피싱은 사기성 이메일, 문자 메시지, 전화 또는 웹사이트를 사용하여 사람들을 속여 민감한 데이터를 공유하거나 맬웨어를 다운로드하거나 기타 사이버 범죄에 노출되도록 하는 사이버 공격의 한 유형입니다.
피싱 공격은 소셜 엔지니어링의 한 형태입니다. 다른 사이버 공격과 달리 소셜 엔지니어링 공격은 사람의 실수, 가짜 이야기와 압박 전술을 사용하여 피해자를 조작하여 자신이나 조직에 해를 미치도록 합니다.
일반적인 피싱 사기에서 해커는 동료, 상사, 권위자 또는 유명 브랜드의 대표자처럼 피해자가 신뢰하는 사람인 것처럼 가장합니다. 해커는 피해자에게 인보이스를 지불하거나, 첨부 파일을 열거나, 링크를 클릭하거나, 다른 조치를 취하도록 지시하는 메시지를 보냅니다.
사용자는 메시지의 출처를 신뢰하기 때문에 지침을 따르고 사기꾼의 함정에 바로 빠지게 됩니다. 해당 '인보이스'는 해커의 계정으로 직접 연결될 수 있습니다. 해당 첨부 파일은 사용자 장치에 랜섬웨어를 설치할 수 있습니다. 해당 링크는 신용카드 번호, 은행 계좌 번호, 로그인 자격 증명 또는 기타 개인 데이터를 도용하는 웹사이트로 연결될 수 있습니다.
피싱은 사이버 범죄자들 사이에서 인기가 있으며 매우 효과적입니다. IBM의 데이터 유출 비용 보고서에 따르면 피싱은 가장 흔한 데이터 유출 벡터로, 전체 침해의 15%를 차지합니다. 피싱으로 인한 침해는 조직에 평균 488만 달러의 비용을 초래합니다.
피싱은 기술적 취약점이 아니라 사람을 착취하기 때문에 심각한 위협입니다. 공격자는 시스템을 직접 침해하거나 사이버 보안 도구를 능가할 필요가 없습니다. 이들은 자신의 표적(돈, 민감한 정보 또는 기타 등)에 대한 권한을 가진 사람들을 속여 자신의 더러운 일을 하도록 만들 수 있습니다.
피싱 범죄자는 단독 사기꾼일 수도 있고 정교한 범죄 조직일 수도 있습니다. 이들은 신원 도용, 신용카드 사기, 금전 절도, 갈취, 계정 탈취, 스파이 활동 등을 포함한 많은 악의적인 목적으로 피싱을 사용할 수 있습니다.
피싱 대상은 일반인부터 주요 기업 및 정부 기관에 이르기까지 다양합니다. 가장 잘 알려진 피싱 공격 중 하나로, 러시아 해커들은 가짜 비밀번호 재설정 이메일을 사용하여 힐러리 클린턴의 2016년 미국 대통령 선거 캠페인에서 수천 개의 이메일을 훔쳤습니다.1
피싱 사기는 사람을 조종하기 때문에 표준 네트워크 모니터링 도구와 기법으로는 이러한 공격이 진행 중일 때 항상 포착할 수 없습니다. 실제로 클린턴 캠페인 공격에서는 캠페인의 IT 헬프 데스크조차도 사기성 비밀번호 재설정 이메일이 진짜라고 생각했습니다.
피싱에 대응하기 위해 조직은 고급 위협 탐지 도구와 강력한 직원 교육을 결합하여 사용자가 사기 시도를 정확하게 식별하고 안전하게 대응할 수 있도록 해야 합니다.
"피싱"이라는 단어는 낚시꾼이 미끼를 사용하여 실제 물고기를 낚는 것과 마찬가지로 사기꾼이 매력적인 "미끼"를 사용하여 피해자를 속인다는 사실에 착안한 것입니다. 피싱에서 미끼는 신뢰할 수 있는 것처럼 보이고 두려움, 탐욕 및 호기심과 같은 강한 감정을 불러일으키는 사기성 메시지입니다.
피싱 사기꾼이 사용하는 미끼의 종류는 표적이 누구인지, 무엇을 노리는지에 따라 달라집니다. 피싱 공격의 몇 가지 일반적인 예는 다음과 같습니다.
대량 이메일 피싱에서 사기꾼은 가능한 한 많은 사람들에게 스팸 이메일을 무차별적으로 보내 대상의 일부가 공격에 속기를 바랍니다.
사기꾼들은 종종 은행, 온라인 소매업체 또는 인기 앱 제조업체와 같은 합법적인 대형 기업에서 보낸 것처럼 보이는 이메일을 만듭니다. 사기꾼은 잘 알려진 브랜드를 사칭함으로써 공격 표적이 해당 브랜드의 고객일 가능성을 높입니다. 표적이 특정 브랜드와 정기적으로 상호 작용하면, 해당 브랜드가 보낸 것으로 가장하는 피싱 이메일을 더 쉽게 열 가능성이 있습니다.
사이버 범죄자들은 피싱 이메일을 진짜처럼 보이게 하기 위해 많은 노력을 기울입니다. 이들은 사칭한 발신자의 로고와 브랜드를 사용할 수 있습니다. 이메일 주소를 스푸핑하여 마치 사칭한 발신자의 도메인 이름에서 보낸 것처럼 보이게 할 수 있습니다. 진정한 이메일을 사칭한 발신자가 이를 복사하여 악의적인 목적으로 수정할 수도 있습니다.
사기꾼은 강한 감정에 호소하거나 긴박감을 조성하기 위한 이메일 제목을 작성합니다. 교묘한 사기꾼은 "주문에 문제가 있습니다" 또는 "송장이 첨부되어 있습니다"와 같이 사칭한 발신자가 실제로 언급할 수 있는 제목을 사용합니다.
이메일 본문은 수신자에게 민감한 정보를 누설하거나 멀웨어를 다운로드하는 것으로 이어지는 겉보기에 합리적인 조치를 취하도록 지시합니다. 예를 들어 피싱 링크에는 "프로필을 업데이트하려면 여기를 클릭하십시오"라고 표시될 수 있습니다. 피해자가 악성 링크를 클릭하면 로그인 자격 증명을 도용하는 가짜 웹사이트로 이동합니다.
일부 사기꾼은 사람들이 압박감을 느끼기 쉬운 휴일이나 기타 이벤트에 맞춰 피싱 캠페인의 시간을 조정합니다. 예를 들어, Amazon 고객에 대한 피싱 공격은 온라인 소매업체의 연례 판매 이벤트인 프라임 데이(Prime Day)에 급증하는 경우가 많습니다.2 사기꾼은 사람들의 낮은 경계심을 악용하여 가짜 거래 및 결제 문제에 대한 이메일을 보냅니다.
스피어 피싱은 특정 개인을 대상으로 하는 표적 피싱 공격입니다. 표적은 일반적으로 민감한 데이터에 대한 액세스 권한이 있거나 회사 계정에서 돈을 이체할 수 있는 재무 관리자와 같이 사기꾼이 악용할 수 있는 특별한 권한을 가진 사람입니다.
스피어 피셔는 표적을 연구하여 친구, 상사, 동료, 공급업체 또는 금융 기관 등 표적이 신뢰할 수 있는 사람으로 위장하는 데 필요한 정보를 수집합니다. 사람들이 공개적으로 동료를 축하하고 공급업체를 지지하며 과도하게 공유하는 경향이 있는 소셜 미디어와 전문 네트워킹 사이트는 스피어 피싱 연구를 위한 풍부한 정보 소스입니다.
스피어 피셔는 연구를 통해 특정 개인 정보가 포함된 메시지를 제작하여 표적이 신뢰할 수 있도록 메시지를 만듭니다. 예를 들어, 스피어 피싱범은 대상의 상사로 가장하여 "오늘 밤 휴가를 떠날 예정인데 오늘 업무 마감 전에 이 송장을 지불해 주시겠어요?"라는 이메일을 보낼 수 있습니다.
최고 경영진, 부유층 또는 기타 고액 자산가를 노리는 스피어 피싱 공격을 고래 피싱 또는 웨일링 공격이라고도 합니다.
BEC는 기업이나 기타 조직에서 영업 비밀, 고객 데이터, 금융 정보 등 돈이나 귀중한 정보를 훔치려는 스피어 피싱 공격의 일종입니다.
BEC 공격은 여러 가지 형태를 취할 수 있습니다. 다음에서는 가장 일반적인 두 가지 형태에 대해 설명합니다.
BEC 공격은 가장 비용이 많이 드는 사이버 공격 중 하나일 수 있으며, 사기꾼은 한 번에 수백만 달러를 훔치는 경우가 많습니다. 한 가지 주목할 만한 사례로, 사기꾼 그룹이 합법적인 소프트웨어 공급업체로 위장하여 Facebook과 Google에서 1억 달러 이상을 훔친 사건이 있었습니다.3
일부 BEC 사기꾼은 이러한 세간의 이목을 끄는 전술에서 벗어나 더 많은 대상에 대한 소규모 공격을 시작하고 있습니다. 피싱 방지 워킹 그룹(APWG)에 따르면 2023년에 BEC 공격은 더 자주 발생했지만, 사기꾼들은 공격할 때마다 평균적으로 더 적은 금액을 요구했습니다.4
SMS 피싱, 즉 스미싱은 가짜 문자 메시지를 사용하여 대상을 속입니다. 사기범은 일반적으로 피해자의 이동통신사를 사칭하여 "사은품"을 제공하거나 신용카드 정보를 업데이트하라는 문자를 보냅니다.
일부 스미싱 공격자는 미국 우체국이나 다른 배송업체를 사칭하기도 합니다. 이들은 피해자에게 주문한 물품을 받으려면 수수료를 지불해야 한다는 문자를 보냅니다.
보이스 피싱 또는 비싱은 전화 통화를 통해 이루어지는 피싱입니다. APWG에 따르면 비싱 사건은 최근 몇 년 동안 폭발적으로 증가하여 2022년에서 2023년 사이에 260% 증가했습니다.5 비싱의 증가는 부분적으로 사기꾼이 하루에 수백만 건의 자동화된 비싱 전화를 거는 데 사용할 수 있는 VoIP(Voice over IP) 기술의 가용성에 기인합니다.
사기꾼은 종종 발신자 표시 스푸핑을 사용하여 합법적인 조직이나 지역 전화번호에서 걸려온 전화로 위장합니다. 비싱 전화는 일반적으로 신용 카드 처리 문제, 결제 기한 초과 또는 IRS 관련 문제에 대한 경고로 수신자를 놀라게 합니다. 수신자들은 자신의 문제를 '해결'하기 위해 사이버 범죄자들에게 민감한 정보나 돈을 제공하게 됩니다.
소셜 미디어 피싱은 소셜 미디어 플랫폼을 사용하여 사람들을 속입니다. 사기꾼들은 이메일과 문자 메시징과 같은 방식으로 Facebook Messenger, LinkedIn InMail 및 X(이전 Twitter) DMs와 같은 플랫폼의 내장 메시징 기능을 사용합니다.
사기꾼은 자신의 계정에 로그인하거나 콘테스트에서 우승하기 위해 대상의 도움을 필요로 하는 사용자로 가장하는 경우가 많습니다. 이 수법을 사용하여 공격 대상의 로그인 자격 증명을 탈취하고 플랫폼에서 계정을 장악합니다. 이러한 공격은 여러 계정에서 동일한 비밀번호를 사용하는 피해자에게 특히 큰 피해를 입힐 수 있으며, 이는 매우 흔한 관행입니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
사기꾼은 탐지를 피하기 위해 끊임없이 새로운 피싱 기술을 고안합니다. 최근 개발된 몇 가지 기술은 다음과 같습니다.
AI 피싱은 생성형 인공 지능(AI) 도구를 사용하여 피싱 메시지를 생성합니다. 이러한 도구는 맞춤법 오류, 문법 불일치 및 기타 피싱 시도의 일반적인 위험 신호가 없는 맞춤형 이메일 및 문자 메시지를 생성할 수 있습니다.
생성형 AI는 사기꾼이 운영을 확장하는 데도 도움이 될 수 있습니다. IBM의 X-Force Threat Intelligence Index에 따르면 사기범이 피싱 이메일을 직접 제작하는 데 걸리는 시간은 16시간입니다. AI를 활용하면 사기자들이 단 5분 안에 훨씬 더 믿음직스러운 메시지를 만들 수 있습니다.
사기꾼은 또한 이미지 생성기와 음성 합성기를 사용하여 자신의 계획에 신뢰성을 더합니다. 예를 들어, 2019년에 공격자들은 AI를 사용하여 에너지 회사 CEO의 음성을 복제하고 은행 관리자에게 243,000달러를 사취했습니다.7개
퀴싱은 이메일과 문자 메시지에 포함되거나 현실 세계에 게시된 가짜 QR 코드를 사용합니다. 퀴싱을 통해 해커는 악성 웹사이트와 소프트웨어를 눈에 잘 띄지 않게 숨길 수 있습니다.
예를 들어, 미국 연방거래위원회(FTC)는 지난해 범죄자들이 공공 주차 미터기의 QR 코드를 자신의 코드로 교체하여 결제 데이터를 도용하는 사기에 대해 경고한 바 있습니다.6
하이브리드 비싱 공격은 스팸 필터를 회피하고 피해자의 신뢰를 얻기 위해 보이스 피싱과 다른 방법을 결합합니다.
예를 들어, 사기꾼은 IRS에서 보낸 것처럼 사칭하여 이메일을 보낼 수 있습니다. 이 이메일은 대상에게 세금 신고에 문제가 있음을 알립니다. 이 문제를 해결하려면 대상은 이메일에 제공된 전화번호로 전화를 걸어 사기꾼과 직접 연결해야 합니다.
자세한 내용은 사기마다 다를 수 있지만 메시지가 피싱 시도일 수 있음을 나타내는 몇 가지 일반적인 징후가 있습니다. 이러한 징후에는 다음이 포함됩니다.
피싱 사기는 피해자가 긴박감을 느끼게 하여 아무 생각 없이 빠르게 행동하도록 유도합니다. 사기꾼은 종종 두려움, 탐욕, 호기심과 같은 강한 감정을 불러일으켜 이를 수행합니다. 시간 제한을 부과하거나 징역형과 같은 비현실적인 결과를 언급하며 위협할 수도 있습니다.
일반적인 피싱 수법은 다음과 같습니다.
피싱 사기는 일반적으로 돈과 데이터 중 하나를 요구합니다. 원치 않거나 예상치 못한 결제 또는 개인 정보 요청은 피싱 공격의 징후일 수 있습니다.
사기꾼은 연체된 청구서, 벌금 또는 서비스 수수료로 금전 요청을 위장합니다. 결제 또는 계정 정보를 업데이트하거나 비밀번호를 재설정하기 위한 정보 요청을 공지사항으로 위장합니다.
많은 피싱 조직이 국제적으로 활동하기 때문에 유창하게 구사하지 못하는 언어로 피싱 메시지를 작성하는 경우가 많습니다. 따라서 많은 피싱 시도에는 문법 오류와 불일치가 포함되어 있습니다.
합법적인 브랜드의 메시지에는 특정 세부 정보가 포함되어 있는 경우가 많습니다. 고객의 이름을 부르거나, 특정 주문 번호를 참조하거나, 문제가 무엇인지 정확하게 설명합니다. 추가 세부 정보가 없는 "계정에 문제가 있습니다"와 같은 모호한 메시지는 위험 신호입니다.
사기꾼은 언뜻 보기에 합법적으로 보이는 URL과 이메일 주소를 사용하는 경우가 많습니다. 예를 들어, "admin@rnicrosoft.com"에서 보낸 이메일은 안전해 보일 수 있지만 다시 한 번 살펴보세요. "Microsoft"의 "m"이 아니라 "r"과 "n"으로 되어 있습니다.
또 다른 일반적인 전술은 'bankingapp.scamsite.com'과 같은 URL을 사용하는 것입니다. 사용자는 이것이 bankingapp.com에 연결된다고 생각할 수 있지만 실제로 이는 scamsite.com의 하위 도메인을 가리킵니다. 해커들도 악성 URL을 위장하기 위해 링크 단축 서비스를 사용할 수 있습니다.
사기범은 대상이 요청하지 않았고 예상하지 못한 파일 및 첨부 파일을 보낼 수 있습니다. 스팸 필터를 피하기 위해 메시지와 웹 페이지에 실제 텍스트 대신 텍스트 이미지를 사용할 수도 있습니다.
일부 사기범은 피해자를 흥분시키기 위해 핫이슈를 언급하기도 합니다. 예를 들어, IBM X-Force는 사기꾼들이 일반적으로 대상의 감정을 자극하기 위해 우크라이나의 분쟁을 이용한다는 사실을 발견했습니다.
피싱 사기는 사람을 대상으로 하기 때문에 직원은 이러한 공격에 대한 조직의 첫 번째이자 마지막 방어선인 경우가 많습니다. 조직에서는 사용자에게 피싱 시도의 징후를 인식하고 의심스러운 이메일 및 문자 메시지에 대응하는 방법을 가르칠 수 있습니다. 여기에는 직원이 IT 또는 보안 팀에 피싱 시도를 보고할 수 있는 쉬운 방법을 제공하는 것이 포함될 수 있습니다.
조직은 피싱 공격자의 성공을 어렵게 만들 수 있는 정책과 관행을 수립할 수 있습니다.
예를 들어 조직에서는 사용자가 이메일을 통해 금전 송금을 시작하지 못하도록 할 수 있습니다. 직원이 메시지에 제공된 방법 이외의 방법으로 요청자에게 연락하여 금전이나 정보 요청을 확인하도록 요구할 수 있습니다. 예를 들어, 직원은 링크를 클릭하는 대신 브라우저에 직접 URL을 입력하거나, 알 수 없는 번호의 문자에 회신하는 대신 동료의 사무실 회선에 전화를 걸 수 있습니다.
조직은 피싱 메시지를 탐지하고 피싱을 사용하여 네트워크에 침입하는 해커를 막는 데 도움이 되는 보안 툴을 사용하여 직원 교육 및 회사 정책을 보완할 수 있습니다.
1 How Russian hackers pried into Clinton campaign emails, Associated Press, 4 2017년 11월.
2 How cybercriminals are targeting Amazon Prime Day shoppers, TechRepublic, 6 2022년 7월.
3 사기꾼이 피싱 이메일을 사용하여 Google과 Facebook에서 미화 1억 달러 이상을 훔친 방법, CNBC, 2019년 3월 27일.
4, 5 Phishing Activity Trends Report, Anti-Phishing Working Group, 2024년 2월 13일.
6 퀴싱은 새로운 피싱 방법입니다, ZDNET, 2023년 12월 11일.
7 That panicky call from a relative? It could be a thief using a voice clone, FTC warns, NPR, 2023년 3월 22일.