정의

피싱(Phising)은 공격자가 사람들을 속여 사기에 빠지도록 고안된 악성 이메일을 보내는 것을 의미합니다. 일반적으로 피싱은 사용자가 금융 정보, 시스템 자격 증명, 기타 민감한 데이터를 공개하도록 의도합니다.

피싱은 사기꾼이 인간 심리를 조작하는 데 사용하는 테크닉을 모은 것으로 사회 공학의 한 예입니다. 사회 공학적 기법은 위조, 오도 및 거짓말을 포함하며 모두 피싱 공격에 영향을 미칠 수 있습니다. 기본적으로 피싱 이메일은 사회 공학을 사용하여 사용자가 생각 없이 행동하도록 유도합니다.

사이버 보안 교육 및 훈련이 여기서 시작됩니다.

무료 체험 시작

무료 평가판 체험 방식은 다음과 같습니다

  • 사이버 보안 전문가와 만나 환경을 평가하고 노출된 위협 위험을 식별합니다.
  • 24시간 이내에 최소한의 구성으로 30일 동안 솔루션을 배포해 드립니다.
  • Proofpoint의 기술을 실제로 경험해 보세요!
  • 사이버 보안 공격에 즉각적인 조치를 취하는 데 도움이 되는 보안 취약성 보고서를 받아보세요.

이 양식을 작성하여 사이버 보안 전문가와의 미팅을 요청하세요.

소중한 의견 감사합니다

피싱 작동 방식

피싱 캠페인은 가능한 한 많은 피해자를 대상으로 하든 메시지가 전송되든, 악성 이메일로부터 시작됩니다. 공격은 합법적인 회사의 메시지로 위장됩니다. 메시지가 실제 기업을 모방하는 측면이 많을수록 공격이 성공할 가능성은 높아집니다.

공격자의 목표는 다양합니다. 하지만 일반적으로 개인 정보나 자격 증명을 훔치는 것을 목표로 합니다. 공격은 계정 정지, 금전 손실 또는 공격 대상의 실직을 위협할 수 있는 긴박감을 메시지에 전달함으로써 양상됩니다. 공격을 당한 사용자는 시간을 들여 요구가 합당한지 생각해 볼 필요가 없습니다. 피해자는 나중에야 경고 신호와 부당한 요구였다는 사실을 알아차리게 됩니다.

피싱은 보안 시스템과 인간의 탐지를 우회하도록 계속해서 발전하고 있습니다. 따라서 조직은 최신 피싱 전략을 인지할 수 있도록 직원을 지속적으로 교육해야 합니다. 심각한 데이터 유출을 선동하는 피싱에는 단 한 사람만 걸리면 끝납니다. 그렇기 때문에 피싱은 완화해야 할 가장 중요한 위협 중 하나이며 인적 방어가 필요하기 때문에 해결하기 가장 어렵습니다.

피싱의 역사

피싱 뜻에 대해 살펴보자면, “피싱”이라는 용어는 1990년대 중반 해커가 의심하지 않는 사용자로부터 정보를 “낚기” 위해 사기성 이메일을 사용하면서 등장했습니다. 초기 해커들은 자주 “프릭스(phreaks)”라고 불렸기 때문에 이 용어는 “ph”가 붙은 “피싱(phishing)”으로 알려졌습니다. 피싱 메일은 사람들을 유인하여 미끼를 물게 합니다. 그리고 미끼를 물면 사용자와 조직 모두에게 문제가 발생합니다.

많은 일반적인 위협과 마찬가지로 피싱의 역사는 1990년대에 시작됐습니다. AOL이 인터넷 액세스가 가능한 대중적인 콘텐츠 시스템이었을 때 공격자는 피싱과 인스턴트 메시징을 사용한 AOL 직원으로 가장하여 사용자를 속이고 계정을 탈취를 위한 자격 증명을 누설하게 만들었습니다.

2000년대에 공격자들은 은행 계좌로 눈을 돌렸습니다. 피싱 이메일은 사용자를 속여 은행 계좌 자격 증명을 누설하도록 하는 데 사용되었습니다. 이메일에는 공식 은행 사이트를 미러링한 악성 사이트에 대한 링크가 포함되어 있었는데, 도메인은 공식 도메인 이름을 약간 변형했을 뿐이었습니다(예: paypal.com 대신 paypai.com). 나중에 공격자는 eBay 및 Google 같은 다른 계정을 추적하여 자격 증명을 탈취하고, 돈을 훔치고, 사기를 치거나, 다른 사용자에게 스팸을 보냈습니다.

피싱이 문제가 되는 이유

사이버 범죄자는 쉽고 저렴하며 효과적이란 이유로 피싱 이메일을 사용합니다. 이메일 주소는 쉽게 얻을 수 있으며 이메일도 사실상 무료로 보낼 수 있습니다. 적은 노력과 비용으로 공격자는 귀중한 데이터에 빠르게 액세스할 수 있습니다. 피싱 사기에 빠진 사람들은 결국 멀웨어 감염(랜섬웨어 포함), 신원 도용 및 데이터 손실을 겪게 될 수 있습니다.

사이버 범죄자들이 노리는 데이터에는 금융 계좌 데이터, 신용 카드 번호, 세금 및 의료 기록 같은 개인 식별 정보(PII)와 고객명 및 연락처 정보, 독점 제품 비밀 및 기밀 커뮤니케이션과 같은 민감한 비즈니스 데이터를 포함합니다.

또한 사이버 범죄자는 피싱 공격을 통해 이메일, SNS 및 기타 계정에 직접 액세스할 수 있습니다. 또는 POS 터미널 및 주문 처리 시스템 등 연결된 시스템을 수정하고 손상시킬 수 있는 권한을 가질 수 있습니다. 2013 타깃 침해처럼 헤드라인을 장식한 가장 큰 데이터 침해의 대부분은 피싱 이메일에서 시작됩니다. 사람들이 겉보기엔 무해한 이메일을 사용함으로써 사이버 범죄자는 피싱 공격에 대한 작은 발판을 확보하고 이를 기반으로 범죄를 구축할 수 있습니다.

피싱 사례

공격자는 두려움과 긴박감을 이용합니다. 공격자는 일반적으로 사용자에게 이메일에 응답하지 않으면 계정이 제한되거나 정지될 것이라고 말합니다. 두려움은 사용자가 일반적인 경고 신호를 무시하고 피싱 방지 교육도 잊게 만듭니다. 관리자와 보안 전문가도 때때로 피싱 사기를 당합니다.

보통 피싱 이메일은 가능한 한 많은 사람에게 전송되므로 인사말로 시작하는 것이 일반적입니다. 다음은 일반적인 피싱 이메일 예시입니다.

오타와 조악한 문법으로 작성된 피싱 이메일 예시

위의 메시지에서는 사용자의 이름이 언급되지 않았으며 사용자를 긴박감으로 속이고 첨부 파일을 열도록 하는 공포감을 줍니다.

첨부 파일은 웹 페이지, 셸 스크립트(예: PowerShell), 악성 매크로가 포함된 Microsoft Office 문서일 수 있습니다. 매크로와 스크립트를 사용해 멀웨어를 다운로드하거나 사용자가 자신의 계정 자격 증명을 누설하도록 속일 수 있습니다.

공격자는 공식 도메인과 유사해 보이는 도메인을 등록하거나 때때로 Gmail과 같은 일반 공급자를 사용합니다. 이메일 프로토콜을 통해 발신자를 속일 수 있지만 대부분의 수신자 서버는 속이는 이메일 헤더를 감지하는 이메일 보안을 사용합니다. 사용자가 이메일을 수신하면 메시지에 공식 회사 로고가 사용될 수 있지만 발신자 주소에는 공식 회사 도메인을 포함하지 않을 수 있습니다. 발신자 주소가 메시지 적법성을 결정하는 유일한 요소는 아닙니다.

공격자가 피싱 캠페인을 수행하는 방법은 목표에 따라 다릅니다. 기업의 경우 공격자는 거짓 인보이스로 재무 부서를 속여 돈을 송금하게 할 수 있습니다. 이 공격에서 보낸 사람은 중요하지 않습니다. 많은 공급업체가 개인 이메일 계정을 사용하여 비즈니스를 수행하기 때문입니다.

이 예시의 버튼은 사기성 Google 인증 양식이 있는 웹 페이지를 엽니다. 이 페이지는 공격자가 계정을 도용할 수 있도록 피해자에게 Google 자격 증명을 입력하도록 사기를 시도합니다.

내부 기술 지원인 것처럼 가장하는 것은 공격자가 사용하는 또 다른 방법입니다. 기술 지원 이메일은 사용자에게 메시징 시스템, 숨겨진 멀웨어가 포함된 애플리케이션을 설치하거나 랜섬웨어를 다운로드할 스크립트를 실행하도록 요청합니다. 사용자는 이러한 유형의 이메일을 경계하고 관리자에게 보고해야 합니다.

Fake Invoice Used for Phishing Campaigns

피싱 테크닉

사이버 범죄자는 악성 웹 링크, 악성 첨부 파일 및 사기성 데이터 입력 양식이라는 세 가지 주요 피싱 테크닉을 사용하여 정보를 훔칩니다.

악성 웹 링크

URL이라고도 하는 링크는 일반적으로 이메일뿐만 아니라 피싱 이메일에서도 흔하게 사용됩니다. 악성 링크는 사용자를 사칭 웹사이트 또는 멀웨어 라고도 하는 악성 소프트웨어에 감염된 사이트로 안내합니다. 악성 링크는 신뢰할 수 있는 링크로 위장 가능하며 이메일 내에서 로고 및 기타 이미지에 포함됩니다.

다음은 미국 코넬 대학교의 사용자가 받은 이메일 예시입니다. 보낸 사람의 이름으로 “Help Desk”가 나타나는 간단한 메시지입니다(이메일은 코넬대 헬프 데스크가 아니라 @connect.ust.hk 도메인에서 발신함). 코넬대의 IT 팀에 따르면 이메일에 포함된 링크를 클릭하면 Office 365 로그인 페이지처럼 보이는 페이지로 연결됩니다. 이 피싱 메일은 사용자 자격 증명을 훔치려 시도했습니다.

악성 피싱 메일 웹 링크

피싱 뜻하는 악성 첨부 파일

악성 첨부 파일

합법적인 첨부 파일처럼 보일 수 있지만 실제로 이 첨부 파일은 컴퓨터와 파일을 손상시킬 수 있는 멀웨어에 감염되어 있습니다. 멀웨어의 일종인 랜섬웨어의 경우 PC의 모든 파일이 잠겨 액세스할 수 없게 될 수 있습니다. 또는 비밀번호를 포함해 사용자가 입력하는 모든 것을 추적하기 위해 키 입력 로거를 설치할 수도 있습니다. 랜섬웨어 및 멀웨어 감염이 한 PC에서 외부 하드 드라이브, 서버, 심지어 클라우드 시스템과 같은 다른 네트워크 장치로 확산될 수 있다는 사실을 인지하는 것 역시 중요합니다.

이 예시는 국제 배송업체인 페덱스가 ​​웹사이트에 공유한 피싱 이메일 텍스트입니다. 이 이메일은 수신자가 배달 불가한 소포를 받기 위해 첨부된 우편 영수증 사본을 인쇄하여 페덱스 대리점으로 가져가게 했습니다. 안타깝게도 첨부 파일에는 수신자의 컴퓨터를 감염시킨 바이러스가 포함되어 있습니다. 이러한 배송 사기의 변형은 일년 내내 발견되지만 크리스마스 쇼핑 시즌에 특히 일반적입니다.

사기성 데이터 입력 양식

이러한 이메일은 사용자에게 사용자 ID, 비밀번호, 신용 카드 데이터, 전화번호 같은 민감한 정보를 입력하라는 메시지를 표시합니다. 사용자가 해당 정보를 제출하면 사이버 범죄자는 그 정보를 개인적인 이익을 위해 사용할 수 있습니다.

이 예시는 gov.uk 웹사이트에서 공유하는 사기성 랜딩 페이지입니다. 피싱 이메일의 링크를 클릭하면 사용자는 HMRC 세금 징수 기관의 일부로 보이는 이 사기성 페이지로 연결됩니다. 사용자에게는 환불을 받을 수 있으며 양식을 작성해야 한다는 메시지가 표시됩니다. 이러한 개인 정보는 사이버에서 범죄자가 신원 도용을 비롯한 여러 가지 사기 행위를 위해 사용할 수 있습니다.

Fraudulent Data Entry Forms

일반적인 피싱 제목

이메일 제목란은 사용자에게 메시지를 열라는 메시지를 표시할 수 있습니다. 피싱 공격에서 제목란은 사용자의 두려움과 긴박감을 자극합니다.

Example of Phishing Email from Costco

공격자는 계정, 배송, 은행 세부 정보 및 금융 거래 문제와 관련된 메시지를 사용하는 것이 일반적입니다. 크리스마스 시즌에는 대부분의 사람들이 배송을 기대하기 때문에 배송 메시지 피싱이 일반적입니다. 사용자가 보낸 사람 주소의 도메인이 합법적이지 않은 것을 알아차리지 못하면 피싱에 속아서 링크를 클릭하고 중요한 데이터를 누설할 수 있습니다.

피싱 공격 유형

피싱은 단순한 자격 증명 도용과 데이터 도용 그 이상으로 발전했습니다. 공격자가 피싱 캠페인을 배치하는 방법은 피싱 유형에 따라 다릅니다. 피싱 종류는 다음과 같습니다.

  • 이메일 피싱: 사용자를 속여 개인 정보를 누설하도록 하는 악의적인 이메일 메시지를 일컫는 일반적인 용어. 공격자는 일반적으로 계정 자격 증명, 개인 식별 정보(PII) 및 기업 영업 비밀을 훔치는 것을 목표로 함. 그러나 특정 비즈니스를 대상으로 하는 공격자는 다른 동기가 있을 수 있음.
  • 스피어 피싱: 이러한 이메일 메시지는 일반적으로 권한이 높은 계정 소유자 같은 조직 내의 특정인에게 전송되며 중요한 데이터를 누설하도록 속여 공격자에게 돈을 보내거나 멀웨어를 다운로드하게 함.
  • 링크 조작: 메시지에서는 공식 회사처럼 보이지만 악성 사이트 링크가 포함되어 있음. 이 링크를 클릭하면 수신자를 공격자가 제어하는 ​​서버로 이동하게 하여 공격자에게 자격 증명을 보내도록 속이고 로그인 페이지에 인증하게 만듦.
  • 웨일링(CEO 사기): 이러한 메시지는 일반적으로 회사의 고위 직원에게 전송되어 CEO나 다른 임원이 송금을 요청한 것으로 믿게함. 웨일링은 피싱에 속하지만 인기 있는 웹사이트라고 속이는 대신 해당 기업의 CEO라고 속이는 사기.
  • 콘텐츠 삽입: 공식 사이트에 악성 콘텐츠를 넣을 수 있는 공격자는 사용자가 사이트에 액세스하도록 속인 후 악성 팝업을 표시하거나 피싱 웹사이트로 리디렉션함.
  • 멀웨어: 사용자가 속아서 링크를 클릭하거나 첨부 파일을 열면 기기에 멀웨어가 다운로드됨. 랜섬웨어, 루트킷, 키로거는 일반적인 멀웨어 첨부 파일을 통해 타깃 피해자로부터 데이터를 훔치고 금전을 갈취함.
  • 스미싱: SMS 메시지를 사용하여 사용자가 스마트폰에서 악성 사이트에 액세스하도록 속임. 할인, 보상, 무료 경품을 약속하는 악성 링크가 포함된 문자 메시지를 대상 피해자에게 전송함.
  • 비싱: 공격자는 음성 변경 소프트웨어를 사용하여 대상 피해자에게 허위 번호로 전화를 걸어야 한다는 메시지를 남김. 공격자는 사기를 행할 수 있도록 피해자와 대화할 때도 보이스 체인저를 사용해 억양이나 성별을 위장함.
  • “이블 트윈” 와이파이: 무료 와이파이인 것처럼 위장하여 사용자를 속이고 악의적인 핫스팟에 연결하게 하여 중간자 위치에서 악행을 행함.
  • 파밍: 파밍은 계정 자격 증명을 도용하는 데 사용되는 2단계 공격. 첫 번째 단계는 타깃 피해자가 멀웨어를 설치하고 브라우저와 위장된 웹 사이트로 리디렉션하여 자격 증명을 누설하도록 속임. DNS 스푸핑은 사용자를 위장된 도메인으로 리디렉션하는 데에도 사용됨.
  • 앵글러 피싱: SNS를 사용해 공식 조직인 것처럼 가장한 게시물에 회신하고 사용자를 속여 계정 자격 증명과 개인 정보를 누설하도게 만듦.
  • 워터링 홀: 손상된 사이트는 무수히 많은 기회를 제공하므로 공격자는 수많은 타깃 사용자가 사용하는 사이트를 식별하고 사이트의 취약점을 악용하여 사용자가 멀웨어를 다운로드하도록 속임. 타깃 사용자 시스템에 멀웨어를 설치해 공격자는 사용자를 위장한 웹 사이트로 리디렉션하거나 로컬 네트워크에 페이로드를 전달하여 데이터를 훔칠 수 있음.

피싱 키트란?

피싱이 효과적이기 때문에 공격자는 피싱 키트를 사용해 설정을 단순화합니다. 이 키트는 피싱 캠페인의 백엔드 구성 요소로 구성되는데, 이는 웹 서버, 웹 사이트 요소(예: 공식 웹 사이트의 이미지 및 레이아웃) 및 사용자 자격 증명을 수집하는 데 사용되는 스토리지를 포함합니다. 등록된 도메인은 또 다른 구성 요소입니다. 범죄자들은 ​​스팸 필터가 도메인을 악성으로 감지했을 때 신속하게 도메인을 전환하기 위해 피싱 이메일 메시지에 사용할 수십 개의 도메인을 등록합니다. 수십 개의 도메인을 보유함으로써 범죄자는 피싱 URL 도메인을 변경하고 추가 타깃 대상자에게 메시지를 재전송할 수 있습니다.

피싱 키트 역시 탐지를 피하도록 설계되었습니다. 백엔드 스크립트는 피싱 도메인을 찾을 수 없도록 McAfee, Google, Symantec, Kaspersky 같은 보안 연구원 및 바이러스 백신 조직에 해당하는 많은 IP 주소를 차단합니다. 피싱에 사용되는 도메인은 보안 연구원에게는 합법적인 무해한 사이트처럼 보이지만 대상 사용자에게는 피싱 콘텐츠를 표시합니다.

피싱이 발생하는 곳

집이나 직장에서 피싱 공격에 당한 결과를 인지하는 것이 중요합니다. 피싱은 종종 더 큰 수익을 위해 기업을 타깃으로 삼지만, 많은 피싱 캠페인이 전 세계의 개인 사용자를 속이기 위해 넓은 그물을 던지기도 합니다. 개인은 일반적으로 신원 도용의 대상이 되지만 금전적 도용 대상도 가능합니다. 기업은 금융 갈취, 데이터 도용, 영업 비밀 도용의 대상이 됩니다. 다음은 피싱 이메일에 속아 발생할 수 있는 몇 가지 문제입니다.

개인 생활에서

  • 은행 계좌에서 도난당한 돈
  • 신용 카드 청구 사기
  • 개인 명의로 제출된 세금 신고서
  • 개인 명의로 개설된 대출 및 모기지
  • 사진, 비디오, 파일 및 기타 중요한 문서에 대한 액세스 권한 상실
  • 개인의 계정에 작성된 가짜 SNS 게시물
  • 공격자의 계정으로 전신 송금
  • 피해자로부터 돈을 갈취하는 랜섬웨어

직장에서

  • 기업 자금 손실
  • 고객 및 동료의 개인정보 노출
  • 외부인이 기밀 통신, 파일 및 시스템에 액세스 가능
  • 파일이 잠기고 액세스할 수 없게 됨
  • 고용주의 명예 훼손
  • 규정 위반으로 인한 금전적 벌금
  • 기업가치 하락
  • 투자자 신뢰도 하락
  • 수익에 영향을 미치는 생산성 중단
  • 기업에서 거액의 돈을 갈취하는 랜섬웨어

피싱 및 원격 근무

팬데믹으로 인해 대부분의 조직과 직원이 일하는 방식은 변했습니다. 원격 근무가 표준이 되면서 기업 장비와 개인 장비가 사용자의 업무 공간에 존재합니다. 공격자에게 이러한 업무 공간의 변화는 이점으로 작용합니다. 사용자의 가정에서는 기업 수준의 사이버 보안 기능의 부재로 이메일 보안이 덜 효과적으로 작동하여 공격자가 피싱 캠페인에 성공할 가능성이 높아집니다.

직원들은 이제 재택 근무를 실시하므로 조직에서는 직원에게 피싱 인식 교육을 실시하는 것이 더 중요해 졌습니다. 팬데믹 이후 임원 및 공식 벤더 사칭이 증가했습니다. 여전히 직원은 ​​회사 시스템에 액세스해야 하므로 공격자는 재택 근무하는 모든 직원을 대상으로 원격 액세스 권한을 얻을 수 있습니다. 관리자는 원격 액세스를 신속하게 설정해야 했고 편의 상 업무 환경의 사이버 보안은 순위에서 밀려났습니다. 이러한 강제적인 긴급성이 악용될 수 있는 취약성을 만들었으며 그 중 많은 부분이 인재였습니다.

열악한 사이버 보안은 온라인에 연결된 개인 기기와 결합되며 공격자에게 많은 우위를 제공했습니다. 피싱은 전 세계적으로 증가했으며 랜섬웨어를 비롯한 여러 대규모 데이터 유출이 발생했습니다. Google보고에 따르면 팬데믹 이후 2020년 초 피싱 웹사이트는 350% 급증했습니다.

주요 타깃 산업

대부분의 피싱 사기 목표는 금전 갈취이기 때문에 공격자는 주로 신용 카드 데이터를 저장하거나 거액의 돈을 지불할 자금이 있는 특정 산업을 타깃으로 삼습니다. 타깃은 전체 조직이거나 개별 사용자일 수 있습니다. 가장 많이 타깃이 된 산업은 다음과 같습니다.

  • 온라인 상점(전자상거래)
  • SNS
  • 은행 및 기타 금융 기관
  • 결제 시스템(가맹점 카드 결제기)
  • IT 기업
  • 통신 회사
  • 배송 회사

주요 사칭 브랜드

가능한 한 많은 사람들을 속이기 위해 공격자는 잘 알려진 브랜드를 사용합니다. 공격자는 잘 알려진 브랜드로 메일 수신자를 신뢰하게 만들어 성공률을 높입니다. 피싱에는 모든 일반 브랜드가 사용될 수 있지만 몇 가지 표준이 되는 브랜드는 다음과 같습니다.

  • 구글(Google)
  • 마이크로소프트(Microsoft)
  • 아마존(Amazon)
  • 체이스(Chase)
  • 웰스 파고(Wells Fargo)
  • 뱅크 오브 아메리카(Bank of America)
  • 애플(Apple)
  • 링크드인(LinkedIn)
  • 페덱스(FedEx)
  • 디에이치엘(DHL)

피싱 방지

피싱 공격을 방지하려면 경고 신호를 인식하기 위한 사용자 교육과 폭발력을 멈추기 위한 강력한 사이버 보안 시스템을 조합해야 합니다. 이메일 필터는 피싱에 도움이 되지만 허위 음성의 경우 여전히 인적 측면에서 예방이 필요합니다.

조직에서 피싱의 피해자가 되는 것을 방지할 수 있는 몇 가지 방법은 다음과 같습니다.

  • 사용자에게 피싱 이메일을 감지하도록 교육: 비밀번호, 삽입된 링크 및 첨부 파일을 포함해서 개인 데이터를 긴박하게 요청하는 것은 모두 경고 신호입니다. 사용자는 피싱을 방지하기 위해 이러한 경고 신호를 인지할 수 있어야 합니다.
  • 링크 클릭 방지: 링크를 클릭하고 삽입된 링크에서 직접 웹 페이지에 인증하는 대신 공식 도메인을 브라우저에 입력하고 수동으로 입력한 사이트에서 직접 인증합니다.
  • 피싱 방지 이메일 보안 사용: 인공지능이 수신 메시지를 스캔하고 의심스러운 메시지를 감지하여 피싱 메시지가 수신자의 받은 편지함에 도착하지 못하도록 차단합니다.
  • 정기적으로 비밀번호 변경: 공격자의 공격 기회를 줄이기 위해 사용자는 30-45일마다 비밀번호를 변경해야 합니다. 너무 오랫동안 비밀번호를 활성 상태로 둘 경우 공격자가 손상된 계정에 무기한으로 액세스할 수 있습니다.
  • 소프트웨어 및 펌웨어를 최신 상태로 유지: 소프트웨어 및 펌웨어 개발자는 버그 및 보안 문제를 해결하기 위해 업데이트를 배포합니다. 알려진 취약점이 인프라에 더 이상 존재하지 않도록 항상 이러한 업데이트를 설치하세요.
  • 방화벽 설치: 방화벽은 인바운드 및 아웃바운드 트래픽을 제어합니다. 피싱을 통해 설치된 악성코드는 조용히 빼낸 개인 데이터를 공격자에게 보내지만, 방화벽은 악의적인 발신 요청을 차단하고 추가 검토를 위해서 이를 기록합니다.
  • 팝업 클릭 방지: 공격자는 팝업 창의 X 버튼 위치를 ​​변경하여 사용자가 악성 사이트를 열거나 맬웨어를 다운로드하도록 속입니다. 팝업 차단기는 많은 팝업을 막을 수 있지만 허위 음성 공격은 여전히 ​​가능합니다.
  • 신용 카드 데이터 제공 시 주의하기: 사이트를 완전히 신뢰할 수 있는 경우가 아니면 모르는 웹 사이트에는 신용 카드 데이터를 제공하지 않아야 합니다. 선물이나 환불을 약속하는 사이트는 주의해서 사용해야 합니다.

안티 피싱 트레이닝 스위트

피싱을 감지하도록 직원을 교육하는 것은 피싱 인식 및 교육의 중요한 요소로 조직이 다음 피해자가 되지 않게 하기 위함입니다. 피싱 캠페인에 넘어가서 다음 보고 데이터 유출자가 생기는 데는 직원 한 명만 있으면 됩니다.

피싱 시뮬레이션은 최신 직원 보안 교육입니다. 적극적인 피싱 공격에 실제로 적용하여 직원들에게 공격이 실행되는 법을 경험하게 합니다. 대부분의 시뮬레이션에는 사회 공학적 테크닉이 적용되는 데 공격자가 보다 효과적인 캠페인을 위해 두 가지를 결합하는 경우가 많기 때문입니다. 시뮬레이션은 실제 피싱 시나리오를 반영한 것이지만 직원 활동은 모니터링 및 추적됩니다.

보고 및 분석은 직원을 속인 피싱 공격을 발견하여 조직이 개선할 수 있는 부분을 관리자에게 알려줍니다. 링크를 포함하고 있는 시뮬레이션은 악의적인 링크를 클릭한 사람, 악성 사이트에 자격 증명을 입력한 직원 및 스팸 필터를 트리거하는 모든 이메일 메시지를 추적하여 보고합니다. 시뮬레이션 결과는 스팸 필터를 구성하고 조직 전체에서 훈련 및 교육을 강화하는 데 사용될 수 있습니다.

Proofpoint 고객은 Anti-Phishing Training Suite 및 지속적인 교육 방법론을 사용하여 피싱 공격 성공 및 멀웨어 감염을 최대 90%까지 줄였습니다. 이 고유한 4단계 평가, 교육, 강화 및 측정 접근 방식은 모든 조직에서 기초 피싱 인식 교육 프로그램이 될 수 있습니다.

피싱 프로텍션

피싱 프로텍션은 회사가 직원과 조직에 대한 피싱 공격을 방지하기 위해 취할 수 있는 중요한 보안 조치입니다. 이메일이 의심스럽다고 느껴질 때 위험 신호에 대한 보안 인식 훈련 및 교육은 공격 성공도를 낮추는 데 확실히 도움이 됩니다. 그러나 사용자 행동은 예측 불가능하기 때문에 일반적으로 보안 솔루션 기반의 피싱 탐지가 중요합니다.

실제 사례와 연습을 통한 교육은 사용자가 피싱을 식별하는 데 도움이 됩니다. 일반적으로 조직에서 전문가와 협력하여 시뮬레이션된 피싱 이메일을 직원에게 보내고 누가 이메일을 열고 링크를 클릭했는지 추적합니다. 해당 직원은 향후 공격에서 동일한 실수를 방지하기 위해 추가 교육을 받을 수 있습니다.

일부 이메일 게이트웨이 평판 기반 솔루션은 이메일에 포함된 URL의 알려진 악평을 기반으로 피싱 이메일을 포착하여 분류할 수 있습니다. 그러나 이러한 솔루션은 합법적인 웹 사이트의 손상된 URL을 포함하여 잘 만든 피싱 메시지를 놓치는 경우가 많습니다. 이는 이메일 전송 시점에는 평판이 나쁘지 않았기 때문입니다. 일부 시스템은 다른 시스템보다는 낫습니다.

가장 효과적인 시스템은 의심스러운 이메일을 식별하기 위해 트래픽에서 비정상적인 패턴을 찾습니다. 그런 다음 삽입된 URL을 다시 작성하여 페이지 내 악용 및 다운로드에 대해 URL을 지속적으로 감시하는 이상 분석을 바탕으로 의심스러운 이메일을 식별합니다. 이러한 모니터링 도구는 관리자가 진행 중인 피싱 공격을 조사할 수 있도록 의심스러운 전자 메일 메시지를 격리합니다. 피싱 이메일이 많이 탐지되면 관리자는 직원에게 경고하여 타깃 피싱 캠페인의 성공 가능성을 낮출 수 있습니다.

사이버 보안 환경은 특히 피싱의 세계에서 지속적으로 발전하고 있습니다. 기업이 항상 직원과 소통하고 최신 피싱 공격 및 사회 공학 기술에 대해 교육하는 것이 중요합니다. 직원이 최신 위협을 인지하고 있으면 피싱 위험이 줄어들고 조직 내에서도 사이버 보안 문화가 조성됩니다.

피싱을 당한 경우 어떻게 해야 할까

공격자에게 정보를 보낸 후에는 다른 사기꾼에게도 공개될 가능성이 높습니다. 비싱 및 스미싱 메시지, 새로운 피싱 이메일 및 음성 통화를 받을 수 있습니다. 개인 정보나 금융 정보를 요구하는 의심스러운 메시지를 항상 경계해야 합니다.

Federal Trade Commission에는 신원 도용 확인 전용 웹사이트가 있어 피해를 줄이고 신용 점수를 모니터링할 수 있습니다. 링크를 클릭하거나 의심스러운 첨부 파일을 열었다면 컴퓨터에 멀웨어가 설치되었을 수 있습니다. 멀웨어를 탐지하고 제거하려면 바이러스 백신 소프트웨어가 최신 버전이며 최신 패치가 설치되어 있는지 확인하세요.

피싱 FAQ

피싱 이메일 신고 방법

자신이 피싱 캠페인의 타깃이라 생각된다면 첫 번째 단계는 적절한 사람에게 보고해야 합니다. 회사 네트워크에서는 IT 직원에게 보고하여 메시지를 검토하고 타깃 캠페인인지 확인하는 것이 가장 좋습니다. 개인의 경우 FTC에 사기 및 피싱을 신고할 수 있습니다.

트랩 피싱이란?

피싱에는 다양한 형태가 있지만 사람들이 사기에 속게 하는 효과적인 방법 중 하나는 합법적인 조직에서 보낸 사람인 것처럼 가장하는 것입니다. 피싱 트랩은 친숙한 비즈니스 레퍼런스와 은행, 전자상거래 또는 기타 인지도 있는 인기 브랜드와 동일한 로고, 디자인 및 인터페이스를 사용하여 사용자를 악의적인 웹 사이트로 유인합니다. 이를 워터링 홀 공격이라고도 합니다.

배럴 피싱이란?

공격자는 필터를 피하기 위해서 처음에는 무해한 것처럼 보이는 이메일을 보내 먼저 신뢰를 구축한 다음 중요한 정보에 대한 링크 또는 요청이 포함된 두 번째 이메일을 보낼 수 있습니다. 배럴 피싱은 공격자로부터 더 많은 노력을 필요로 하지만 대상 사용자가 이메일 발신자를 신뢰할 수 있다고 느끼기 때문에 그 효과가 더 클 수 있습니다.

피싱 이메일 발견 방법

피싱의 주요 목표는 자격 증명(자격 증명 피싱) 또는 민감한 정보를 훔치거나 개인이 돈을 보내도록 속이는 것입니다. 민감한 정보를 요청하거나 즉시 인증해야 하는 링크를 전달하는 메시지를 항상 주의해야 합니다.

피싱 방지 제품 및 솔루션

피싱으로부터 보호

피싱 공격을 방지하는 최고의 이메일 보안 솔루션을 선택하세요.

평가

가장 취약한 사용자와 가장 많이 클릭하는 사용자를 확인합니다.

데이터 손실 및 내부자 위험 방지

데이터 손실 뒤에는 인적 요소가 있습니다.

사용자 행동 양식 변경

기업은 직원을 보호하고 직원은 기업을 보호할 수 있습니다.

이메일 및 클라우드 위협 방지

사람들이 일하는 모든 곳에서 클라우드 보안

Proofpoint를 사용할 준비가 되었나요?

무료 Proofpoint 평가판으로 시작해 보세요.