웨일 피싱이란 무엇인가요?

웨일 피싱의 표적은 다른 사람의 승인 없이 거액의 결제나 송금 또는 민감한 정보의 공개를 승인할 수 있는 최고 경영진(CEO, CFO, COO), 기타 고위 임원, 정무직 공무원 및 조직 리더입니다. 이러한 표적은 일반인보다 더 많은 돈을 사용할 수 있는 고객(또는 도박꾼)을 가리키는 속어를 따서 웨일(고래)이라고 불립니다.

피싱, 스피어 피싱, 웨일 피싱이 어떻게 연관되어 있는지 이해하는 것이 중요한데, 이는 이 용어들이 종종 같은 의미로 사용되거나, 잘못 사용되거나 맥락 없이 사용되기 때문입니다.

피싱은 사용자를 속여 악성 링크나 첨부 파일을 통해 맬웨어를 다운로드하거나, 민감한 정보를 공유하거나, 범죄자에게 돈을 송금하거나, 자신이나 조직을 사이버 범죄에 노출시키는 기타 조치를 취하도록 유도하는 사기성 이메일, 문자 메시지 또는 전화 통화입니다.

컴퓨터나 스마트폰을 사용하는 사람은 누구나 대량 피싱 공격을 받은 적이 있을 것입니다. 기본적으로 잘 알려진 비즈니스 또는 조직에서 보낸 것처럼 보이고, 일반적이거나 신뢰할 수 있는 상황을 설명하고, 긴급 조치를 요구하는 양식 메시지를 보내기도 합니다. 예를 들어, "신용 카드 거부. 아래 링크를 클릭하여 결제 정보를 업데이트하십시오."라는 메시지를 받습니다. 링크를 클릭하는 수신자는 신용 카드 번호를 도용하거나 컴퓨터에 멀웨어를 다운로드할 수 있는 악성 웹 사이트로 이동됩니다.

대량 피싱 캠페인은 숫자 게임입니다. 공격자는 가능한 한 많은 사람들에게 메시지를 보내며, 그 중 일부는 속아서 미끼를 물게 될 것임을 알고 있습니다. 한 연구에 따르면 2022년 6개월 동안 2억 5,500만 건 이상의 피싱 메시지가 탐지되었습니다. IBM의 Cost of a Data Breach 2024 보고서에 따르면 피싱은 2024년 데이터 유출의 두 번째로 흔한 원인이었고, 피해자에게 랜섬웨어를 전달하는 가장 일반적인 방법이었습니다.

스피어 피싱은 조직 내의 특정 개인 또는 개인 집단을 표적으로 하는 피싱 공격입니다. 스피어 피싱 공격은 일반적으로 대상에 대한 권한이 있는 동료 또는 대상이 신뢰하는 동료(공급업체, 비즈니스 파트너, 고문)로 가장한 공격자가 지급 계정 관리자 및 인사 책임자를 포함하여 결제 또는 데이터 전송을 승인할 수 있는 중간 관리자를 대상으로 시작합니다.

스피어 피싱 공격은 대량 피싱 공격보다 개인화된 공격이며 더 많은 작업과 연구가 필요합니다. 하지만 이러한 추가적인 노력이 사이버 범죄자에게 역으로 도움이 될 수 있습니다. 예를 들어 스피어 피싱은 합법적인 공급업체로 위장하고 직원들을 속여 허위 인보이스를 지불하도록 유도하여 2013년부터 2015년까지 Facebook과 Google에서 미화 1억 달러 이상을 훔쳤습니다.

웨일 피싱 또는 웨일링 공격은 고위 임원이나 공무원만을 겨냥한 스피어 피싱 공격입니다. 공격자는 일반적으로 표적 조직 내 동료나 다른 조직의 동급 또는 상위 직급의 동료 또는 관계자를 가장합니다.

웨일 피싱 메시지는 고도로 개인화되어 있습니다. 공격자는 실제 발신자의 작문 스타일을 가장하고 가능한 경우 진행 중인 실제 비즈니스 대화의 컨텍스트를 참조하기 위해 많은 노력을 기울입니다. 웨일 피싱 사기범은 발신자와 표적 간의 대화를 감시하는 경우가 많으며, 많은 경우 사기범은 의심을 완전히 피하기 위해 발신자의 실제 이메일 또는 문자 메시지 계정을 탈취하여 공격 메시지를 직접 전송합니다.

웨일링 공격은 거액의 결제를 승인할 수 있는 개인을 표적으로 하기 때문에 공격자에게 더 높은 즉각적인 보상을 제공할 가능성이 높습니다.

웨일링은 공격자가 동료나 동료가 보낸 것처럼 보이는 사기성 이메일을 표적에게 보내는 스피어 피싱 공격의 또 다른 유형인 비즈니스 이메일 침해(BEC)와 동일시되기도 합니다. BEC가 항상 웨일링인 것은 아니며(하위 직급 직원을 표적으로 하는 경우가 많기 때문에), 웨일링이 항상 BEC인 것은 아니지만(항상 이메일을 수반하는 것은 아니기 때문에), 가장 비용이 많이 드는 웨일링 공격 중 상당수는 BEC 공격과도 관련이 있습니다. 예를 들면 다음과 같습니다.

• 2015년 Ubiquity Networks는 회사의 CEO와 최고 변호사를 사칭한 웨일 피싱 공격자가 최고 회계 책임자에게 비밀 인수 자금을 조달하기 위해 일련의 송금을 하도록 설득하는 이메일을 보내 단 17일 만에 약 4,700만 달러의 손실을 입었습니다.
  
  
• 2018년에 Pathe Film Group은 프랑스에 있는 Pathe 본사의 CEO인 척하는 사기꾼이 Pathe의 네덜란드 사무소 CEO에게 이메일을 보내 인수 자금을 송금해 달라고 요청하면서 1,920만 유로(2,100만 달러)의 손실을 입었습니다.
  
  
• 또한 2018년에는 이탈리아 기업 Tecnimont SpA의 CEO, 고위 경영진 및 법률 고문을 사칭한 공격자들이 회사의 인도 사업부 리더를 속여 13억 루피 (1,825만 달러) 를 홍콩의 한 은행에 송금하도록 했으며, 이는 표면적으로는 인수 자금을 조달하기 위한 것이었습니다. 이 사기의 일환으로 공격자는 "인수에 대한 세부 사항을 논의하기 위해 가짜 전화 회의를 여러 차례 진행하는 추가 단계를 거쳤습니다."

피싱, 스피어 피싱, 웨일 피싱은 모두 소셜 엔지니어링 공격의 예로, 주로 기술적 취약점보다는 사람의 취약점을 악용하여 보안을 침해하는 공격입니다. 이러한 공격은 멀웨어나 해킹에 비해 디지털 증거를 훨씬 적게 남기기 때문에 보안 팀과 사이버 보안 전문가가 탐지하거나 예방하기가 훨씬 더 어려울 수 있습니다.

대부분의 웨일링 공격은 고위급 공무원을 속여 사기성 공급업체나 은행 계좌로 송금하거나 승인 또는 주문하도록 유도하여 조직에서 거액의 돈을 훔치는 것을 목표로 합니다. 그러나 웨일링 공격에는 다음과 같은 다른 목표가 있을 수 있습니다.

• 민감한 데이터 또는 기밀 정보를 훔치는 행위. 여기에는 직원 급여 정보 또는 고객의 개인 금융 데이터와 같은 개인 데이터 도난이 포함될 수 있습니다. 그러나 웨일 피싱 사기는 지적 재산, 영업 비밀 및 기타 민감한 정보를 표적으로 삼을 수도 있습니다.
  
  
• 사용자 자격 증명 도용. 일부 사이버 범죄자는 이메일 자격 증명을 훔치기 위해 예비 웨일 피싱 공격을 시작하여 탈취한 이메일 계정에서 후속 웨일 피싱 공격을 시작할 수 있습니다. 다른 공격자들은 인증 정보를 사용하여 공격 대상 네트워크의 자산이나 데이터에 대한 높은 수준의 액세스 권한을 얻습니다.
  
  
• 멀웨어 심기. 웨일 피싱 공격의 비교적 적은 부분은 악성 첨부 파일을 열거나 악성 웹 사이트를 방문하도록 속여 랜섬웨어 또는 기타 멀웨어를 확산시키려고 시도합니다.

다시 말하지만, 대부분의 웨일 피싱 공격은 탐욕에서 비롯됩니다. 그러나 임원이나 회사에 대한 개인적인 복수, 경쟁 압력, 사회적 또는 정치적 활동에 의해 동기가 부여될 수도 있습니다. 고위 공무원에 대한 웨일링 공격은 독립적이거나 국가가 후원하는 사이버 테러 행위일 수 있습니다.

사이버 범죄자는 자신의 목표에 접근할 수 있는 웨일과 웨일에 접근할 수 있는 전송자를 선택합니다. 예를 들어, 기업의 공급망 파트너에게 지급되는 대금을 가로채려는 사이버 범죄자가 기업의 CFO에게 송장을 보내고 공급망 파트너의 CEO에게 대금 지급을 요청할 수 있습니다. 직원 데이터를 훔치려는 공격자는 CFO로 가장하여 인사 담당 부사장에게 급여 정보를 요청할 수 있습니다.

발신자의 메시지를 신뢰할 수 있고 설득력 있게 만들기 위해 웨일링 사기범은 표적과 발신자, 발신자가 근무하는 조직을 철저하게 조사합니다.

사람들이 소셜 미디어를 비롯한 온라인에서 많은 정보를 공유하고 대화를 나누기 때문에 사기범은 소셜 미디어 사이트나 웹을 검색하는 것만으로도 필요한 정보의 대부분을 찾을 수 있습니다. 예를 들어, 공격자는 잠재적 표적의 LinkedIn 프로필을 연구하는 것만으로도 그 사람의 직책, 책임, 회사 이메일 주소, 부서 이름, 동료 및 비즈니스 파트너의 이름과 직책, 최근 참석한 행사 및 출장 계획 등을 알 수 있습니다.

표적에 따라 주류, 비즈니스 및 지역 미디어는 사기범이 사용할 수 있는 추가 정보(예: 소문 또는 완료된 거래, 입찰 중인 프로젝트, 예상 건축 비용)를 제공할 수 있습니다. 해커는 일반적인 Google 검색만으로도 설득력 있는 스피어 피싱 이메일을 만들 수 있습니다.

그러나 웨일 피싱 공격을 준비할 때 사기범은 종종 추가 자료를 수집하기 위해 표적과 발신자를 해킹하는 중요한 추가 단계를 수행합니다. 이는 사기범이 추가 조사를 위해 파일 내용을 볼 수 있도록 하는 스파이웨어로 표적과 발신자의 컴퓨터를 감염시키는 것만큼 간단할 수 있습니다. 좀 더 야심찬 사기범은 보낸 사람의 네트워크를 해킹하여 보낸 사람의 이메일이나 문자 메시지 계정에 액세스하고 관찰하고 실제 대화에 참여할 수 있습니다.

공격할 때가 되면 사기범은 공격 메시지를 보냅니다. 가장 효과적인 웨일 피싱 메시지는 진행 중인 대화의 맥락에 맞는 것으로 보이며, 특정 프로젝트 또는 거래에 대한 자세한 언급을 포함하고, 신뢰할 수 있는 상황을 제시하고(프리텍스팅이라는 사회공학적 전술), 마찬가지로 신뢰할 수 있는 요청을 하는 것으로 보입니다. 예를 들어, 회사 CEO로 가장한 공격자는 CFO에게 다음 메시지를 보낼 수 있습니다.

어제 대화에 따르면 BizCo 인수를 담당한 변호사가 보낸 청구서가 첨부되어 있습니다. 계약서에 명시된 대로 내일 오후 5시(동부 표준시)까지 결제해 주세요. 감사합니다.

이 예에서 첨부된 청구서는 사기범의 은행 계좌로 직접 지불하도록 수정된 법률 회사의 청구서 사본일 수 있습니다.

표적에게 진짜처럼 보이도록 하기 위해 웨일링 메시지에는 다음을 포함한 다양한 사회공학적 전술이 포함될 수 있습니다.

• 스푸핑된 이메일 도메인. 공격자가 발신자의 이메일 계정을 해킹할 수 없는 경우에는 그와 유사한 이메일 도메인을 생성합니다(예: bill.smith@company.com의 경우 bill.smith@cornpany.com). 웨일링 이메일에는 복사된 이메일 서명, 개인정보 보호정책, 자세히 확인하지 않으면 진짜인 것처럼 보이는 기타 시각적 단서가 포함될 수도 있습니다.
  
  
• 긴박감. 중요한 마감일이나 연체료에 대한 언급과 같은 시간 압박으로 인해 표적은 요청을 신중하게 고려하지 않고 서둘러 행동하게 될 수 있습니다.
  
  
• 기밀 유지 요구. 웨일링 메시지에는 요청에 의문을 제기할 수 있는 다른 사람에게 표적이 알려지지 않도록 당분간혼자만 알고 있으라는 등의 지침이 포함되어 있는 경우가 많습니다.
  
  
• 보이스 피싱(비싱) 백업. 피싱 메시지에는 표적이 확인을 위해 전화할 수 있는 전화번호가 포함되는 경우가 점점 더 많아지고 있습니다. 일부 사기범은 피싱 이메일에 이어 인공 지능을 기반으로 발신자의 목소리를 사칭한 음성 메일 메시지를 보내기도 합니다.

웨일 피싱 공격도 모든 피싱 공격과 마찬가지로 기존의 시그니처 기반 사이버 보안 도구로 식별할 수 없는 경우가 많아 대응하기가 가장 어려운 사이버 공격 중 하나입니다. 대부분의 경우 공격자는 "인간" 보안 방어만 통과하면 됩니다. 웨일 피싱 공격은 표적의 특성과 개인화된 내용으로 인해 표적이나 관찰자에게 더욱 설득력이 있기 때문에 특히 어렵습니다.

그러나 이러한 유형의 공격을 완전히 막지는 못하더라도 조직이 웨일 피싱의 영향을 줄이기 위해 취할 수 있는 조치가 있습니다.

보안 인식 교육. 웨일 피싱은 인간의 취약성을 악용하기 때문에 직원 교육은 이러한 공격에 대한 중요한 방어선입니다. 피싱 방지 교육에는 다음이 포함될 수 있습니다.

• 직원들에게 의심스러운 이메일을 인식하는 기술 교육(예: 이메일 발신자 이름에 위조된 도메인 이름 확인)
  
  
• 소셜 네트워킹 사이트에서 '과다 공유'를 방지하는 팁
  
  
• 원치 않는 첨부 파일 절대 열지 않기, 비정상적인 결제 요청은 제2의 채널을 통해 확인하기, 공급업체에 전화하여 송장 확인하기, 이메일 내 링크를 클릭하지 않고 웹사이트로 바로 이동하기 등 안전한 업무 습관을 강조합니다.
  
  
• 경영진이 배운 내용을 적용할 수 있는 웨일 피싱 시뮬레이션을 제공합니다.

다단계 및 적응형 인증. 다단계 인증(사용자 이름과 비밀번호 외에 하나 이상의 자격 증명 필요) 및/또는 적응형 인증(사용자가 다른 기기나 위치에서 로그인할 때 추가 자격 증명 필요)을 구현하면 해커가 사용자의 이메일 비밀번호를 탈취하더라도 사용자의 이메일 계정에 액세스하는 것을 방지할 수 있습니다.

보안 소프트웨어. 단일 보안 툴로 웨일 피싱을 완전히 예방할 수는 없지만 여러 툴이 웨일 피싱 공격을 예방하거나 이로 인해 발생하는 피해를 최소화하는 역할을 할 수 있습니다.

• AI 기반 피싱 방지 소프트웨어, 스팸 필터, 보안 이메일 게이트웨이 등 일부 이메일 보안 툴은 웨일링 이메일을 탐지하고 우회하는 데 도움이 될 수 있습니다.
  
  
• 바이러스 백신 소프트웨어는 공격자가 표적 네트워크를 해킹하여 조사를 수행하거나 대화를 도청하거나 이메일 계정을 제어하는 데 사용할 수 있는 스파이웨어 또는 멀웨어를 무력화하는 데 도움이 될 수 있습니다. 또한 웨일 피싱으로 인한 랜섬웨어 또는 멀웨어 감염을 무력화하는 데 도움이 될 수 있습니다.
  
  
• 시스템 및 소프트웨어 패치는 스피어 피싱 공격자가 일반적으로 악용하는 기술적 취약성을 제거할 수 있습니다.
  
  
• 보안 웹 게이트웨이 및 기타 웹 필터링 툴은 웨일 피싱 이메일에 연결된 악성 웹 사이트를 차단할 수 있습니다.
  
  
• 엔터프라이즈 보안 솔루션은 보안 팀과 보안 운영 센터(SOC)가 웨일 피싱 공격과 관련된 악성 트래픽과 네트워크 활동을 탐지하고 차단하는 데 도움을 줄 수 있습니다. 이러한 솔루션에는 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 인시던트 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 그리고 확장 탐지 및 대응(XDR)이 포함됩니다(이에 국한되지 않음).