웨일 피싱 또는 웨일링은 기업 고위급 임원을 표적으로 사기성 이메일, 문자 메시지 또는 전화 통화를 하는 특수한 유형의 피싱 공격입니다. 메시지는 수신자를 조작하여 사이버 범죄자에게 거액의 지불을 승인하거나 민감하거나 중요한 회사 또는 개인 정보를 누설하도록 치밀하게 작성됩니다.
웨일 피싱의 표적은 다른 사람의 승인 없이 거액의 결제나 송금 또는 민감한 정보의 공개를 승인할 수 있는 최고 경영진(CEO, CFO, COO), 기타 고위 임원, 정무직 공무원 및 조직 리더입니다. 이러한 표적은 일반인보다 더 많은 돈을 사용할 수 있는 고객(또는 도박꾼)을 가리키는 속어를 따서 웨일(고래)이라고 불립니다.
피싱, 스피어 피싱, 웨일 피싱이 어떻게 연관되어 있는지 이해하는 것이 중요한데, 이는 이 용어들이 종종 같은 의미로 사용되거나, 잘못 사용되거나 맥락 없이 사용되기 때문입니다.
피싱은 사용자를 속여 악성 링크나 첨부 파일을 통해 멀웨어를 다운로드하거나, 민감한 정보를 공유하거나, 범죄자에게 돈을 송금하거나, 자신이나 조직을 사이버 범죄에 노출시키는 기타 조치를 취하도록 유도하는 사기성 이메일, 문자 메시지 또는 전화 통화입니다.
컴퓨터나 스마트폰을 사용하는 사람은 누구나 대량 피싱 공격(기본적으로 잘 알려진 비즈니스 또는 조직에서 보낸 것처럼 보이고, 일반적이거나 신뢰할 수 있는 상황을 설명하고, 긴급 조치를 요구하는 양식 메시지)을 받습니다(예: 신용 카드 거부. 아래 링크를 클릭하여 결제 정보를 업데이트하십시오). 링크를 클릭하는 수신자는 신용 카드 번호를 도용하거나 컴퓨터에 멀웨어를 다운로드할 수 있는 악성 웹 사이트로 이동됩니다.
대량 피싱 캠페인은 숫자 게임입니다. 공격자는 일정 비율의 사람이 미끼를 물 것을 알고 있기 때문에 가능한 한 많은 사람에게 메시지를 보냅니다. 한 연구에 따르면 2022년 6개월 동안 2억 5,500만 개 이상의 피싱 메시지가 탐지되었습니다(ibm.com 외부 링크). IBM의 2022년 데이터 유출 비용 보고서에 따르면 피싱은 2022년 데이터 유출의 두 번째로 흔한 원인이며, 피해자에게 랜섬웨어를 전달하는 가장 일반적인 방법이라고 합니다.
스피어 피싱은 조직 내의 특정 개인 또는 개인 집단을 표적으로 하는 피싱 공격입니다. 스피어 피싱 공격은 일반적으로 표적에 대한 권한을 가진 동료나 표적이 신뢰하는 동료(예: 채무 관리자, 인사 책임자)로 가장한 공격자가 결제 또는 데이터 전송을 승인할 수 있는 중간 관리자(지급 계정 관리자, 인사 책임자)를 표적으로 시작됩니다.
스피어 피싱 공격은 대량 피싱 공격보다 개인화된 공격이며 더 많은 작업과 연구가 필요합니다. 하지만 이러한 추가적인 노력이 사이버 범죄자에게 역으로 도움이 될 수 있습니다. 예를 들어 스피어 피싱은 합법적인 공급업체로 위장하고 직원들을 속여 허위 인보이스를 지불하도록 유도하여 2013년부터 2015년까지 Facebook과 Google에서 미화 1억 달러 이상을 훔쳤습니다(ibm.com 외부 링크).
웨일 피싱 또는 웨일링 공격은 고위 임원이나 공무원만을 겨냥한 스피어 피싱 공격입니다. 공격자는 일반적으로 표적 조직 내 동료나 다른 조직의 동급 또는 상위 직급의 동료 또는 관계자를 가장합니다.
고도로 개인화된 웨일 피싱 메시지는 공격자가 실제 발신자의 작문 스타일을 모방하고, 가능한 경우 진행 중인 실제 비즈니스 대화의 맥락을 참조하기 위해 많은 노력을 기울입니다. 웨일 피싱 사기범은 발신자와 표적 간의 대화를 감시하는 경우가 많으며, 많은 경우 사기번은 의심을 완전히 피하기 위해 발신자의 실제 이메일 또는 문자 메시지 계정을 탈취하여 공격 메시지를 직접 전송합니다.
웨일링 공격은 거액의 결제를 승인할 수 있는 개인을 표적으로 하기 때문에 공격자에게 더 높은 즉각적인 보상을 제공할 가능성이 높습니다.
웨일링은 공격자가 동료나 동료가 보낸 것처럼 보이는 사기성 이메일을 표적에게 보내는 스피어 피싱 공격의 또 다른 유형인 비즈니스 이메일 침해(BEC)와 동일시되기도 합니다. BEC가 항상 웨일링인 것은 아니며(하위 직급 직원을 표적으로 하는 경우가 많기 때문에), 웨일링이 항상 BEC인 것은 아니지만(항상 이메일을 수반하는 것은 아니기 때문에), 가장 비용이 많이 드는 웨일링 공격 중 상당수는 BEC 공격과도 관련이 있습니다. 예를 들면:
피싱, 스피어 피싱, 웨일 피싱은 모두 사회공학적 공격의 예로, 주로 기술적 취약점보다는 사람의 취약점을 악용하여 보안을 침해하는 공격입니다. 이러한 공격은 멀웨어나 해킹에 비해 디지털 증거를 훨씬 적게 남기기 때문에 보안 팀과 사이버 보안 전문가가 탐지하거나 예방하기가 훨씬 더 어려울 수 있습니다.
대부분의 웨일링 공격은 고위급 공무원을 속여 사기성 공급업체나 은행 계좌로 송금하거나 승인 또는 주문하도록 유도하여 조직에서 거액의 돈을 훔치는 것을 목표로 합니다. 그러나 웨일링 공격에는 다음과 같은 다른 목표가 있을 수 있습니다.
다시 말하지만, 대부분의 웨일 피싱 공격은 탐욕에서 비롯됩니다. 그러나 임원이나 회사에 대한 개인적인 복수, 경쟁 압력, 사회적 또는 정치적 활동에 의해 동기가 부여될 수도 있습니다. 고위 공무원에 대한 웨일링 공격은 독립적이거나 국가가 후원하는 사이버 테러 행위일 수 있습니다.
사이버 범죄자는 자신의 목표에 접근할 수 있는 웨일과 웨일에 접근할 수 있는 전송자를 선택합니다. 예를 들어, 기업의 공급망 파트너에게 지급되는 대금을 가로채려는 사이버 범죄자가 기업의 CFO에게 송장을 보내고 공급망 파트너의 CEO에게 대금 지급을 요청할 수 있습니다. 직원 데이터를 훔치려는 공격자는 CFO로 가장하여 인사 담당 부사장에게 급여 정보를 요청할 수 있습니다.
발신자의 메시지를 신뢰할 수 있고 설득력 있게 만들기 위해 웨일링 사기범은 표적과 발신자, 발신자가 근무하는 조직을 철저하게 조사합니다.
사람들이 소셜 미디어를 비롯한 온라인에서 많은 정보를 공유하고 대화를 나누기 때문에 사기범은 소셜 미디어 사이트나 웹을 검색하는 것만으로도 필요한 정보의 대부분을 찾을 수 있습니다. 예를 들어, 공격자는 잠재적 표적의 LinkedIn 프로필을 연구하는 것만으로도 그 사람의 직책, 책임, 회사 이메일 주소, 부서 이름, 동료 및 비즈니스 파트너의 이름과 직책, 최근 참석한 행사 및 출장 계획 등을 알 수 있습니다.
표적에 따라 주류, 비즈니스 및 지역 미디어는 사기범이 사용할 수 있는 추가 정보(예: 소문 또는 완료된 거래, 입찰 중인 프로젝트, 예상 건축 비용)를 제공할 수 있습니다. 업계 분석업체 Omdia의 보고서에 따르면 해커는 약 100분 동안 일반적인 Google 검색을 통해 그럴듯한 스피어 피싱 이메일을 만들 수 있다고 합니다(ibm.com 외부 링크).
그러나 웨일 피싱 공격을 준비할 때 사기범은 종종 추가 자료를 수집하기 위해 표적과 발신자를 해킹하는 중요한 추가 단계를 수행합니다. 이는 사기범이 추가 조사를 위해 파일 내용을 볼 수 있도록 하는 스파이웨어로 표적과 발신자의 컴퓨터를 감염시키는 것만큼 간단할 수 있습니다. 좀 더 야심찬 사기범은 보낸 사람의 네트워크를 해킹하여 보낸 사람의 이메일이나 문자 메시지 계정에 액세스하고 관찰하고 실제 대화에 참여할 수 있습니다.
공격할 때가 되면 사기범은 공격 메시지를 보냅니다. 가장 효과적인 웨일 피싱 메시지는 진행 중인 대화의 맥락에 맞는 것으로 보이며, 특정 프로젝트 또는 거래에 대한 자세한 언급을 포함하고, 신뢰할 수 있는 상황을 제시하고(프리텍스팅이라는 사회공학적 전술), 마찬가지로 신뢰할 수 있는 요청을 하는 것으로 보입니다. 예를 들어, 회사 CEO로 가장한 공격자는 CFO에게 다음 메시지를 보낼 수 있습니다.
어제 대화에 따르면 BizCo 인수를 담당한 변호사가 보낸 청구서가 첨부되어 있습니다. 계약서에 명시된 대로 내일 오후 5시(동부 표준시)까지 결제해 주세요. 감사합니다.
이 예에서 첨부된 청구서는 사기범의 은행 계좌로 직접 지불하도록 수정된 법률 회사의 청구서 사본일 수 있습니다.
표적에게 진짜처럼 보이도록 하기 위해 웨일링 메시지에는 다음을 포함한 다양한 사회공학적 전술이 포함될 수 있습니다.
모든 피싱 공격과 마찬가지로 웨일 피싱 공격은 기존의 (시그니처 기반) 사이버 보안 툴로는 식별하지 못하는 경우가 있을 수 있기 때문에 대응하기 가장 어려운 사이버 공격 중 하나입니다. 많은 경우 공격자는 '인간' 보안 방어망을 통과하기만 하면 됩니다. 웨일 피싱 공격은 표적의 특성과 개인화된 내용으로 인해 표적이나 관찰자에게 더욱 설득력이 있기 때문에 특히 어렵습니다.
그러나 이러한 유형의 공격을 완전히 막지는 못하더라도 조직이 웨일 피싱의 영향을 줄이기 위해 취할 수 있는 조치가 있습니다.
보안 인식 교육. 웨일 피싱은 인간의 취약성을 악용하기 때문에 직원 교육은 이러한 공격에 대한 중요한 방어선입니다. 피싱 방지 교육에는 다음이 포함될 수 있습니다.
다단계 및 적응형 인증. 다단계 인증(사용자 이름과 비밀번호 외에 하나 이상의 자격 증명 필요) 및/또는 적응형 인증(사용자가 다른 기기나 위치에서 로그인할 때 추가 자격 증명 필요)을 구현하면 해커가 사용자의 이메일 비밀번호를 탈취하더라도 사용자의 이메일 계정에 액세스하는 것을 방지할 수 있습니다.
보안 소프트웨어. 단일 보안 툴로 웨일 피싱을 완전히 예방할 수는 없지만 여러 툴이 웨일 피싱 공격을 예방하거나 이로 인해 발생하는 피해를 최소화하는 역할을 할 수 있습니다.
다른 사람들이 놓치기 쉬운 지능형 위협을 포착하세요. QRadar SIEM은 분석 및 AI를 활용하여 위협 인텔리전스, 네트워크 및 사용자 이상 행동 징후를 모니터링함으로써 즉각적인 주의와 복원이 필요한 곳에 우선순위를 부여합니다.
IBM Trusteer Rapport는 금융 기관이 소매 및 비즈니스 고객을 보호함으로써 맬웨어 감염 및 피싱 공격을 감지하고 예방할 수 있도록 지원합니다.
정교하면서도 사용하기 쉬운 EDR(엔드포인트 탐지 및 대응) 솔루션을 사용하여 사이버 공격으로부터 엔드포인트를 보호하고 비정상적인 작동을 감지하며 거의 실시간으로 문제를 해결합니다.
IBM Security가 호스팅하는 사고 리더십 블로그인 Security Intelligence에서 최신 웨일 피싱 동향 및 예방 기술에 대해 읽어보세요.
멀웨어의 한 형태인 랜섬웨어는 파일 암호화를 풀고 액세스를 복원하기 위해 대가를 지불하지 않으면 피해자의 데이터나 파일을 파괴하거나 사용을 방해하겠다고 위협합니다.
올해로 발간 17년 차에 접어든 이 보고서는 나날이 늘어가는 위협 환경에 대한 최신 인사이트를 공유할 뿐 아니라, 시간을 절약하고 손실을 제한할 수 있는 방법에 대한 권장 사항을 제공합니다.