업데이트 날짜: 2024년 5월 17일
기고자: Matthew Kosinski
피싱 공격은 사기성 이메일, 문자 메시지, 전화 통화 또는 웹사이트를 사용하여 사람들을 속여 민감한 데이터를 공유하거나 멀웨어를 다운로드하거나 사이버 범죄에 노출되도록 합니다.
피싱 사기는 소셜 엔지니어링의 한 형태입니다. 네트워크와 리소스를 직접 표적으로 삼는 다른 사이버 공격과 달리 소셜 엔지니어링 공격은 인적 오류, 가짜 스토리 및 압력 전술을 사용하여 피해자가 의도하지 않게 자신이나 조직에 해를 끼치도록 조종합니다.
일반적인 피싱 시도에서 해커는 동료, 상사, 권위자 또는 유명 브랜드의 대표자처럼 피해자가 신뢰하는 사람인 것처럼 가장합니다. 해커는 피해자에게 인보이스를 지불하거나, 첨부 파일을 열거나, 링크를 클릭하거나, 다른 조치를 취하도록 지시하는 메시지를 보냅니다.
사용자는 메시지의 출처를 신뢰하기 때문에 지침을 따르고 사기꾼의 함정에 바로 빠지게 됩니다. 해당 '인보이스'는 해커의 계정으로 직접 연결될 수 있습니다. 해당 첨부 파일은 사용자 장치에 랜섬웨어를 설치할 수 있습니다. 해당 링크는 사용자가 신용카드 번호, 은행 계좌 번호, 로그인 자격 증명 또는 기타 개인 데이터를 훔치는 웹사이트로 이동하도록 할 수 있습니다.
피싱은 사이버 범죄자들 사이에서 인기가 있으며 매우 효과적입니다. IBM의 데이터 유출 비용 보고서에 따르면 피싱은 가장 흔한 데이터 유출 벡터로, 전체 침해의 16%를 차지합니다. 피싱으로 인한 침해로 인해 조직은 평균 476만 달러의 비용을 지출했으며, 이는 전체 평균 침해 비용인 445만 달러보다 높은 수치입니다.
피싱은 기술적 취약점이 아니라 사람을 착취하기 때문에 심각한 위협입니다. 공격자는 시스템을 직접 침해하거나 사이버 보안 도구를 능가할 필요가 없습니다. 이들은 돈, 민감한 정보 등 공격 대상에 대한 접근 권한이 있는 사람들을 속여 더러운 일을 하도록 유도할 수 있습니다.
피싱 범죄자는 단독 사기꾼일 수도 있고 정교한 범죄 조직일 수도 있습니다. 이들은 신원 도용, 신용카드 사기, 금전 절도, 갈취, 계정 탈취, 스파이 활동 등을 포함한 많은 악의적인 목적으로 피싱을 사용할 수 있습니다.
피싱 대상은 일반인부터 주요 기업 및 정부 기관에 이르기까지 다양합니다. 가장 잘 알려진 피싱 공격 중 하나로, 러시아 해커들은 가짜 비밀번호 재설정 이메일을 사용하여 힐러리 클린턴의 2016년 미국 대통령 선거 캠페인에서 수천 개의 이메일을 훔쳤습니다.1
피싱 사기는 사람을 조종하기 때문에 표준 네트워크 모니터링 도구와 기법으로는 이러한 공격이 진행 중일 때 항상 포착할 수 없습니다. 실제로 클린턴 캠페인 공격에서는 캠페인의 IT 헬프 데스크조차도 사기성 비밀번호 재설정 이메일이 진짜라고 생각했습니다.
피싱에 대응하기 위해 조직은 고급 위협 탐지 도구와 강력한 직원 교육을 결합하여 사용자가 사기 시도를 정확하게 식별하고 안전하게 대응할 수 있도록 해야 합니다.
해커, 대응자, 연구원, 인텔리전스 분석가로 구성된 X-Force 팀이 조직의 특정 보안 과제와 IBM의 도움을 받을 수 있는 방법에 대해 논의합니다.
X-Force Threat Intelligence Index 등록하기
"피싱"이라는 단어는 낚시꾼이 미끼를 사용하여 실제 물고기를 낚는 것과 마찬가지로 사기꾼이 매력적인 "미끼"를 사용하여 피해자를 속인다는 사실에 착안한 것입니다. 피싱에서 미끼는 신뢰할 수 있는 것처럼 보이고 두려움, 탐욕 및 호기심과 같은 강한 감정을 불러일으키는 사기성 메시지입니다.
피싱 사기꾼이 사용하는 미끼의 종류는 표적이 누구인지, 무엇을 노리는지에 따라 달라집니다. 피싱 공격의 몇 가지 일반적인 예는 다음과 같습니다.
대량 이메일 피싱에서 사기꾼은 가능한 한 많은 사람들에게 스팸 이메일을 무차별적으로 보내 대상의 일부가 공격에 속기를 바랍니다.
사기꾼들은 종종 은행, 온라인 소매업체 또는 인기 앱 제조업체와 같은 합법적인 대형 기업에서 보낸 것처럼 보이는 이메일을 만듭니다. 사기꾼은 잘 알려진 브랜드를 사칭함으로써 공격 대상이 해당 브랜드의 고객일 가능성을 높입니다. 대상이 특정 브랜드와 정기적으로 상호 작용하는 경우 해당 브랜드에서 보낸 것처럼 위장한 피싱 이메일을 열 가능성이 더 높습니다.
사이버 범죄자들은 피싱 이메일을 진짜처럼 보이게 하기 위해 많은 노력을 기울입니다. 이들은 사칭한 발신자의 로고와 브랜드를 사용할 수 있습니다. 이메일 주소를 스푸핑하여 마치 사칭한 발신자의 도메인 이름에서 보낸 것처럼 보이게 할 수 있습니다. 심지어 사칭한 발신자가 보낸 진짜 이메일을 복사하여 악의적인 목적으로 수정할 수도 있습니다.
사기꾼은 강한 감정에 호소하거나 긴박감을 조성하기 위한 이메일 제목을 작성합니다. 교묘한 사기꾼은 "주문에 문제가 있습니다" 또는 "송장이 첨부되어 있습니다"와 같이 사칭한 발신자가 실제로 언급할 수 있는 제목을 사용합니다.
이메일 본문은 수신자에게 민감한 정보를 누설하거나 멀웨어를 다운로드하는 것으로 이어지는 겉보기에 합리적인 조치를 취하도록 지시합니다. 예를 들어 피싱 링크에는 "프로필을 업데이트하려면 여기를 클릭하십시오"라고 표시될 수 있습니다. 피해자가 악성 링크를 클릭하면 로그인 자격 증명을 도용하는 가짜 웹사이트로 이동합니다.
일부 사기꾼은 사람들이 압박감을 느끼기 쉬운 휴일이나 기타 이벤트에 맞춰 피싱 캠페인의 시간을 조정합니다. 예를 들어, Amazon 고객에 대한 피싱 공격은 온라인 소매업체의 연례 판매 이벤트인 프라임 데이(Prime Day)에 급증하는 경우가 많습니다.2 사기꾼은 사람들의 낮은 경계심을 악용하여 가짜 거래 및 결제 문제에 대한 이메일을 보냅니다.
스피어 피싱은 특정 개인을 대상으로 하는 표적 피싱 공격입니다. 표적은 일반적으로 민감한 데이터에 대한 액세스 권한이 있거나 회사 계정에서 돈을 이체할 수 있는 재무 관리자와 같이 사기꾼이 악용할 수 있는 특별한 권한을 가진 사람입니다.
스피어 피셔는 표적을 연구하여 친구, 상사, 동료, 공급업체 또는 금융 기관 등 표적이 신뢰할 수 있는 사람으로 위장하는 데 필요한 정보를 수집합니다. 사람들이 공개적으로 동료를 축하하고 공급업체를 지지하며 과도하게 공유하는 경향이 있는 소셜 미디어와 전문 네트워킹 사이트는 스피어 피싱 연구를 위한 풍부한 정보 소스입니다.
스피어 피셔는 연구를 통해 특정 개인 정보가 포함된 메시지를 제작하여 표적이 신뢰할 수 있도록 메시지를 만듭니다. 예를 들어, 스피어 피싱범은 대상의 상사로 가장하여 "오늘 밤 휴가를 떠날 예정인데 오늘 업무 마감 전에 이 송장을 지불해 주시겠어요?"라는 이메일을 보낼 수 있습니다.
최고 경영진, 부유층 또는 기타 고액 자산가를 노리는 스피어 피싱 공격을 고래 피싱 또는 고래잡이 공격이라고도 합니다.
BEC는 기업이나 기타 조직에서 영업 비밀, 고객 데이터, 금융 정보 등 돈이나 귀중한 정보를 훔치려는 스피어 피싱 공격의 일종입니다.
BEC 공격은 여러 가지 형태를 취할 수 있습니다. 다음에서는 가장 일반적인 두 가지 형태에 대해 설명합니다.
- CEO 사기: 사기꾼은 종종 임원의 이메일 계정을 탈취하여 최고 경영진을 사칭합니다. 사기범은 하위 직원에게 사기성 계좌로 자금을 이체하거나 사기성 공급업체로부터 구매하거나 승인되지 않은 당사자에게 파일을 보내도록 지시하는 메시지를 보냅니다.
- 이메일 계정 침해(EAC): 사기꾼이 재무, 영업 또는 연구 개발 담당자의 계정과 같은 하위 직원의 이메일 계정을 침해하는 경우입니다. 사기꾼은 이 계정을 사용하여 공급업체에 사기성 인보이스를 보내거나, 다른 직원에게 사기성 결제를 지시하거나, 기밀 데이터에 대한 액세스를 요청합니다.
BEC 공격은 가장 비용이 많이 드는 사이버 공격 중 하나일 수 있으며, 사기꾼은 한 번에 수백만 달러를 훔치는 경우가 많습니다. 한 가지 주목할 만한 사례로, 사기꾼 그룹이 합법적인 소프트웨어 공급업체로 위장하여 Facebook과 Google에서 1억 달러 이상을 훔친 사건이 있었습니다.3
일부 BEC 사기꾼은 이러한 세간의 이목을 끄는 전술에서 벗어나 더 많은 대상에 대한 소규모 공격을 시작하고 있습니다. 피싱 방지 워킹 그룹(APWG)에 따르면 2023년에 BEC 공격은 더 자주 발생했지만, 사기꾼들은 공격할 때마다 평균적으로 더 적은 금액을 요구했습니다.4
SMS 피싱, 즉 스미싱은 가짜 문자 메시지를 사용하여 대상을 속입니다. 사기범은 일반적으로 피해자의 이동통신사를 사칭하여 "사은품"을 제공하거나 신용카드 정보를 업데이트하라는 문자를 보냅니다.
일부 스미셔는 미국 우체국이나 다른 배송업체를 사칭하기도 합니다. 이들은 피해자에게 주문한 물품을 받으려면 수수료를 지불해야 한다는 문자를 보냅니다.
보이스 피싱 또는 비싱은 전화 통화를 통해 이루어지는 피싱입니다. APWG에 따르면 비싱 사건은 최근 몇 년 동안 폭발적으로 증가하여 2022년에서 2023년 사이에 260% 증가했습니다.5 비싱의 증가는 부분적으로 사기꾼이 하루에 수백만 건의 자동화된 비싱 전화를 거는 데 사용할 수 있는 VoIP(Voice over IP) 기술의 가용성에 기인합니다.
사기꾼은 종종 발신자 표시 스푸핑을 사용하여 합법적인 조직이나 지역 전화번호에서 걸려온 전화로 위장합니다. 비싱 전화는 일반적으로 신용 카드 처리 문제, 결제 기한 초과 또는 IRS 관련 문제에 대한 경고로 수신자를 놀라게 합니다. 수신자는 결국 문제를 '해결'하기 위해 사이버 범죄자에게 민감한 데이터나 돈을 제공하게 됩니다.
소셜 미디어 피싱은 소셜 미디어 플랫폼을 사용하여 사람들을 속입니다. 사기꾼은 이메일 및 문자 메시지를 사용하는 것과 동일한 방식으로 Facebook Messenger, LinkedIn InMail 및 X(이전 Twitter) DM과 같은 플랫폼에 내장된 메시징 기능을 사용합니다.
사기꾼은 자신의 계정에 로그인하거나 콘테스트에서 우승하기 위해 대상의 도움을 필요로 하는 사용자로 가장하는 경우가 많습니다. 이 수법을 사용하여 공격 대상의 로그인 자격 증명을 탈취하고 플랫폼에서 계정을 장악합니다. 이러한 공격은 여러 계정에서 동일한 비밀번호를 사용하는 피해자에게 특히 큰 피해를 입힐 수 있으며, 이는 매우 흔한 관행입니다.
사기꾼은 탐지를 피하기 위해 끊임없이 새로운 피싱 기술을 고안합니다. 최근 개발된 몇 가지 기술은 다음과 같습니다.
AI 피싱은 생성형 인공 지능(AI) 도구를 사용하여 피싱 메시지를 생성합니다. 이러한 도구는 맞춤법 오류, 문법 불일치 및 기타 피싱 시도의 일반적인 위험 신호가 없는 맞춤형 이메일 및 문자 메시지를 생성할 수 있습니다.
생성형 AI는 사기꾼이 운영을 확장하는 데도 도움이 될 수 있습니다. IBM의 X-Force Threat Intelligence Index에 따르면 사기범이 피싱 이메일을 직접 제작하는 데 걸리는 시간은 16시간입니다. AI를 사용하면 사기꾼은 단 5분 만에 훨씬 더 설득력 있는 메시지를 만들 수 있습니다.
사기꾼은 또한 이미지 생성기와 음성 합성기를 사용하여 자신의 계획에 신뢰성을 더합니다. 예를 들어, 2019년에 공격자들은 AI를 사용하여 에너지 회사 CEO의 음성을 복제하고 은행 관리자에게 243,000달러를 사취했습니다.7개
퀴싱은 이메일과 문자 메시지에 포함되거나 현실 세계에 게시된 가짜 QR 코드를 사용합니다. 퀴싱을 통해 해커는 악성 웹사이트와 소프트웨어를 눈에 잘 띄지 않게 숨길 수 있습니다.
예를 들어, 미국 연방거래위원회(FTC)는 지난해 범죄자들이 공공 주차 미터기의 QR 코드를 자신의 코드로 교체하여 결제 데이터를 도용하는 사기에 대해 경고한 바 있습니다.6
하이브리드 비싱 공격은 스팸 필터를 회피하고 피해자의 신뢰를 얻기 위해 보이스 피싱과 다른 방법을 결합합니다.
예를 들어, 사기꾼은 IRS에서 보낸 것처럼 사칭하여 이메일을 보낼 수 있습니다. 이 이메일은 대상에게 세금 신고에 문제가 있음을 알립니다. 이 문제를 해결하려면 대상은 이메일에 제공된 전화번호로 전화를 걸어 사기꾼과 직접 연결해야 합니다.
자세한 내용은 사기마다 다를 수 있지만 메시지가 피싱 시도일 수 있음을 나타내는 몇 가지 일반적인 징후가 있습니다. 이러한 징후에는 다음이 포함됩니다.
피싱 사기는 피해자가 긴박감을 느끼게 하여 아무 생각 없이 빠르게 행동하도록 유도합니다. 사기꾼은 종종 두려움, 탐욕, 호기심과 같은 강한 감정을 불러일으켜 이를 수행합니다. 시간 제한을 부과하거나 징역형과 같은 비현실적인 결과를 언급하며 위협할 수도 있습니다.
일반적인 피싱 수법은 다음과 같습니다.
- "계정 또는 금융 정보에 문제가 있습니다. 액세스 권한을 잃지 않으려면 즉시 업데이트해야 합니다."
- "불법 활동을 감지했습니다. 지금 이 벌금을 납부하지 않으면 체포될 것입니다."
- "무료 선물에 당첨되었지만 지금 바로 수령해야 합니다."
- "이 청구서는 기한이 지났습니다. 즉시 비용을 지불하지 않으면 서비스가 중단됩니다."
- "여러분을 위한 흥미로운 투자 기회가 있습니다. 지금 바로 입금하면 놀라운 수익을 보장할 수 있습니다."
피싱 사기는 일반적으로 돈과 데이터 중 하나를 요구합니다. 원치 않거나 예상치 못한 결제 또는 개인 정보 요청은 피싱 공격의 징후일 수 있습니다.
사기꾼은 연체된 청구서, 벌금 또는 서비스 수수료로 금전 요청을 위장합니다. 결제 또는 계정 정보를 업데이트하거나 비밀번호를 재설정하기 위한 정보 요청을 공지사항으로 위장합니다.
많은 피싱 조직이 국제적으로 활동하기 때문에 유창하게 구사하지 못하는 언어로 피싱 메시지를 작성하는 경우가 많습니다. 따라서 많은 피싱 시도에는 문법 오류와 불일치가 포함되어 있습니다.
합법적인 브랜드의 메시지에는 특정 세부 정보가 포함되어 있는 경우가 많습니다. 고객의 이름을 부르거나, 특정 주문 번호를 참조하거나, 문제가 무엇인지 정확하게 설명합니다. 추가 세부 정보가 없는 "계정에 문제가 있습니다"와 같은 모호한 메시지는 위험 신호입니다.
사기꾼은 언뜻 보기에 합법적으로 보이는 URL과 이메일 주소를 사용하는 경우가 많습니다. 예를 들어, "admin@rnicrosoft.com"에서 보낸 이메일은 안전해 보일 수 있지만 다시 한 번 살펴보세요. "Microsoft"의 "m"이 아니라 "r"과 "n"으로 되어 있습니다.
또 다른 일반적인 전술은 'bankingapp.scamsite.com'과 같은 URL을 사용하는 것입니다. 사용자는 이것이 bankingapp.com에 연결된다고 생각할 수 있지만 실제로 이는 scamsite.com의 하위 도메인을 가리킵니다. 해커는 링크 단축 서비스를 사용하여 악성 URL을 위장할 수도 있습니다.
사기꾼은 대상이 요청하지 않았고 예상하지 못한 파일 및 첨부 파일을 보낼 수 있습니다. 스팸 필터를 피하기 위해 메시지와 웹 페이지에 실제 텍스트 대신 텍스트 이미지를 사용할 수도 있습니다.
일부 사기꾼은 피해자를 흥분시키기 위해 핫이슈를 언급하기도 합니다. 예를 들어, IBM X-Force는 사기꾼들이 일반적으로 대상의 감정을 자극하기 위해 우크라이나의 분쟁을 이용한다는 사실을 발견했습니다.
피싱 사기는 사람을 대상으로 하기 때문에 직원은 이러한 공격에 대한 조직의 첫 번째이자 마지막 방어선인 경우가 많습니다. 조직에서는 사용자에게 피싱 시도의 징후를 인식하고 의심스러운 이메일 및 문자 메시지에 대응하는 방법을 가르칠 수 있습니다. 여기에는 직원이 IT 또는 보안 팀에 피싱 시도를 보고할 수 있는 쉬운 방법을 제공하는 것이 포함될 수 있습니다.
조직은 또한 피싱 공격자의 성공을 어렵게 만드는 정책과 관행을 수립할 수 있습니다.
예를 들어 조직에서는 사용자가 이메일을 통해 금전 송금을 시작하지 못하도록 할 수 있습니다. 직원이 메시지에 제공된 방법 이외의 방법으로 요청자에게 연락하여 금전이나 정보 요청을 확인하도록 요구할 수 있습니다. 예를 들어, 직원은 링크를 클릭하는 대신 브라우저에 직접 URL을 입력하거나, 알 수 없는 번호의 문자에 회신하는 대신 동료의 사무실 회선에 전화를 걸 수 있습니다.
조직은 피싱 메시지를 탐지하고 피싱을 사용하여 네트워크에 침입하는 해커를 막는 데 도움이 되는 보안 도구를 사용하여 직원 교육 및 회사 정책을 보완할 수 있습니다.
- 스팸 필터 및 이메일 보안 소프트웨어는 기존 피싱 사기 및 머신 러닝 알고리즘에 대한 데이터를 사용하여 피싱 이메일 및 기타 스팸 메시지를 식별합니다. 그런 다음 사기와 스팸은 별도의 폴더로 이동되어 악성 링크와 코드가 근절됩니다.
- 바이러스 백신 및 멀웨어 방지 소프트웨어는 피싱 이메일에 의해 전달되는 악성 파일 또는 코드를 탐지하고 무력화할 수 있습니다.
- 다단계 인증은 해커가 사용자 계정을 탈취하는 것을 방지할 수 있습니다. 피싱 공격자는 비밀번호를 훔칠 수는 있지만 지문 스캔이나 일회용 비밀번호와 같은 두 번째 요소를 훔치기는 훨씬 더 어렵습니다.
- 엔드 포인트 탐지 및 대응(EDR) 및 통합 엔드포인트 관리(UEM) 솔루션과 같은엔드 포인트 보안 도구는 인공 지능(AI) 및 고급 분석을 사용하여 피싱 시도를 차단하고 멀웨어를 차단할 수 있습니다.
- 웹 필터는 사용자가 알려진 악성 웹 사이트를 방문하지 못하도록 하고 사용자가 의심스러운 페이지를 방문할 때마다 경고를 표시합니다. 이러한 도구는 사용자가 피싱 링크를 클릭할 경우 피해를 줄이는 데 도움이 될 수 있습니다.
- 보안 오케스트레이션, 자동화 및 대응(SOAR) , 보안 정보 및 이벤트 관리(SIEM) 플랫폼과 같은 엔터프라이즈 사이버 보안 솔루션은 AI 및 자동화를 사용하여 비정상적인 활동을 감지하고 대응합니다. 이러한 솔루션은 멀웨어를 설치하거나 계정을 탈취하려는 피싱 공격자를 차단하는 데 도움이 될 수 있습니다.
IBM의 모바일 보안 솔루션으로 거의 실시간으로 AI 기반 위험 평가를 수행하고 중요한 앱과 데이터를 보호하세요.
AI 기반 실시간 사기 탐지를 통해 원활한 고객 경험을 제공하고 디지털 ID 신뢰를 구축하세요.
IBM Security Trusteer Rapport는 금융 기관이 소매 및 비즈니스 고객을 보호함으로써 맬웨어 감염 및 피싱 공격을 감지하고 예방할 수 있도록 지원합니다.
IBM Security에서 운영하는 사고 리더십 블로그인 Security Intelligence에서 피싱 뉴스, 동향 및 예방 기술에 대한 최신 정보를 확인하십시오.
조직에서 피싱 시뮬레이션을 사용하여 소셜 엔지니어링 공격에 대한 방어를 강화하는 이유와 방법을 알아보세요.
유출의 원인과 비용 증감에 영향을 미치는 요인을 이해하여 유출에 대비할 수 있습니다. 실제 데이터 침해에 직면한 550개 이상의 조직의 경험을 기반으로 합니다.
각주
모든 링크는 ibm.com 외부에 있습니다.
1 러시아 해커들이 클린턴 캠페인 이메일을 훔친 방법. AP Press. 2017년 11월 4일.
2 사이버범죄자들이 Amazon Prime Day 쇼핑객을 표적으로 삼는 방법. TechRepublic. 2022년 7월 6일.
3 사기꾼이 피싱 이메일을 사용하여 Google과 Facebook에서 미화 1억 달러 이상을 훔친 방법. CNBC. 2019년 3월 27일.
4, 5 피싱 활동 동향 보고서 (PDF, 3.6MB). Anti-Phishing Working Group. 2024년 2월 13일.
6 퀴싱은 새로운 피싱 방법입니다. ZDNET. 2023년 12월 11일.
7 친척으로부터 걸려온 당황스러운 전화? 보이스 클론을 사용하는 도둑일 수 있다고 FTC는 경고합니다. NPR. 2023년 3월 22일.