스피어 피싱이란 무엇입니까?

스피어 피싱은 조직 내 특정 개인 또는 그룹을 대상으로 하는 피싱 공격의 한 유형으로, 이들을 속여 민감한 정보를 유출하거나 멀웨어를 다운로드하거나 무의식적으로 승인된 결제를 공격자에게 보내도록 유도합니다.

모든 피싱 사기와 마찬가지로 스피어 피싱도 이메일, 문자 메시지 또는 전화 통화를 통해 수행될 수 있습니다. 스피어 피싱은 포괄적인 '대량 피싱' 수법으로 수천 또는 수백만 명의 잠재적 피해자를 표적으로 삼는 대신, 광범위한 연구를 기반으로 한 맞춤형 사기로 특정 개인 또는 그룹(예: 회사의 지역 영업 이사)을 표적으로 삼는다는 점에서 차이가 있습니다.

IBM의 Cost of a Data Breach 2022 보고서에 따르면 피싱은 2022년 데이터 유출의 두 번째로 흔한 원인이었습니다. McKinsey는 팬데믹이 시작된 후 스피어 피싱 공격 수가 거의 7배 증가했다고 지적합니다(ibm.com 외부 링크). 사이버 범죄자들은 보안이 허술하고 주로 이메일과 채팅 앱을 통해 동료 및 상사와 협업하는 습관으로 인해 피싱 사기에 더 취약할 수 있는 원격 근무자가 증가하고 있다는 점을 악용하고 있습니다.

또한 IBM 보고서에 따르면 피싱 공격의 침해당 평균 비용이 491만 달러로 가장 높았지만 스피어 피싱 공격의 비용은 이보다 훨씬 더 높을 수 있습니다. 예를 들어, 스피어 피싱 공격자들은 합법적인 공급업체로 위장하고 직원들을 속여 허위 인보이스를 지불하도록 유도하여 Facebook과 Google에서 미화 1억 달러 이상을 훔친 유명 공격이 있었습니다(ibm.com 외부 링크).

스피어 피싱 공격의 작동 방식

일반적인 대량 피싱 공격에서 해커는 잘 알려진 기업, 조직 또는 심지어 유명인이 보낸 것처럼 보이는 사기성 메시지를 작성합니다. 그런 다음 가능한 한 많은 사람들에게 피싱 메시지를 무차별적으로 전송하여 적어도 소수의 사람들이 속아서 주민등록번호, 신용카드 번호 또는 계정 비밀번호와 같은 중요한 정보를 제공하기를 바라는 '뿌리면 걸리겠지' 수법을 시도합니다.

반면, 스피어 피싱 공격은 특정 자산에 접근할 수 있는 특정 개인을 겨냥한 표적 공격입니다.

목표 설정

대부분의 스피어 피싱 공격은 사기성 공급업체나 은행 계좌로 결제 또는 송금하도록 속이거나 신용카드 번호, 은행 계좌 번호 또는 기타 기밀 또는 민감한 데이터를 유출하도록 유도하여 조직에서 거액의 돈을 훔치는 것을 목표로 합니다.

하지만 스피어 피싱 캠페인은 다른 피해를 입힐 수 있습니다.

랜섬웨어 또는 기타 멀웨어 확산 - 예를 들어, 위협 행위자가 Microsoft Excel 파일과 같은 악성 이메일 첨부 파일을 보내면 이 파일을 열면 멀웨어가 설치될 수 있습니다.
해커가 더 큰 공격을 수행하는 데 사용할 수 있는 사용자 이름 및 비밀번호와 같은 자격 증명을 훔칩니다. 예를 들어 해커는 사기성 '비밀번호 업데이트' 웹 페이지로 연결되는 악성 링크를 표적에게 보낼 수 있습니다.
고객이나 직원의 개인 데이터, 기업 재무 또는 영업 비밀과 같은 개인 데이터 또는 민감한 정보를 훔치는 행위

대상 선택

다음으로 스피어 피셔는 해커가 원하는 리소스에 직접 액세스할 수 있거나 멀웨어를 다운로드하여 간접적으로 액세스할 수 있는 사람 또는 그룹을 적절한 표적으로 식별합니다.

스피어 피싱 시도는 종종 회사 정책과 절차를 엄격하게 따르지 않을 수 있는 네트워크 또는 시스템 액세스 권한이 높은 중간급, 하위급 또는 신입 직원을 대상으로 합니다. 일반적인 피해자는 결제 권한이 있는 재무 관리자, 네트워크에 관리자 수준의 액세스 권한이 있는 IT 관리자, 직원의 개인 데이터에 액세스할 수 있는 HR 관리자 등입니다. (다른 유형의 스피어 피싱 공격은 임원급 직원만을 대상으로 합니다. 아래 '스피어 피싱, 웨일링 및 BEC'를 참조하십시오)

대상 조사

공격자는 표적과 가까운 사람, 즉, 표적이 신뢰하는 사람이나 조직 또는 표적이 책임이 있는 사람으로 사칭하는 데 사용할 수 있는 정보를 찾기 위해 표적에 대해 조사합니다.

사람들이 소셜 미디어를 비롯한 온라인에서 자유롭게 공유하는 정보 덕분에 사이버 범죄자들은 많은 노력을 들이지 않고도 이러한 정보를 찾을 수 있습니다. Omdia의 보고서에 따르면 해커는 약 100분 동안 일반적인 Google 검색을 통해 그럴듯한 스피어 피싱 이메일을 만들 수 있다고 합니다(ibm.com 외부 링크). 일부 해커는 회사 이메일 계정이나 메시징 앱에 침입하여 더 자세한 정보를 수집하기 위해 대화를 관찰하는 데 더 많은 시간을 할애하기도 합니다.

메시지 작성 및 전송

스피어 피싱 공격자는 이 연구를 사용하여 신뢰할 수 있는 출처 또는 사람이 보낸 것처럼 보이는 표적 피싱 메시지를 만들 수 있습니다.

예를 들어 '잭'이 ABC Industries의 매출채권 관리자라고 가정해 보겠습니다. 공격자는 잭의 공개 LinkedIn 프로필만 보고도 잭의 직책, 담당 업무, 회사 이메일 주소, 부서명, 상사의 이름과 직책, 비즈니스 파트너의 이름과 직책을 알아낸 다음 이러한 세부 정보를 사용하여 잭의 상사나 부서장이 보낸 매우 믿을 만한 이메일을 잭에게 보낼 수 있습니다:

잭에게

귀하가 XYZ Systems의 송장을 처리하는 것으로 알고 있습니다. 방금 결제 프로세스를 업데이트 중이며 향후 모든 결제를 새 은행 계좌로 송금해야 한다는 소식을 들었습니다. 다음은 새 계정 세부 정보가 포함된 최신 청구서입니다. 지금 송금해 주실 수 있습니까?

이메일에는 일반적으로 스푸핑된 이메일 주소(예: 스푸핑된 발신자의 표시 이름은 표시되지만 사기 이메일 주소는 숨겨져 있음), 유사하게 스푸핑된 동료 이메일의 참조(Cc), ABC Industries 회사 로고가 있는 이메일 서명 등 사칭한 발신자의 신원을 한눈에 알아볼 수 있는 시각적 신호가 포함되어 있습니다. 일부 사기꾼은 가장 확실한 발신자의 실제 이메일 계정을 해킹하여 계정으로 메시지를 보낼 수 있습니다.

또 다른 수법은 이메일과 문자 메시지 피싱(SMS 피싱 또는 스미싱) 또는 음성 피싱(비싱)을 결합하는 것입니다. 예를 들어, 이메일은 송장을 첨부하는 대신 Jack에게 사기꾼이 근무하는 전화번호로 XYZ Systems 지급 담당 부서에 전화하도록 지시할 수 있습니다.

스피어 피싱 공격 및 소셜 엔지니어링

스피어 피싱 공격은 심리적 압박이나 동기를 사용하여 사람들이 해서는 안 되는 행동과 일반적으로 하지 말아야 할 행동을 하도록 속이거나 조작하는 전술인 사회 공학 기술을 많이 사용합니다.

위의 스피어 피싱 이메일처럼 회사 고위 관계자를 사칭하는 것을 한 가지 예시로 들 수 있습니다.직원들은 권위를 존중하도록 조건화되어 있으며, 명령이 평범하지 않더라도 경영진의 명령을 따르지 않는 것을 무의식적으로 두려워합니다. 스피어 피싱 공격은 다음과 같은 기타 사회 공학 기술을 사용합니다.

프리텍스팅 - 대상이 인식하고 공감할 수 있는 현실적인 이야기나 상황을 조작하는 것(예: '비밀번호가 곧 만료됩니다...')
긴박감을 조성합니다(예: 공급업체로 가장하고 중요한 서비스에 대한 지불 청구가 지연되었다고 함).

감정 또는 무의식적 동기에 호소하기 - 대상의 두려움, 죄책감 또는 탐욕을 유발하거나, 대상자가 관심을 갖는 원인이나 사건을 언급하거나, 단순히 도움을 주려고(예: '찾고 있던 컴퓨터 부품을 판매하는 웹 사이트 링크가 여기 있습니다.') 시도합니다.

대부분의 스피어 피싱 캠페인은 여러 사회 공학적 수법을 결합합니다. 예를 들어, '비행기를 타려고 하는데 배터리가 떨어지고 요,있습니다. 도와주세요. 연체료를 내지 않도록 XYZ 주식회사로 송금을 서둘러주세요'라는 표적의 직속 관리자의 메모가 있을 수 있습니다.

소셜 엔지니어링에 대해 자세히 알아보기

스피어 피싱, 포경 및 BEC

특정 개인이나 그룹을 대상으로 하는 피싱 공격은 스피어 피싱 공격이지만 몇 가지 주목할 만한 하위 유형이 있습니다.

웨일링 (웨일 피싱이라고도 함)은 가장 유명하고 가치가 높은 피해자, 즉 이사회 임원이나 고위 경영진을 대상으로 하는 스피어 피싱이지만 유명인이나 정치인과 같은 비기업 대상도 공격 대상이 될 수 있습니다. 웨일러들은 이러한 표적만이 제공할 수 있는 사냥감을 쫓고 있으며, 이러한 표적에는 매우 많은 양의 현금, 매우 가치 있거나 기밀 정보가 포함됩니다.당연히 웨일링 공격에는 다른 스피어 피싱 공격보다 더 자세한 연구가 필요합니다.

비즈니스 이메일 침해(BEC)는 특히 조직에서 금전을 탈취하는 것을 목표로 하는 스피어 피싱입니다. 두 가지 일반적인 형태의 BEC는 다음과 같습니다.

CEO 사기. 사기꾼이 최고 경영진의 이메일 계정을 사칭하거나 직접 해킹하여 한 명 이상의 하위 직원에게 사기성 계좌로 자금을 이체하거나 사기성 공급업체로부터 구매하도록 지시하는 메시지를 보냅니다.
이메일 계정 손상(EAC). 사기범은 하위 직원의 이메일 계정(예: 재무, 영업, R&D 관리자)에 액세스하여 이를 사용하여 공급업체에 사기 송장을 보내고, 다른 직원에게 사기 결제 또는 입금을 지시하거나 기밀 데이터에 대한 액세스를 요청합니다.

성공적인 BEC 공격은 가장 많은 비용이 드는 사이버 범죄 중 하나입니다. BEC의 가장 잘 알려진 사례 중 하나는 CEO를 사칭한 해커가 회사 재무 부서를 설득하여 4,200만 유로를 사기성 은행 계좌로 이체하도록 한 것입니다(ibm.com 외부 링크).

스피어 피싱에 대한 조치 취하기

피싱 공격은 기존의 시그니처 기반 사이버 보안 도구로 식별할 수 없는 경우가 많고, 공격자가 '사람의' 보안 방어를 통과하기만 하면 되기 때문에 대응하기 가장 어려운 사이버 공격 중 하나입니다. 스피어 피싱 공격은 표적 특성과 개인화된 콘텐츠로 인해 일반인에게 훨씬 더 설득력이 있기 때문에 특히 어렵습니다.

그러나 스피어 피싱의 공격을 전히 막지는 못하더라도 조직이 스피어 피싱의 영향을 줄이기 위해 취할 수 있는 조치가 있습니다.

보안 인식 교육. 스피어 피싱은 인간의 본성을 이용하기 때문에 직원 교육은 이러한 공격에 대한 중요한 방어선이 됩니다. 보안 인식 교육에는 다음이 포함될 수 있습니다.

직원들에게 의심스러운 이메일을 인식하는 기술 교육(예: 이메일 발신자 이름에 위조된 도메인 이름 확인)
소셜 네트워킹 사이트에서 '과다 공유'를 방지하는 방법에 대한 팁
원치 않는 첨부 파일 절대 열지 않기, 비정상적인 결제 요청은 제2의 채널을 통해 확인하기, 공급업체에 전화하여 송장 확인하기, 이메일 내 링크를 클릭하지 않고 웹사이트로 바로 이동하기 등 안전한 업무 습관이 중요합니다.
직원이 배운 내용을 적용할 수 있는 스피어 피싱 시뮬레이션

다단계 및 적응형 인증. 다단계 인증(사용자 이름과 비밀번호 외에 하나 이상의 자격 증명 필요) 및/또는 적응형 인증(사용자가 다른 기기나 위치에서 로그인할 때 추가 자격 증명 필요)을 구현하면 해커가 사용자의 이메일 비밀번호를 탈취하더라도 사용자의 이메일 계정에 액세스하는 것을 방지할 수 있습니다.

보안 소프트웨어.단일 보안 도구로 스피어 피싱을 완전히 예방할 수는 없지만 여러 스피어 피싱 공격을 예방하거나 이로 인해 발생하는 피해를 최소화하는 역할을 할 수 있습니다.

스팸 필터 및 보안 이메일 게이트웨이와 같은 일부 이메일 보안 도구는 스피어 피싱 이메일을 탐지하고 우회하는 데 도움이 될 수 있습니다.
바이러스 백신 소프트웨어는 스피어 피싱으로 인해 발생하는, 알려진 맬웨어 또는 랜섬웨어 감염을 무력화하는 데 도움이 될 수 있습니다.

보안 웹 게이트웨이 및 기타 웹 필터링 툴은 스피어 피싱 이메일에 연결된 악성 웹 사이트를 차단할 수 있습니다.
시스템 및 소프트웨어 패치는 스피어 피싱 공격자가 일반적으로 악용하는 기술적 취약성을 제거할 수 있습니다.

엔터프라이즈 보안 솔루션은 보안 팀과 보안 운영 센터(SOC)가 스피어 피싱 공격과 관련된 악성 트래픽과 네트워크 활동을 탐지하고 차단하는 데 도움을 줄 수 있습니다. 이러한 솔루션에는 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 인시던트 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 확장 탐지 및 대응(XDR)이 포함됩니다(이에 국한되지 않음).