피싱 공격은 사용자를 속여 사용자가 맬웨어를 다운로드하도록 하거나, 민감한 정보 또는 개인 데이터(예: 주민등록번호 및 신용카드 번호, 은행 계좌 번호, 로그인 정보)를 공유하도록 하거나, 자신 또는 조직을 사이버 범죄에 노출시키는 기타 조치를 취하도록 유도하는 사기성 이메일, 문자 메시지, 전화 또는 웹 사이트입니다.
피싱 공격이 성공하면 신원 도용, 신용카드 사기, 랜섬웨어 공격, 데이터 유출, 개인과 기업의 막대한 금전적 손실로 이어지는 경우가 많습니다.
피싱은 가장 일반적인 유형의 소셜 엔지니어링으로, 사람들을 속이거나 압력을 가하거나 조작하여 잘못된 사람에게 정보나 자산을 보내도록 하는 행위입니다. 소셜 엔지니어링 공격은 성공을 위해 사람의 실수와 압박 전술에 의존합니다. 공격자는 일반적으로 피해자가 신뢰하는 사람이나 조직(예: 동료, 상사, 피해자 또는 피해자의 고용주가 거래하는 회사)으로 가장하여 피해자가 성급하게 행동하도록 긴박감을 조성합니다. 해커와 사기꾼은 컴퓨터나 네트워크를 해킹하는 것보다 사람들을 속이는 것이 더 쉽고 비용이 적게 들기 때문에 이러한 수법을 사용합니다.
FBI에 따르면 피싱 이메일은 해커가 개인과 조직에 랜섬웨어를 전달하기 위해 가장 많이 사용하는 공격 방법 또는 매개체입니다. IBM의 Cost of a Data Breach 2022에 따르면 피싱은 데이터 침해의 두 번째로 흔한 원인이며(작년 4위에서 증가), 피싱으로 인한 데이터 침해는 피해자가 평균 491만 달러의 비용을 지불해야 하는 가장 큰 피해를 입혔습니다.
대량 이메일 피싱은 피싱 공격의 가장 일반적인 유형입니다. 사기꾼은 국내 또는 글로벌 은행, 대형 온라인 소매업체, 인기 소프트웨어 애플리케이션 또는 앱 제조업체 등 잘 알려진 대형 합법적인 기업이나 조직에서 보낸 것처럼 보이는 이메일 메시지를 만들어 수백만 명의 수신자에게 보냅니다. 대량 이메일 피싱은 숫자 게임입니다. 사칭한 발신자의 규모나 인기가 높을수록 고객, 구독자 또는 회원이 많기 때문에 수신자가 더 많아질 가능성이 높습니다.
사이버 범죄자들은 피싱 이메일이 합법적인 것처럼 보이도록 하기 위해 다양한 방법을 동원합니다. 일반적으로 이메일에 사칭한 발신자의 로고를 포함하고 '보낸 사람' 이메일 주소에 사칭한 발신자의 도메인 이름을 포함하도록 마스킹하며, 일부는 발신자의 도메인 이름을 스푸핑하기도 합니다(예: 'microsoft.com' 대신에 'rnicrosoft.com' 사용). 처음 볼 때는 합법적인 도메인으로 보입니다.
제목은 사칭한 발신자가 확실히 언급할 수 있는 주제를 다루며 수신자의 관심을 끌기 위해 두려움, 탐욕, 호기심, 긴박감 또는 시간 압박과 같은 강한 감정에 호소합니다. 일반적인 제목으로는 '사용자 프로필을 업데이트하십시오', '주문 관련 문제', '마감 문서에 서명할 준비가 되었습니다', '송장이 첨부되어 있습니다' 등이 있습니다.
이메일 본문은 수신자에게 지극히 합리적이고 주제와 일치하는 행동을 취하도록 지시하지만 결국 수신자가 민감한 정보(주민등록번호, 은행 계좌 번호, 신용카드 번호, 로그인 정보)를 공개하거나 수신자의 기기 또는 네트워크를 감염시키는 파일을 다운로드하도록 유도합니다.
예를 들어, 수신자에게 '프로필을 업데이트하려면 여기를 클릭하세요'라는 메시지가 표시되지만 기본 하이퍼링크는 가짜 웹사이트로 이동하여 프로필 업데이트 프로세스의 일부로 실제 로그인 자격 증명을 입력하도록 유도할 수 있습니다. 또는 합법적인 것처럼 보이는 첨부파일(예: 'invoice20.xlsx')을 열라는 메시지가 표시될 수도 있습니다. 하지만 이를 열면 수신자의 장치나 네트워크에 맬웨어나 악성 코드를 전달됩니다.
스피어 피싱은 특정 개인을 대상으로 하는 피싱 공격입니다. 일반적으로 민감한 데이터나 네트워크 리소스에 대한 액세스 권한을 가진 사람이나 사기꾼이 사기 또는 악의적인 목적으로 악용할 수 있는 특수 권한을 가진 사람을 대상으로 합니다.
스피어 피셔는 대상을 연구하여 대상이 진정으로 신뢰하는 사람이나 단체(친구, 상사, 동료, 신뢰할 수 있는 공급업체 또는 금융 기관)로 가장하거나 대상 개인으로 가장하는 데 필요한 정보를 수집합니다. 사람들이 공개적으로 동료를 축하하고, 동료와 공급업체를 추천하고, 회의나 행사 또는 여행 계획을 과도하게 공유하는 경향이 있는 소셜 미디어와 소셜 네트워킹 사이트는 스피어 피싱 연구에 풍부한 정보원이 되고 있습니다.
스피어 피싱 공격자는 이 정보를 바탕으로 특정 개인 정보 또는 금융 정보와 신뢰할 수 있는 요청이 포함된 메시지(예: '오늘 밤 휴가를 떠나는 것으로 알고 있는데, 오늘 업무 마감 전에 이 청구서를 결제(또는 이 계좌로 USDXXX.XX 이체)해 주시겠어요')를 대상에게 보낼 수 있습니다.
최고 경영진, 부유층 또는 기타 고액 자산가를 노리는 스피어 피싱 공격을 고래 피싱 또는 고래잡이 공격이라고도 합니다.
BEC는 막대한 금액이나 매우 귀중한 정보를 훔치려고 시도하는 스피어 피싱 공격 유형입니다. 그 예로는 기업 또는 기관의 영업 비밀, 고객 데이터, 재무 정보 등이 있습니다.
BEC 공격은 여러 가지 형태로 나타날 수 있습니다. 다음에서는 가장 일반적인 두 가지 형태에 대해 설명합니다.
CEO 사기: 사기범은 최고 경영진의 이메일 계정을 사칭하거나 직접 해킹하여 하위 직원에게 사기 계정으로 자금을 이체하거나, 사기 공급업체로부터 구매하거나, 승인되지 않은 당사자에게 파일을 전송하도록 지시하는 메시지를 보냅니다.
이메일 계정 침해(EAC): 사기범은 하위 직원의 이메일 계정(예: 재무, 영업, R&D 관리자)에 액세스하여 이를 사용하여 공급업체에 사기 송장을 보내고, 다른 직원에게 사기 결제 또는 입금을 지시하거나 기밀 데이터에 대한 액세스를 요청합니다.
이러한 공격의 일환으로, 사기범은 임원이나 직원에게 이메일 계정 인증 정보(사용자 이름과 비밀번호)를 유출하도록 속이는 스피어 피싱 메시지를 보내 회사 이메일 계정에 액세스하는 경우가 많습니다. 예를 들어, '비밀번호가 곧 만료됩니다. 계정을 업데이트하려면 이 링크를 클릭하세요'와 같은 메시지에는 계정 정보를 훔치도록 설계된 가짜 웹사이트로 연결되는 악성 링크가 숨겨져 있을 수 있습니다.
사용된 전술에 관계없이 성공적인 BEC 공격은 가장 많은 비용이 소요되는 사이버 공격 중 하나입니다. BEC의 가장 잘 알려진 사례 중 하나는 CEO를 사칭한 해커가 회사 재무 부서를 속여 4,200만 유로를 사기 은행 계좌로 이체하도록 유도한 사건입니다.
SMS 피싱 또는 스미싱은 모바일이나 스마트폰 문자 메시지를 이용한 피싱입니다. 가장 효과적인 스미싱 수법은 상황에 맞는 메시지를 보내는 것인데, 보통 스마트폰 계정 관리나 앱과 관련된 것입니다. 예를 들어, 수신자는 무선 요금을 지불한 것에 대한 '감사'의 표시로 선물을 주겠다는 메시지나 스트리밍 미디어 서비스를 계속 사용하기 위해 신용 카드 정보를 업데이트하도록 요청하는 문자 메시지를 받을 수 있습니다.
보이스 피싱 또는 비싱은 전화 통화를 통해 이루어지는 피싱입니다. VoIP(Voice over IP) 기술 덕분에 사기범은 하루에 수백만 건의 자동 비싱 전화를 걸 수 있습니다. 이들은 종종 발신자 ID 스푸핑을 사용하여 전화가 마치 합법적인 조직이나 지역 전화번호에서 걸려온 것처럼 보이게 합니다.비싱 전화는 일반적으로 신용 카드 처리 문제, 결제 기한 초과 또는 IRS 관련 문제에 대한 경고로 수신자를 놀라게 합니다. 응답한 수신자는 결국 사이버 범죄자를 위해 일하는 사람들에게 민감한 데이터를 제공하게 되고, 일부는 통화하고 있는 상대방에게 자신의 컴퓨터에 대한 원격 제어 권한을 부여하기도 합니다.
소셜 미디어 피싱은 소셜 미디어 플랫폼의 다양한 기능을 이용해 회원의 민감한 정보를 피싱하는 수법입니다. 사기꾼은 일반 이메일과 문자 메시지를 사용하는 것과 거의 같은 방식으로 Facebook Messenger, LinkedIn 메시징 또는 InMail, Twitter DM과 같은 플랫폼의 자체 메시지 기능을 사용합니다. 또한 소셜 네트워킹 사이트에서 보낸 것처럼 보이는 피싱 이메일을 사용자에게 보내 수신자에게 로그인 자격 증명 또는 결제 정보를 업데이트하도록 요청합니다. 이러한 공격은 여러 소셜 미디어 사이트에서 동일한 로그인 자격 증명을 사용하는 피해자에게 특히 큰 피해를 줄 수 있으며, 이는 너무나 흔한 '최악의 관행'이라고 할 수 있습니다.
애플리케이션 또는 인앱 메시지. 인기 있는 모바일 디바이스 앱과 웹 기반(서비스형 소프트웨어, SaaS) 애플리케이션은 사용자에게 정기적으로 이메일을 보냅니다. 따라서 이러한 사용자는 앱 또는 소프트웨어 공급업체의 이메일을 스푸핑하는 피싱 캠페인에 쉽게 노출됩니다. 다시 말하지만, 사기범들은 일반적으로 가장 인기 있는 앱과 웹 애플리케이션에서 수신되는 이메일을 스푸핑합니다(예: PayPal, Microsoft Office 365 또는 Teams를 통해 피싱 비용을 최대한 활용할 수 있습니다).
조직은 사용자에게 피싱 사기를 인식하는 방법을 가르치고 의심스러운 이메일과 문자 메시지에 대처하는 모범 사례를 개발하는 것이 좋습니다. 예를 들어, 사용자들을 다음과 같은 피싱 이메일의 특징과 기타 특성을 인식하도록 교육할 수 있습니다.
- 민감한 개인 정보에 대한 요청, 프로필이나 결제 정보 업데이트 요청
- 송금 또는 자금 이체 요청
- 수신자가 요청하지 않았거나 예상하지 않은 첨부 파일
- 노골적이거나('귀하의 계정은 오늘 폐쇄됩니다...') 미묘하거나(예: 즉시 청구서를 지불하라는 동료의 요청) 감옥에 가게 될 것이라는 등 기타 비현실적인 결과에 대한 위협이 담긴 긴박감이 느껴지는 메시지
- 감옥에 가게 될 거라는 등 기타 비현실적인 결과에 대한 위협
- 철자법 또는 문법 오류
- 일관되지 않거나 스푸핑된 발신자 주소
- Bit.Ly 또는 기타 링크 단축 서비스를 사용하여 단축된 링크
- 텍스트 대신 사용되는 텍스트 이미지(메시지 또는 메시지에 링크된 웹 페이지)
이 목록은 일부에 지나지 않습니다. 안타깝게도 해커들은 탐지를 더 잘 피하기 위해 항상 새로운 피싱 기술을 고안하고 있습니다. Anti-Phishing Working Group의 분기별 피싱 동향 활동 보고서(ibm.com 외부 링크)와 같은 간행물은 조직이 이러한 위협에 대응하는 데 도움이 될 수 있습니다.
또한 조직은 모범 사례를 권장하거나 시행하여 피싱을 식별하고자 하는 직원의 부담감을 줄여줄 수 있습니다. 예를 들어, 조직은 상사나 동료는 자금 이체를 요청하는 이메일을 보내지 않는다는 등의 명확한 정책을 수립하고 전달할 수 있습니다. 직원에게 메시지에 제공된 방법 이외의 방법을 사용하여 발신자에게 연락하거나 발신자의 합법적인 사이트를 직접 방문하여 개인 정보 또는 민감한 정보에 대한 요청을 확인하도록 요구할 수 있습니다. 또한 직원들이 피싱 시도와 의심스러운 이메일을 IT 또는 보안 그룹에 보고하도록 요구할 수도 있습니다.
최고의 사용자 교육과 엄격한 모범 사례에도 불구하고 사용자는 여전히 실수를 합니다. 다행히도 몇 가지 기존 및 새로운 엔드포인트 및 네트워크 보안 기술을 통해 보안 팀은 교육과 정책으로는 감당할 수 없는 피싱과의 전쟁에서 승리할 수 있습니다.
스팸 필터와 이메일 보안 소프트웨어는 기존 피싱 사기에 대한 데이터와 머신 러닝 알고리즘을 사용하여 의심되는 피싱 이메일(및 기타 스팸)을 식별한 다음 별도의 폴더로 이동하고 포함된 모든 링크를 비활성화합니다.
바이러스 백신 및 맬웨어 방지 소프트웨어는 피싱 이메일에서 악성 파일 또는 코드를 탐지하고 무력화합니다.
다단계 인증을 사용하려면 사용자 이름과 비밀번호 외에 하나 이상의 로그인 자격 증명(예: 사용자의 휴대폰으로 전송되는 일회용 코드)이 필요합니다. 다단계 인증은 피싱 사기 또는 비밀번호를 성공적으로 손상시키는 기타 공격에 대한 추가적인 최후의 방어선을 제공함으로써 스피어 피싱 공격을 약화시키고 BEC를 방지할 수 있습니다.
웹 필터는 사용자가 알려진 악성 웹 사이트('블랙리스트' 사이트)를 방문하지 못하도록 차단하고, 사용자가 악성 또는 가짜로 의심되는 웹 사이트를 방문할 때마다 경고를 표시합니다.
엔터프라이즈 사이버 보안 솔루션(예: 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR ), 확장 탐지 및 대응(XDR)은 위 기술 및 기타 기술을 지속적으로 업데이트되는 위협 인텔리전스 및 자동화된 사고 대응 기능과 결합합니다. 이러한 솔루션을 통해 조직은 피싱 사기가 사용자에게 도달하기 전에 이를 방지하고 기존의 엔드포인트 또는 네트워크 방어를 통과하는 피싱 공격의 영향을 제한할 수 있습니다.
다른 사람들이 놓치기 쉬운 지능형 위협을 포착하십시오.QRadar SIEM은 분석 및 AI를 활용하여 위협 인텔리전스, 네트워크 및 사용자 이상 행동 징후를 모니터링함으로써 즉각적인 주의와 복원이 필요한 곳에 우선순위를 부여합니다.
IBM Trusteer Rapport는 금융 기관이 소매 및 비즈니스 고객을 보호함으로써 맬웨어 감염 및 피싱 공격을 감지하고 예방할 수 있도록 지원합니다.
정교하면서도 사용하기 쉬운 EDR(엔드포인트 탐지 및 대응) 솔루션을 사용하여 사이버 공격으로부터 엔드포인트를 보호하고 비정상적인 작동을 감지하며 거의 실시간으로 문제를 해결합니다.
IBM Security에서 운영하는 사고 리더십 블로그인 Security Intelligence에서 피싱 뉴스, 동향 및 예방 기술에 대한 최신 정보를 확인하십시오.
멀웨어의 한 형태인 랜섬웨어는 파일 암호화를 풀고 액세스를 복원하는 데 대가를 지불하지 않으면 피해자의 데이터나 파일을 파괴하거나 사용을 방해하겠다고 위협합니다.
올해로 발간 17년 차에 접어든 이 보고서는 나날이 늘어가는 위협 환경에 대한 최신 인사이트를 공유할 뿐 아니라, 시간을 절약하고 손실을 제한할 수 있는 방법에 대한 권장 사항을 제공합니다.