠재적 피해자의 친구 또는 가족을 가장하려고 시도하는 경우도 있습니다.
상황은 사기꾼이 펼치는 가짜 이야기의 줄거리, 즉 캐릭터(사기꾼)가 피해자에게 어떤 조치를 취하도록 요청하는 이유입니다. '계정 정보를 업데이트해야 합니다'처럼 일반적인 상황일 수 있습니다. 또는 사기꾼이 특정 피해자를 대상으로 하는 경우에는 '엄마, 돈 좀 보내주세요'처럼 이야기가 구체적일 수 있습니다.
위협 행위자는 캐릭터를 사칭하고 상황을 사실적으로 만들기 위해 보통 온라인에서 캐릭터와 공격 대상을 조사합니다. 이런 연구는 어렵지 않습니다. 일부 추정에 따르면 해커는 소셜 미디어 피드 및 기타 공개 소스의 정보를 바탕으로 약 100분 동안의 검색을 통해 소셜 미디어 피드와 Google이나 LinkedIn과 같은 다른 공개 리소스의 정보를 바탕으로 설득력 있는 스토리를 만들 수 있다고 합니다.
이메일 주소와 전화번호를 위조하여 다른 출처에서 온 메시지인 것처럼 보이게 하는 기법인 스푸핑을 사용하면 사기 시나리오를 더욱 그럴듯하게 만들 수 있습니다. 또는 위협 행위자는 더 나아가 다른 사람의 실제 이메일 계정이나 전화번호를 가로채서 프리텍스팅 메시지를 보낼 수 있습니다. 인공 지능을 사용하여 사람들의 목소리를 복제하는 범죄자에 대한 이야기도 있습니다.
프리텍스팅은 다음을 포함한 많은 소셜 엔지니어링 전술의 핵심 요소입니다.
프리텍스팅은 특정 개인을 대상으로 하는 스피어 피싱과 민감한 정보나 시스템에 대한 액세스 권한이 있는 임원 또는 직원을 대상으로 하는 웨일링을 포함한 표적형 피싱 공격에서 특히 일반적입니다.
그러나 프리텍스팅은 비표적 '스프레이 앤 프레이(spray-and-pray)' 이메일 피싱, 음성 피싱(비싱) 또는 SMS 텍스트 피싱(스미싱) 사기에서도 중요한 역할을 합니다.
예를 들어 사기꾼은 수백만의 사람들에게 “[주요 은행 이름]: 귀하의 계좌가 초과 인출되었습니다.”라는 문자 메시지를 보낼 수 있습니다. 수신자 중 일정 비율이 은행 고객이고 해당 고객 중 일부가 메시지에 응답할 것으로 예상할 수 있습니다. 소수의 피해자가 응답해도 사기꾼에게는 큰 이득을 줄 수 있습니다.
이 공격 유형은 오염되었지만 매력적인 미끼를 피해자에게 던져서 멀웨어를 내려받도록 유도합니다. 악성 코드가 담긴 USB 플래시 드라이브를 공공장소에 눈에 띄게 놓아두는 등의 물리적 미끼도 있고, 멀웨어를 무료 영화 파일처럼 가장하는 등의 디지털 미끼도 있습니다.
미끼가 더 매력적으로 보이도록 프리텍스팅을 사용하기도 합니다. 예를 들어 오염된 USB 드라이브에 중요한 파일이 저장된 특정 기업의 물품인 것처럼 라벨을 붙이는 것입니다.
프리텍스팅은 테일게이팅과 같은 대면 사기에도 사용될 수 있습니다. '피기백'이라고도 하는 테일게이팅은 권한이 없는 사람이 승인된 사람을 따라 보안 사무실 건물과 같이 허가가 필요한 위치로 들어가는 것을 말합니다. 사기꾼은 프리텍스팅을 사용하여 배달원으로 가장하고 순진한 직원에게 잠긴 문을 열어달라고 요청해서 테일게이팅 성공률을 높입니다.
미국 연방거래위원회에 따르면 가장 흔한 사기 유형은 보이스피싱으로, 작년에 보이스 피싱으로 인해 USD 27억의 손실이 보고되었습니다.2 가장 일반적인 프리텍스팅 사기 유형은 다음과 같습니다.
이 사이버 공격에서 사기꾼은 회사 대표인 척 가장하여 청구 정보가 만료되었거나 의심스러운 구매와 같은 계정 문제를 피해자에게 경고합니다. 사기꾼은 피해자의 인증 자격 증명, 신용 카드 정보, 은행 계좌 번호 또는 주민등록번호를 훔치는 가짜 웹사이트로 피해자를 연결하는 링크를 포함합니다.
비즈니스 이메일 침해(BEC)는 프리텍스팅에 크게 의존하는 표적 소셜 엔지니어링입니다.이제 모든 BEC 공격의 25%가 프리텍스팅으로 시작됩니다.
BEC에서 캐릭터는 표적에 대한 권한이나 영향력을 가진 실제 회사 임원 또는 고위 비즈니스 동료입니다. 사기꾼이 권력을 가진 사람인 것처럼 가장하기 때문에 많은 표적이 의심 없이 따릅니다.
상황은 (거의 항상) 캐릭터가 긴급한 작업에 도움이 필요한 경우일 수 있습니다. 예를 들어, "공항에 발이 묶여 있는데 결제 시스템 비밀번호가 기억나지 않네요. 한 번 더 알려줄 수 있으세요?'" 또는 "첨부된 송장을 결제해야 하는 데 USD XXX,XXX를 은행 계좌 #YYYYY로 송금해주시겠어요? 빨리 보내지 않으면 우리 서비스가 취소된대요." 등입니다.
사기꾼은 문자, 이메일, 전화 통화, 심지어 AI로 생성한 동영상을 통해 상사를 사칭하여 직원을 속이고 민감한 정보를 노출하거나 범죄를 저지르도록 유도하는 경우가 많습니다.
잘 알려진 어느 사례에서는 사전 녹화된(그리고 AI로 생성한) 웹 회의에서 직원이 가짜 고위 경영진의 지시에 따라 공격자에게 HKD 2억을 송금하는 일이 벌어졌습니다.4
BEC는 매년 가장 큰 피해를 입히는 사이버 범죄 및 소셜 엔지니어링 기법 중 하나로 꼽힙니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 BEC로 인한 데이터 침해로 피해 조직이 손해를 입은 금액은 평균 USD 489만이었습니다.
FBI의 인터넷 범죄 신고 센터의 데이터에 따르면, 2023년에 BEC로 인해 피해자들은 총 USD 29억에 가까운 손실을 입었습니다.3
확실한 암호화폐 기회를 가진 성공적인 투자자로 가장한 사기꾼은 피해자를 가짜 암호화폐 거래소로 안내하여 피해자의 금융 정보나 돈을 훔칩니다.
이 사기의 장기적인 변종은 '돼지 도살'이라는 이름으로 불리며, 사기꾼이 소셜 미디어를 통해 피해자와 관계를 형성하고 신뢰를 얻습니다. 그런 다음 사기꾼은 피해자에게 '사업 기회'를 소개하고 입금을 유도하며 피해자를 암호 화폐 사이트로 연결합니다. 사이트에서는 투자 가치가 상승하고 있다고 허위로 보여주기도 하지만, 해당 통화는 절대 인출할 수 없습니다.5
많은 소셜 엔지니어링 사기가 그렇듯 여기에서도 노인은 주된 먹잇감입니다. 사이버 범죄자는 피해자의 손자로 위장하여 교통사고를 당했거나 체포되었다는 등 곤경에 처한 것처럼 가장하여 조부모가 병원비나 보석금을 지불할 수 있도록 돈을 보내달라고 요구합니다.
표적이 된 피해자는 주문하거나 사용하지 않은 서비스 또는 제품에 대한 청구서를 받습니다. 사기꾼은 피해자가 추가 정보를 요청하거나 요금 청구에 대해 불만을 제기하기 위해 이메일의 링크를 클릭하도록 유도하는 경우가 많습니다. 그러면 피해자에게 계정 확인을 위해 개인 식별 정보(PII)를 제공하라는 메시지가 표시됩니다. 이 개인 정보가 처음부터 사기꾼이 노렸던 정보입니다.
국세청 공무원, 법 집행관 또는 기타 정부 대리인으로 가장한 사기꾼은 표적이 곤경에 처했다고 주장합니다. 세금을 납부하지 않거나 체포 영장이 발부되었다는 이유를 댈 수 있습니다. 일반적으로 사기꾼은 표적에게 모기지 유치권, 압류된 임금 또는 징역형을 피하기 위해 돈을 지불하도록 지시합니다 물론 지불한 금액은 사기꾼의 계좌로 입금됩니다.
일반적으로 구직자들은 민감한 정보를 잠재적 고용주에게 기꺼이 누설할 수 있습니다. 그러나 사기꾼이 게시한 가짜 채용공고일 경우 지원자는 신원 도용의 피해자가 될 수 있습니다.
사기꾼은 피해자와 낭만적인 관계를 추구하는 척합니다. 피해자의 마음을 얻은 후 사기꾼은 일반적으로 피해자와의 관계를 방해하는 마지막 장애물을 해결하기 위해 돈을 요구합니다. 이 장애물은 엄청난 금액의 빚, 법적 의무 또는 피해자를 방문하기 위한 비행기 티켓 요금일 수 있습니다.
스케어웨어는 공포를 이용해 사람들을 속여 멀웨어를 다운로드하거나 돈을 잃거나 개인 데이터를 제공하도록 유도하는 소셜 엔지니어링 사기입니다.
가짜 바이러스 경고, 가짜 기술 지원 제안 또는 법 집행 사기 등 공포심을 조장하는 프리텍스트가 사용됩니다. 팝업 창을 통해 피해자의 디지털 장치에서 '불법 자료'가 발견되었다고 경고하거나, 온라인 '진단 테스트'를 통해 장치가 손상되었으니 이를 해결하기 위해 (가짜) 바이러스 백신 소프트웨어를 다운로드해야 한다고 하는 경우도 있습니다.
다른 형태의 소셜 엔지니어링과 마찬가지로 프리텍스팅 시도는 해결할 수 있는 기술적 취약성보다는 인간의 심리를 악용하기 때문에 대응하기가 어려울 수 있습니다. 하지만 조직에서 취할 수 있는 조치가 몇 가지 있습니다.
DMARC는 스푸핑을 방지할 수 있는 이메일 인증 프로토콜입니다. DMARC는 일반적인 보안 침해 지표를 찾아내기 위해 메일의 텍스트와 메타데이터를 모두 분석합니다. 이메일이 스푸핑되면 자동으로 스팸 폴더로 이동되거나 삭제될 수 있습니다.
프리텍스팅은 사람들을 속여 자신의 보안을 침해하도록 유도하므로 프리텍스팅 사기를 탐지하고 적절하게 대응하도록 직원을 교육하면 조직을 보호하는 데 도움이 될 수 있습니다. 전문가들은 직원들이 프리텍스팅과 동료의 정당한 요청을 구분할 수 있도록 실제 프리텍스팅 예제를 기반으로 시뮬레이션을 실행할 것을 권장합니다.
교육에는 다중 인증(MFA)과 같은 엄격한 인증 조치에 대한 명확한 프로토콜이 포함될 수 있으며, 중요한 정보를 처리하고, 결제를 승인하고, 요청에 응하기 전에 출처를 확인하는 명확한 프로토콜도 포함될 수 있습니다.
추정된 발신자에게 문자를 보내 "제게 이렇게 지시하셨나요?"라고 물어보거나, 또는 서비스 데스크에 "해커의 짓인 것 같나요?"라고 메시지를 보내는 것처럼 간단하게 확인해볼 수 있습니다. 금융 거래 절차에는 대면 또는 직접적인 접촉을 통해 수신 요청을 확인해야 하는 요건이 포함될 수 있습니다.
이메일 필터는 알려진 프리텍스팅 공격에 사용되는 문구와 제목을 탐지할 수 있습니다. AI 어시스턴트와 위협 인텔리전스 피드를 결합하여 대량의 비정형 데이터에서 이상 징후를 분석하는 'AI 실드'도 혹시나 존재할 지 모르는 프리텍스트를 정확히 집어내는 데 도움이 될 수 있습니다.
보안 웹 게이트웨이는 사용자가 의심스러운 웹 사이트에 대한 피싱 이메일 링크를 따라가지 못하도록 방지할 수 있습니다.
공격자가 프리텍스팅을 통해 네트워크에 액세스할 경우 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 확장 탐지 및 대응(XDR) 플랫폼과 같은 사이버 보안 기술이 악의적인 활동을 차단할 수 있습니다.
여러 산업계의 법률에서 프리텍스팅을 명시적으로 규제하고 있습니다.1999년 제정된 그램-리치-블라일리 법(Gramm-Leach-Bliley Act)은 금융 기관을 속이는 프리텍스팅을 범죄로 규정하여 허위 행위로 고객의 금융 정보를 취득하는 것을 범죄로 규정하고 있습니다. 이 법은 또한 금융 기관이 직원들에게 프리텍스팅을 탐지하고 예방하는 방법을 교육하도록 규정하고 있습니다.
2006년 전화 기록 및 개인 정보 보호법은 통신 제공업체가 보유한 고객 정보에 액세스하기 위해 프리텍스팅을 사용하는 것을 명시적으로 금지합니다.
최근 미국 연방거래위원회(FTC)는 정부 기관 또는 기업 사칭을 공식적으로 금지하는 규정을 채택했습니다.5 이 규칙은 FTC가 허가 없이 비즈니스 로고를 사용하거나, 합법적인 사이트를 모방한 가짜 웹사이트를 만들거나, 비즈니스 이메일을 스푸핑하는 것과 같은 일반적인 프리텍스팅을 금지하는 권한을 부여합니다.
1 Social Engineering Penetration Testing , Syngress, 2014년
2 Think you know what the top scam of 2023 was? Take a guess, Federal Trade Commission, 2024년 2월 9일
3 Internet Crime Report 2023, Federal Bureau of Investigation, 2024년
4 Hong Kong sees three deepfake video scams since last year, says security chief, The Standard, 2024년 6월 26일
5 FTC Announces Impersonation Rule Goes into Effect Today , Federal Trade Commission, 2024년 4월 1일