안녕하세요, 피플러스입니다. 국내 유명 보안 업체가 전망한 2023년 보안 위협 5대 분야 중 하나는 피싱 공격이라고 합니다.

여기서 피싱이란 우리가 알고 있는 낚시라는 단어인 fishing이 아니고 개인 정보(Pricate data)와 앞에 낚시(Fishing)이란 단어를 결합한 Phishing을 뜻합니다. 사람을 낚아 피해를 입힌다는 단어죠.

이러한 피싱이 점점 더 타깃을 특정화하면서 정교해지는 추세입니다. 심지어 피싱 공격을 판매하는 사이트까지 발견되면서 그 위험성이 더 커지고 있다고 하는데요.

미국의 경우 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다고 합니다. 우리나라에서도 마찬가지로 피싱 범죄가 점점 흔해지고 막심한 피해를 주고 있습니다.

이력서나 견적서, 계약서 등으로 위장해 오는 피싱 메일, 검사를나 은행을 사칭해 입금을 유도하는 보이스 피싱, 자녀, 택배 등으로 위장해 스마트폰으로 매일 이상한 링크 문자를 보내는 스미싱 등이 대표적인 예시이죠.

개인에게도 위협이 될 수 있지만 기업의 경우는 회사의 재산은 물론 회사의 데이터, 비밀 등 사회 혼란을 야기할 수도 있습니다. 그렇기에 피싱에 대해 미리 인지하고 철저히 보안을 해야하는데요.

지피지기, 적을 알고 나를 알면 백전 백승이라고 합니다. 오늘은 피싱 메일 유형 및 대응 방안에 대해 정리해드립니다. 어떤 유형의 피싱이 어떤 공격 유형을 하고 있는지 함께 알아보도록 하죠.

피싱 공격의 유형

피싱

가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도하는 공격을 일컫습니다. 공격은 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)이 많습니다.

개인을 공격하는 경우 택배 배송 알림 이메일, 포탈 사이트 비밀번호 만료 경고 메시지, 정기 구독 만료등을 위장하는 경우가 많죠. 하지만 어떤 공격은 더 구체적으로 기관이나 기업을 표적으로 삼는 경우가 있으며 이메일 외의 방법을 동원하는 경우도 있습니다.

스피어 피싱

피싱 공격은 사기꾼들이 위장 또는 사기 이메일을 미끼로 사용해 무작위 피해자를 낚는다는 의미에서 유래한 이름입니다. 스피어 피싱(Spear phishing) 공격은 공격자들이 가치가 높은 피해자와 기업을 구체적으로 특정해 피싱 공격을 감행하는 것입니다.

공격자 입장에서는 1,000명의 일반 소비자의 뱅킹 자격 증명을 얻는 것보다 일련의 기업을 표적으로 삼는 것이 수익성이 좋다고 생각할 수 있습니다. 국가 후원의 공격자는 다른 정부기관에서 근무하는 직원 또는 정부 관계자를 표적으로 삼아 국가 기밀을 훔칠 수 있습니다.

스피어 피싱 공격은 공격자가 수신인이 참석했던 컨퍼런스를 언급하거나 파일명이 수신인이 관심이 있는 주제를 참조하는 악성 첨부파일을 보내는 등 수신인 맞춤 정보를 작성하는 데 많은 시간을 보내기 때문에 성공률이 높습니다.

우리나라의 경우, 외교, 안보, 국방 관련 대학 교수에게 북한쪽에서 악성파일이 첨부된 사이버 공격을 수시로 시도하고 있습니다. 지금도 벌어지고 있는 러시아, 우크라이나 전쟁 중에도 두 나라는 치열하게 사이버 전쟁을 치뤘었습니다.

웨일링

같은 스피어 피싱 공격을 하더라도 기업 임원을 표적으로 한다면 얻어낼 수 있는 정보가 일반 직원이 제공할 수 있는 것보다 더 가치있을 수 있습니다. 이런 경우 웨일링(Whaling)이라 따로 부르곤 합니다. 웨일링 공격은 데이터나 고객, 직원 정보는 물론 어쩌면 돈까지 얻을 수 있는 공격이죠.

웨일링 공격을 위해서는 피해자가 누구와 자주 소통하며 어떤 논의를 하는지 파악해야 하기 때문에 공격자쪽에서도 추가적인 조사가 필요합니다. 공격자는 일반적으로 소셜 엔지니어링(사회공학적 기법)으로 시작해 피해자와 회사에 대한 정보를 수집한 후에 웨일링 공격을 시도한다고 합니다.

BEC(Business Email Compromise)공격

한명만 걸려라식의 메일을 뿌리는 경우도 있지만, 아예 마음 먹고 위장을 해서 메일로 사기를 치는 경우가 있습니다. 재무 관계자나 CEO를 사칭해 피해자가 사기 계좌로 송금하도록 속이는 경우가 대다수입니다.

일반적으로 공격자는 미리 심어놓은 악성파일이나 스피어 피싱 공격을 통해 임원 또는 재무 관계자의 이메일 계정을 해킹하는데요. 이후 공격자는 임원의 이메일 활동을 일정 기간 동안 읽고 모니터링하면서 회사 내의 프로세스와 절차에 관해 파악합니다.

실제 공격은 해킹된 임원의 계정에서 발신된 것처럼 보이는 가짜 이메일이 정상적인 수신인에게 전달되는 형태를 띄고있습니다다. 이 이메일은 중요하고 긴급해 보이며 수신인에게 외부 또는 잘 모르는 은행 계좌로 전신 송금을 하도록 요구합니다.

안티피싱 워킹 그룹(Anti-Phishing Working Group)의 2020년 2분기 피싱 활동 트렌드 보고서에 따르면, BEC 공격의 평균 송금액이 증가하고 있다. 2020년 2분기의 평균 송금 시도액은 8만 183달러였다고 합니다.

우리나라의 경우에도 몇해전 한 대기업이 이 공격에 당해 외국 은행과 소송전에 휩싸인 적이 있는데요. 사기꾼이 이메일을 해킹해 거래 정보와 계좌 정보 등을 파악한 뒤 거래처를 사칭해 ‘바뀐 거래 계좌로 송금하라’는 이메일을 보냈고, 의심없이 거래 대금을 보냈다가 피해를 보게됐죠.

클론 피싱

클론 피싱(Clone Phishing)은 공격자가 정상적인 메시지와 유사한 것을 만들어 피해자가 진짜라고 생각하도록 속이는 것입니다. 이메일이 정상적인 송신인과 유사한 주소로부터 전송되며, 메일 본문은 이전의 메시지와 같아 보입니다.

유일한 차이점은 첨부 파일이나 메일내 링크가 악성적인 것으로 바뀌었다는 점입니다. 공격자는 원본 또는 업데이트된 버전을 다시 보냈다고 이야기하면서 피해자가 왜 ‘같은’ 메시지를 다시 받게 됐는지를 조리있게 설명합니다. 그리고 이 공격은 앞서 본 정상적인 메일에 기초하기 때문에 피해자가 공격에 당할 가능성이 더 높습니다. 주의해야할 공격이죠.

최근에는 저희가 많이 사용하는 네이버나 카카오를 비슷하게 흉내내 정보를 탈취하는 해킹 수법이 많습니다. 이메일 주소를 정확히 확인하고, 같은 메일이 두번 올 경우 발신인을 자세히 파악하는 습관을 들여야합니다.

보이스 피싱

일반적으로 피해자는 전화로 금융 기관이나 법적 기관을 사칭한 전화를 받게 됩니다. 전화를 받으면 보안 또는 기타 공식적인 목적을 위해 어떤 번호로 전화를 걸어 계좌 정보를 요구하거나 직접적으로 입금을 하라 요청을 할 수 있습니다.

우리나라에서 특히 많이 일어나는 피싱 범죄입니다. 공식 기관에서 먼저 개인정보나 돈을 출금 입금하라는 요구를 하는 경우는 결코 없으니 혹여 이런 전화를 받는다면 당황하지마시고 피싱임을 인지하는게 중요합니다.

스미싱

‘피싱’과 문자 메시지 서비스 ‘SMS’의 혼성어인 스미싱(Smishing)은 오해의 소지가 있는 문자 메시지로 피해자를 속이는 공격입니다. 목표는 메시지를 신뢰할 수 있는 사람이나 기관이 보냈다고 믿게 하고 공격자에게 악용할 수 있는 정보(은행 계좌 로그인 자격 증명 등)를 직접적으로 보내라고 하거나 가짜 페이지로 연결되는 링크를 보내 정보를 입력하라고 합니다.

일반적으로 사람들은 이메일보다는 문자 메시지를 읽고 반응할 가능성이 더 높다고 합니다. 또 요즘은 스마트폰으로 은행 거래를 하는 사람이 더욱 많아졌죠. 때문에 이를 노린 스미싱이 급증하고 있습니다.

특히 요즘 같은 연말에는 연말정산이나 대출, 세금 등 키워드를 이용하여 스미싱을 시도하고 있으니 각별히 주의하셔야합니다.

스노우슈잉

스노우슈잉(Snowshoeing) 이라 불리는 공격은 해커가 아직 스팸이라고 밝혀지지 않은 여러 도메인과 IP 주소를 통해 메시지를 발송한다고 합니다. 각 IP 주소는 소량의 메시지를 발송하기 때문에 이를 악성 메시지를 인식하지 않아 차단할 수 없다고 하죠.

우리나라에선 아직 많이 알려지진 않았지만 알려지지 않은만큼 주의해야할 피싱 유형입니다.

피싱 대처하는 방법

개인의 경우

각종 피싱 시도에서 스스로를 현명하게 지켜야합니다. 법적 기관을 사칭하거나 은행을 사칭하는 이메일, 문자, 전화 등 다양한 피싱이 자주 오는데요. 우선 전화 번호를 확인하시고 개인 정보나, 입금 등의 요구가 있을 경우 이에 응하면 안됩니다.

모르는 번호나 기관에서 링크를 포함한 문자가 왔을시에도 링크를 클릭하시면 안됩니다. 그럴듯해 보이는 가짜 사이트로 연결하거나, 악성 프로그램을 설치하여 피해를 줄 수도 있습니다.

혹시라도 개인 정보나 입금을 했을 경우, 빠르게 경찰이나 은행에 신고해 도움을 받는게 좋습니다.

단체의 경우

기업이나 기관의 경우 개인보다 피싱의 피해가 훨씬 커질 수 있습니다. 금액도 금액이지만, 중요한 기술이나 민감한 정보 등이 유출된다면 사회적 혼란까지 유발할 수 있습니다. 때문에 개인적 차원의 보안 교육은 물론 피싱을 차단할 수 있는 시스템을 갖춰야합니다.

최근에는 기업 담당자의 계정을 노려 발주, 견적, 구매, 이력서 등으로 위장하는 피싱 메일이 많으니 이같은 메일이 올시엔 보낸 주소를 잘 확인하고, 기업내 보안 담당자에게 보고해야합니다. 또 업무나 직급에 따라서 접근할 수 있는 데이터에 차등을 두어 유출 가능성과 피해 정도를 줄여야 합니다.

시스템적으로는 DLP 솔루션이나 문서중앙화 솔루션을 설치해 내부 자료가 유출될 수 없는 환경을 조성해야합니다. 덧붙여 만약 업무가 문서를 통해 주로 진행되는 경우라면 하루에도 오고가는 문서의 양이 보통이 아닐텐데요. 이런 경우 보안 자체가 힘들고 보안 인식도 희미해질 수도 있습니다. 만약 이런 기업이나 기관의 경우 이메일 보안에 특화된 솔루션 도입을 고려해보는 것도 좋습니다.

피싱 메일 보안 시스템 구축

사실상 어떤 기업도 피싱 메일에서 100% 안전하다고 확신할 수 없습니다. 외부와의 소통 창구가 열려 있는한 피싱 시도는 계속 있을 것입니다. 그렇기에 피싱 메일에 노출될 확률이 높은 기업이라면 철저한 교육과 시스템을 통해 유출 가능성을 최소화시켜야합니다.

저희 피플러스에는 피싱 메일을 통한 기업, 기관 내부 정보 유출을 막기 위한 솔루션인 그라디우스 DLP, 문서중앙화시스템 클라우독, 악성코드 보안에 특화되어 이메일이나 첨부 파일의 위협에서 안전하게 지켜주는 시큐레터가 준비되어있습니다.

피싱 메일을 대처할 수 있는 시스템을 구축하시려면 피플러스(031-784-8500)로 문의주세요. 또는 아래 문의하기 링크를 통해 접수해주시면 전문 담당자와 엔지니어를 통해 현상황 진단부터 개선 방안까지 자세히 도와드리도록 하겠습니다.

제품에 대해 궁금한 점이 있으신가요?
빠르고 정확한 답변을 도와드리겠습니다.

TEL : 031-784-8500~1
E-mail : sales@pplus.co.kr