스피어 피싱이란 무엇입니까?

모든 피싱 사기와 마찬가지로 스피어 피싱은 가짜 이야기와 사기적 시나리오를 통해 피해자를 조종하는 것을 포함합니다. 스피어 피싱 공격은 이메일 메시지, 문자 메시지, 채팅 앱 또는 전화 통화를 통해 수행될 수 있습니다.

IBM의 데이터 유출 비용(CODB) 보고서에 따르면 피싱은 데이터 침해의 가장 흔한 원인입니다. 스피어 피싱은 사이버 범죄자가 표적에게 최대한 설득력 있게 사기를 조정하기 때문에 가장 효과적인 피싱 형태 중 하나입니다.

Barracuda의 보고서에 따르면 500억 건의 이메일을 분석한 결과, 스피어 피싱은 전체 이메일의 0.1% 미만을 차지했지만 성공적인 침해의 66%를 유발한 것으로 나타났습니다.¹ 데이터 유출 비용(CODB) 보고서에 따르면 피싱으로 인한 평균 유출 비용은 476만 달러이지만, 스피어 피싱 공격은 1억 달러까지 증가할 수 있습니다.²

사회공학적 공격의 한 형태인 스피어 피싱은 네트워크 취약점보다는 인간의 본성을 악용합니다. 이에 효과적으로 대응하려면 사이버 보안 팀은 교육과 고급 위협 탐지 도구를 결합하여 이 교묘한 위협에 대한 강력한 방어 체계를 구축해야 합니다.

피싱은 사기성 메시지를 사용하여 피해자를 조종하는 모든 사회 공학적 공격을 포함하는 광범위한 범주입니다. 스피어 피싱은 신중하게 선택한 표적에 초점을 맞춘 피싱의 하위 집합입니다.

“벌크 피싱”이라고도 하는 전형적인 피싱 공격은 숫자 게임입니다. 해커는 신뢰할 수 있는 기업, 조직 또는 유명인이 보낸 것처럼 보이는 사기성 메시지를 만듭니다.

해커는 이러한 피싱 메시지를 수백 또는 수천 명의 사람들에게 보내 일부를 속여 가짜 웹사이트를 방문하거나 주민등록번호와 같은 중요한 정보를 제공하도록 유도합니다.

하지만 스피어 피싱 공격은 사이버 범죄자가 원하는 자산에 액세스할 수 있는 특정 개인을 겨냥한 표적 공격입니다.

스피어피싱 공격자는 기업 임원이나 회사의 지역 영업 이사 등 특정한 사람이나 집단을 표적으로 삼습니다. 이들은 표적의 개인적, 직업적 삶에 대한 광범위한 조사를 실시하고, 그 조사 결과를 바탕으로 신뢰성이 높은 사기 메시지를 작성합니다.

대부분의 스피어 피싱 공격은 다음과 같은 4단계 프로세스를 따릅니다.

1. 목표 설정 
2. 대상 선택
3. 대상 조사 
4. 피싱 메시지 작성 및 전송

많은 스피어 피싱 사기는 조직에서 많은 돈을 훔치는 것을 목표로 합니다. 스피어 피셔는 몇 가지 방법으로 이를 수행할 수 있습니다. 일부는 피해자를 속여 사기 판매자에게 결제 또는 송금을 하도록 유도합니다. 다른 공격자들은 피해자가 신용카드 번호, 은행 계좌 번호 또는 기타 금융 데이터를 공유하도록 유도합니다.

스피어 피싱 캠페인에는 다음과 같은 다른 해로운 목적도 있을 수 있습니다.

• 랜섬웨어 또는 기타 맬웨어를 확산시킵니다. 예를 들어, 위협 행위자는 무해한 Microsoft Word 문서로 위장한 악성 이메일 첨부 파일을 보낼 수 있습니다. 피해자가 파일을 열면 장치에 자동으로 맬웨어가 설치됩니다.
  
  
• 해커가 더 큰 공격을 수행하는 데 사용할 수 있는 사용자 이름 및 비밀번호와 같은 로그인 자격 증명을 훔칩니다. 예를 들어 해커는 사기성 '비밀번호 업데이트' 페이지로 연결되는 악성 링크를 표적에게 보낼 수 있습니다. 이 가짜 웹사이트는 피해자가 입력한 자격 증명을 해커에게 바로 전송합니다.
  
  
• 고객 또는 직원의 개인 데이터, 지적 재산 또는 영업 비밀과 같은 민감한 정보를 훔치는 행위가 있습니다. 예를 들어 스피어 피싱은 동료인 것처럼 가장하여 피해자에게 기밀 보고서를 공유하기 위해 요청할 수 있습니다.

그런 다음 스피어 피싱범은 피해를 입힐 표적을 파악합니다. 표적은 해커가 직접적으로(예: 지불) 또는 간접적으로(예: 스파이웨어 다운로드) 원하는 리소스에 액세스할 수 있도록 할 수 있는 사람입니다.

스피어 피싱 시도는 네트워크 또는 시스템 권한이 높은 중간급, 하위 직급 또는 신입 사원을 대상으로 하는 경우가 많습니다. 이러한 직원들은 고위급 대상자들보다 회사 정책을 따르는 데 있어 덜 철저할 수 있습니다. 이들은 사기범이 고위 임원인 척하는 등의 압박 전술에 더 쉽게 휘말릴 수도 있습니다.

일반적인 피해자는 결제 권한이 있는 재무 관리자, 네트워크에 관리자 수준의 액세스 권한이 있는 IT 관리자, 직원의 개인 데이터에 액세스할 수 있는 HR 관리자 등입니다.

다른 유형의 스피어 피싱 공격은 임원급 직원만을 표적으로 합니다. 자세한 내용은 "스피어 피싱, 웨일링(whaling) 및 BEC" 섹션을 참조하세요.

공격자는 대상을 조사하여 친구, 동료 또는 상사와 같이 대상과 가까운 신뢰할 수 있는 출처를 가장할 수 있는 정보를 찾습니다.

사람들이 소셜 미디어를 비롯한 온라인에서 자유롭게 공유하는 정보 덕분에 사이버 범죄자들은 많은 노력을 들이지 않고도 이러한 정보를 찾을 수 있습니다. 많은 해커가 단 몇 시간의 Google 검색만으로 그럴듯한 스피어 피싱 이메일을 만들 수 있습니다.

일부 해커는 더 나아갑니다. 그들은 회사 이메일 계정이나 메시징 앱에 침입하여 훨씬 더 자세한 정보를 수집하기 위해 표적을 관찰하는 데 시간을 할애합니다.

스피어 피싱 공격자는 연구를 통해 매우 신뢰할 수 있는 표적 피싱 메시지를 만듭니다. 핵심은 이러한 메시지에는 개인적이고 전문적인 세부 정보가 포함되어 있어, 대상자가 이를 신뢰할 수 있는 출처만이 알고 있을 것이라고 착각하게 만든다는 점입니다.

예를 들어, 잭이 ABC Industries의 계정 지급 관리자라고 상상해 보십시오. 공격자는 잭의 공개 LinkedIn 프로필을 통해 그의 직책, 책임, 회사 이메일 주소, 상사의 이름과 직책, 비즈니스 파트너의 이름과 직책을 알아낼 수 있습니다.

해커는 이러한 세부 정보를 사용하여 잭의 상사가 보낸 것으로 믿을 수 있는 이메일을 다음과 같이 보낼 수 있습니다.

잭에게

귀하가 XYZ Systems의 송장을 처리하는 것으로 알고 있습니다. 방금 결제 프로세스를 업데이트 중이며 향후 모든 결제를 새 은행 계좌로 송금해야 한다는 소식을 들었습니다. 다음은 새 계정 세부 정보가 포함된 최신 청구서입니다. 지금 송금해 주실 수 있습니까?

첨부된 송장은 가짜이며, '새 은행 계좌'는 사기범이 소유한 것입니다. 잭은 공격자가 결제를 할 때 공격자에게 돈을 전달합니다.

피싱 이메일에는 일반적으로 사기에 대한 신뢰성을 더하는 시각적 단서가 포함되어 있습니다. 예를 들어 공격자는 Jack의 상사의 표시 이름을 표시하지만 공격자가 사용한 사기성 전자 메일 주소를 숨기는 스푸핑된 전자 메일 주소를 사용할 수 있습니다.

공격자는 또한 스푸핑된 동료의 이메일을 CC로 보내고 ABC Industries 회사 로고가 있는 서명을 삽입할 수도 있습니다.

노련한 사기꾼은 Jack의 상사의 실제 이메일 계정을 해킹하여 거기에서 메시지를 보낼 수도 있으므로 Jack은 의심할 이유가 없습니다.

일부 사기범들은 피싱 이메일과 문자 메시지(“SMS 피싱” 또는 “스미싱”) 또는 전화 통화(“보이스 피싱” 또는 “비싱”) 를 결합하는 하이브리드 스피어 피싱 캠페인을 벌입니다.

예를 들어, 이메일은 가짜 인보이스를 첨부하는 대신 Jack에게 사기꾼이 비밀리에 관리하는 전화번호로 XYZ Systems 계정 지급 부서에 전화하도록 지시할 수 있습니다.

하이브리드 스피어 피싱 공격은 여러 가지 통신 모드를 사용하기 때문에 표준 스피어 피싱 공격보다 더 효과적인 경우가 많습니다.

스피어 피싱 공격은 피해자의 신뢰를 얻는 것 외에도 종종 사회 공학적 기술을 사용하여 표적에게 심리적 압력을 가해 일반적으로 취하지 않을 행동을 유도합니다.

한 가지 예는 이전 섹션의 스피어 피싱 이메일에서와 같이 회사 고위 관계자를 사칭하는 것입니다. 직원들은 권위를 존중하도록 길들어져 있어 경영진의 명령이 통상적이지 않더라도 따르지 않으려는 경향이 있습니다.

다른 일반적인 소셜 엔지니어링 전술은 다음과 같습니다.

• 프리텍스팅: 표적이 인식하고 공감할 수 있는 현실적인 이야기나 상황을 만들어내는 것입니다. 예를 들어, 스피어 피싱 공격자는 IT 직원으로 가장하여 표적에게 정기적으로 비밀번호를 업데이트해야 할 때라고 말할 수 있습니다.

• 긴박감 조성: 예를 들어 피싱 공격자는 공급업체인 척하면서 중요한 서비스에 대한 지불이 늦었다고 주장할 수 있습니다.

• 강한 감정에 호소하기: 두려움, 죄책감, 감사함 또는 탐욕을 유발하거나 표적이 귀중하게 여기는 것을 언급하면 피해자의 판단력이 흐려지고 사기에 더 취약해질 수 있습니다. 예를 들어, 표적의 상사로 위장한 사기범은 "급한 요청을 도와주겠다"며 "보상"을 약속할 수 있습니다.

인공 지능(AI), 특히 생성형 AI(gen AI ) 의 활용도가 높아짐에 따라 스피어 피셔는 정교하고 매우 효과적인 공격을 더 쉽게 수행할 수 있습니다.

 IBM의 X-Force Threat Intelligence Index에 따르면 사기범이 피싱 이메일을 수작업으로 작성하는 데 16시간이 걸리는 것으로 나타났습니다. AI를 사용하면 사기범은 단 5분 만에 이러한 메시지를 작성할 수 있습니다.

특히 스피어 피싱 공격자들에게 AI는 사기에서 가장 까다로운 부분들을 간소화해 줄 수 있습니다. 예를 들어, 사기범들은 AI를 사용하여 대상자의 소셜 미디어 프로필에서 정보를 자동으로 추출할 수 있습니다. 그들은 대상자가 가장하려는 사람들의 글 샘플을 생성형 AI 툴에 입력하여, AI가 더 신뢰할 수 있는 피싱 메시지를 생성하도록 할 수 있습니다.

또한 사기범은 AI를 사용하여 가짜 청구서, 이메일 템플릿, 보고서 및 기타 자료와 같은 설득력 있는 허위 문서를 만들 수 있습니다. 해커는 심지어 AI로 생성한 비디오와 음성 녹음을 사용하여 사기와 실제 통신을 구별하기 더욱 어렵게 만들 수 있습니다.

스피어 피싱 공격에는 두 가지 주목할 만한 하위 유형이 있습니다. 바로 웨일링(또는 "고래 피싱")과 비즈니스 이메일 침해(BEC)입니다.

웨일링 공격과 일반 스피어 피싱의 가장 큰 차이점은 웨일링 공격은 특히 가장 유명하고 가치가 높은 피해자를 대상으로 한다는 점입니다. 이사회 구성원, 최고 경영진, 유명인 또는 정치인이 그 예입니다. 웨일링 공격자들은 이러한 대상자들만 제공할 수 있는 사냥감을 노립니다. 예를 들어, 대규모 현금이나 고도로 기밀 정보에 대한 접근 권한 등이 있습니다.

BEC 공격은 특히 조직을 탈취하는 것을 목표로 하는 스피어 피싱 사기입니다. 두 가지 일반적인 형태의 BEC는 다음과 같습니다.

• CEO 사기: 사기꾼은 이메일 계정, 채팅 앱 또는 기타 커뮤니케이션 채널을 스푸핑하거나 하이재킹하여 C 레벨 임원을 사칭합니다. 사기꾼은 하위 직원 한 명 이상에게 메시지를 보내 사기 계좌로 자금을 이체하거나 사기 공급업체에서 구매하라고 지시합니다.
  
  

• 이메일 계정 침해(EAC): 사기범이 재무 또는 영업 담당 관리자와 같은 하위 직원의 이메일 계정에 액세스하는 경우입니다. 사기범은 이 계정을 사용하여 업체에 사기성 인보이스를 보내고, 다른 직원에게 사기성 결제를 지시하거나 기밀 데이터에 대한 액세스를 요청합니다.

미국 연방수사국(FBI)의 인터넷 범죄 보고서에 따르면 BEC 공격은 가장 비용이 많이 드는 사이버 위협 중 하나로, 2023년에 총 29억 달러의 손실이 보고된 것으로 나타났습니다.³

피싱 공격은 기존 사이버 보안 도구가 항상 탐지할 수 없기 때문에 대응하기 가장 어려운 사이버 공격 중 하나입니다. 스피어 피싱 공격은 표적 공격의 특성과 개인화된 콘텐츠로 인해 일반인에게 더욱 설득력이 있기 때문에 차단하기가 특히 어렵습니다.

하지만 스피어 피싱에 대한 방어를 강화하고 공격 성공 가능성을 줄이기 위해 조직이 취할 수 있는 조치가 있습니다. 

• 보안 인식 교육
• ID 및 액세스 관리 제어
• 사이버 보안 제어

스피어 피싱 공격은 시스템 취약점이 아니라 사람을 대상으로 하기 때문에 직원 교육은 중요한 예방 정책입니다. 보안 인식 교육에는 다음이 포함될 수 있습니다.

• 스푸핑된 이메일 주소, 잘못된 철자 및 문법, 비정상적으로 높은 위험, 이상한 요청 등 의심스러운 이메일을 식별하는 기법
  
  
• 소셜 네트워킹 사이트에서 과도한 공유를 방지하는 방법에 대한 팁
  
  
• 사기에 대응하기 위한 조직 정책 및 프로세스(예: 원치 않는 첨부 파일을 열지 않고 조치를 취하기 전에 두 번째 채널을 통해 비정상적인 결제 요청을 확인하는 등)
  
  
• 직원들이 배운 내용을 적용하고 보안팀이 취약점을 식별하여 문제를 해결할 수 있도록 하는 스피어 피싱 시뮬레이션 및 침투 테스트

역할 기반 액세스 제어와 다중 인증(MFA)과 같은 IAM 도구는 해커가 사용자 계정이나 민감한 데이터에 접근하는 것을 방지할 수 있습니다. 예를 들어, 임원들이 이메일 계정에 MFA를 활성화하면, 해커는 해당 계정을 탈취하기 위해 단순한 비밀번호 이상의 정보가 필요하게 됩니다.

단일 보안 제어로는 스피어 피싱을 완전히 막을 수 없지만, 여러 도구를 사용하면 스피어 피싱 공격을 예방하거나 그로 인한 피해를 최소화하는 데 도움이 될 수 있습니다.

• 스팸 필터와 보안 이메일 게이트웨이와 같은 이메일 보안 툴은 스피어 피싱 이메일을 실시간으로 탐지하고 차단하는 데 도움이 될 수 있습니다.

• 바이러스 백신 소프트웨어는 스피어 피싱으로 인한 멀웨어 또는 랜섬웨어 감염을 무력화하는 데 도움이 될 수 있습니다.

• 보안 웹 게이트웨이, 방화벽 및 기타 웹 필터링 도구는 스피어 피싱 이메일이 사용자를 악성 웹사이트로 유도하는 것을 차단할 수 있습니다.

• 시스템 및 소프트웨어 패치는 스피어 피싱 공격자가 일반적으로 악용하는 기술적 취약성을 제거할 수 있습니다.

• 엔드포인트 탐지 및 대응(EDR) 및 통합 엔드포인트 관리(UEM) 솔루션과 같은 엔드포인트 보호 툴은 사기범이 디바이스를 탈취하거나, 사용자를 사칭하거나, 맬웨어를 심는 것을 방지할 수 있습니다.

• 보안 인시던트 및 이벤트 관리(SIEM), 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼과 같은 엔터프라이즈 보안 솔루션은 스피어 피싱 공격과 관련된 악성 네트워크 활동을 탐지하고 차단하는 데 도움을 줄 수 있습니다.