피싱이란?

피싱(Phising)은 공격자가 사람들을 속여 사기에 빠지도록 고안된 악성 이메일을 보내는 것을 의미합니다. 일반적으로 피싱은 사용자가 금융 정보, 시스템 자격 증명, 기타 민감한 데이터를 공개하도록 의도합니다.

피싱은 사기꾼이 인간 심리를 조작하는 데 사용하는 테크닉을 모은 것으로 사회 공학의 한 예입니다. 사회 공학적 기법은 위조, 오도 및 거짓말을 포함하며 모두 피싱 공격에 영향을 미칠 수 있습니다. 기본적으로 피싱 이메일은 사회 공학을 사용하여 사용자가 생각 없이 행동하도록 유도합니다.

피싱 캠페인은 가능한 한 많은 피해자를 대상으로 하든 메시지가 전송되든, 악성 이메일로부터 시작됩니다. 공격은 합법적인 회사의 메시지로 위장됩니다. 메시지가 실제 기업을 모방하는 측면이 많을수록 공격이 성공할 가능성은 높아집니다.

공격자의 목표는 다양합니다. 하지만 일반적으로 개인 정보나 자격 증명을 훔치는 것을 목표로 합니다. 공격은 계정 정지, 금전 손실 또는 공격 대상의 실직을 위협할 수 있는 긴박감을 메시지에 전달함으로써 양상됩니다. 공격을 당한 사용자는 시간을 들여 요구가 합당한지 생각해 볼 필요가 없습니다. 피해자는 나중에야 경고 신호와 부당한 요구였다는 사실을 알아차리게 됩니다.

피싱은 보안 시스템과 인간의 탐지를 우회하도록 계속해서 발전하고 있습니다. 따라서 조직은 최신 피싱 전략을 인지할 수 있도록 직원을 지속적으로 교육해야 합니다. 심각한 데이터 유출을 선동하는 피싱에는 단 한 사람만 걸리면 끝납니다. 그렇기 때문에 피싱은 완화해야 할 가장 중요한 위협 중 하나이며 인적 방어가 필요하기 때문에 해결하기 가장 어렵습니다.

피싱 뜻에 대해 살펴보자면, “피싱”이라는 용어는 1990년대 중반 해커가 의심하지 않는 사용자로부터 정보를 “낚기” 위해 사기성 이메일을 사용하면서 등장했습니다. 초기 해커들은 자주 “프릭스(phreaks)”라고 불렸기 때문에 이 용어는 “ph”가 붙은 “피싱(phishing)”으로 알려졌습니다. 피싱 메일은 사람들을 유인하여 미끼를 물게 합니다. 그리고 미끼를 물면 사용자와 조직 모두에게 문제가 발생합니다.

많은 일반적인 위협과 마찬가지로 피싱의 역사는 1990년대에 시작됐습니다. AOL이 인터넷 액세스가 가능한 대중적인 콘텐츠 시스템이었을 때 공격자는 피싱과 인스턴트 메시징을 사용한 AOL 직원으로 가장하여 사용자를 속이고 계정을 탈취를 위한 자격 증명을 누설하게 만들었습니다.

2000년대에 공격자들은 은행 계좌로 눈을 돌렸습니다. 피싱 이메일은 사용자를 속여 은행 계좌 자격 증명을 누설하도록 하는 데 사용되었습니다. 이메일에는 공식 은행 사이트를 미러링한 악성 사이트에 대한 링크가 포함되어 있었는데, 도메인은 공식 도메인 이름을 약간 변형했을 뿐이었습니다(예: paypal.com 대신 paypai.com). 나중에 공격자는 eBay 및 Google 같은 다른 계정을 추적하여 자격 증명을 탈취하고, 돈을 훔치고, 사기를 치거나, 다른 사용자에게 스팸을 보냈습니다.

위의 메시지에서는 사용자의 이름이 언급되지 않았으며 사용자를 긴박감으로 속이고 첨부 파일을 열도록 하는 공포감을 줍니다.

첨부 파일은 웹 페이지, 셸 스크립트(예: PowerShell), 악성 매크로가 포함된 Microsoft Office 문서일 수 있습니다. 매크로와 스크립트를 사용해 멀웨어를 다운로드하거나 사용자가 자신의 계정 자격 증명을 누설하도록 속일 수 있습니다.

공격자는 공식 도메인과 유사해 보이는 도메인을 등록하거나 때때로 Gmail과 같은 일반 공급자를 사용합니다. 이메일 프로토콜을 통해 발신자를 속일 수 있지만 대부분의 수신자 서버는 속이는 이메일 헤더를 감지하는 이메일 보안을 사용합니다. 사용자가 이메일을 수신하면 메시지에 공식 회사 로고가 사용될 수 있지만 발신자 주소에는 공식 회사 도메인을 포함하지 않을 수 있습니다. 발신자 주소가 메시지 적법성을 결정하는 유일한 요소는 아닙니다.

공격자가 피싱 캠페인을 수행하는 방법은 목표에 따라 다릅니다. 기업의 경우 공격자는 거짓 인보이스로 재무 부서를 속여 돈을 송금하게 할 수 있습니다. 이 공격에서 보낸 사람은 중요하지 않습니다. 많은 공급업체가 개인 이메일 계정을 사용하여 비즈니스를 수행하기 때문입니다.

이 예시의 버튼은 사기성 Google 인증 양식이 있는 웹 페이지를 엽니다. 이 페이지는 공격자가 계정을 도용할 수 있도록 피해자에게 Google 자격 증명을 입력하도록 사기를 시도합니다.

내부 기술 지원인 것처럼 가장하는 것은 공격자가 사용하는 또 다른 방법입니다. 기술 지원 이메일은 사용자에게 메시징 시스템, 숨겨진 멀웨어가 포함된 애플리케이션을 설치하거나 랜섬웨어를 다운로드할 스크립트를 실행하도록 요청합니다. 사용자는 이러한 유형의 이메일을 경계하고 관리자에게 보고해야 합니다.

악성 웹 링크

URL이라고도 하는 링크는 일반적으로 이메일뿐만 아니라 피싱 이메일에서도 흔하게 사용됩니다. 악성 링크는 사용자를 사칭 웹사이트 또는 멀웨어 라고도 하는 악성 소프트웨어에 감염된 사이트로 안내합니다. 악성 링크는 신뢰할 수 있는 링크로 위장 가능하며 이메일 내에서 로고 및 기타 이미지에 포함됩니다.

다음은 미국 코넬 대학교의 사용자가 받은 이메일 예시입니다. 보낸 사람의 이름으로 “Help Desk”가 나타나는 간단한 메시지입니다(이메일은 코넬대 헬프 데스크가 아니라 @connect.ust.hk 도메인에서 발신함). 코넬대의 IT 팀에 따르면 이메일에 포함된 링크를 클릭하면 Office 365 로그인 페이지처럼 보이는 페이지로 연결됩니다. 이 피싱 메일은 사용자 자격 증명을 훔치려 시도했습니다.

악성 첨부 파일

합법적인 첨부 파일처럼 보일 수 있지만 실제로 이 첨부 파일은 컴퓨터와 파일을 손상시킬 수 있는 멀웨어에 감염되어 있습니다. 멀웨어의 일종인 랜섬웨어의 경우 PC의 모든 파일이 잠겨 액세스할 수 없게 될 수 있습니다. 또는 비밀번호를 포함해 사용자가 입력하는 모든 것을 추적하기 위해 키 입력 로거를 설치할 수도 있습니다. 랜섬웨어 및 멀웨어 감염이 한 PC에서 외부 하드 드라이브, 서버, 심지어 클라우드 시스템과 같은 다른 네트워크 장치로 확산될 수 있다는 사실을 인지하는 것 역시 중요합니다.

이 예시는 국제 배송업체인 페덱스가 ​​웹사이트에 공유한 피싱 이메일 텍스트입니다. 이 이메일은 수신자가 배달 불가한 소포를 받기 위해 첨부된 우편 영수증 사본을 인쇄하여 페덱스 대리점으로 가져가게 했습니다. 안타깝게도 첨부 파일에는 수신자의 컴퓨터를 감염시킨 바이러스가 포함되어 있습니다. 이러한 배송 사기의 변형은 일년 내내 발견되지만 크리스마스 쇼핑 시즌에 특히 일반적입니다.

공격자는 계정, 배송, 은행 세부 정보 및 금융 거래 문제와 관련된 메시지를 사용하는 것이 일반적입니다. 크리스마스 시즌에는 대부분의 사람들이 배송을 기대하기 때문에 배송 메시지 피싱이 일반적입니다. 사용자가 보낸 사람 주소의 도메인이 합법적이지 않은 것을 알아차리지 못하면 피싱에 속아서 링크를 클릭하고 중요한 데이터를 누설할 수 있습니다.

• 이메일 피싱: 사용자를 속여 개인 정보를 누설하도록 하는 악의적인 이메일 메시지를 일컫는 일반적인 용어. 공격자는 일반적으로 계정 자격 증명, 개인 식별 정보(PII) 및 기업 영업 비밀을 훔치는 것을 목표로 함. 그러나 특정 비즈니스를 대상으로 하는 공격자는 다른 동기가 있을 수 있음.
• 스피어 피싱: 이러한 이메일 메시지는 일반적으로 권한이 높은 계정 소유자 같은 조직 내의 특정인에게 전송되며 중요한 데이터를 누설하도록 속여 공격자에게 돈을 보내거나 멀웨어를 다운로드하게 함.
• 링크 조작: 메시지에서는 공식 회사처럼 보이지만 악성 사이트 링크가 포함되어 있음. 이 링크를 클릭하면 수신자를 공격자가 제어하는 ​​서버로 이동하게 하여 공격자에게 자격 증명을 보내도록 속이고 로그인 페이지에 인증하게 만듦.
• 웨일링(CEO 사기): 이러한 메시지는 일반적으로 회사의 고위 직원에게 전송되어 CEO나 다른 임원이 송금을 요청한 것으로 믿게함. 웨일링은 피싱에 속하지만 인기 있는 웹사이트라고 속이는 대신 해당 기업의 CEO라고 속이는 사기.
• 콘텐츠 삽입: 공식 사이트에 악성 콘텐츠를 넣을 수 있는 공격자는 사용자가 사이트에 액세스하도록 속인 후 악성 팝업을 표시하거나 피싱 웹사이트로 리디렉션함.
• 멀웨어: 사용자가 속아서 링크를 클릭하거나 첨부 파일을 열면 기기에 멀웨어가 다운로드됨. 랜섬웨어, 루트킷, 키로거는 일반적인 멀웨어 첨부 파일을 통해 타깃 피해자로부터 데이터를 훔치고 금전을 갈취함.

• 스미싱: SMS 메시지를 사용하여 사용자가 스마트폰에서 악성 사이트에 액세스하도록 속임. 할인, 보상, 무료 경품을 약속하는 악성 링크가 포함된 문자 메시지를 대상 피해자에게 전송함.
• 비싱: 공격자는 음성 변경 소프트웨어를 사용하여 대상 피해자에게 허위 번호로 전화를 걸어야 한다는 메시지를 남김. 공격자는 사기를 행할 수 있도록 피해자와 대화할 때도 보이스 체인저를 사용해 억양이나 성별을 위장함.
• “이블 트윈” 와이파이: 무료 와이파이인 것처럼 위장하여 사용자를 속이고 악의적인 핫스팟에 연결하게 하여 중간자 위치에서 악행을 행함.
• 파밍: 파밍은 계정 자격 증명을 도용하는 데 사용되는 2단계 공격. 첫 번째 단계는 타깃 피해자가 멀웨어를 설치하고 브라우저와 위장된 웹 사이트로 리디렉션하여 자격 증명을 누설하도록 속임. DNS 스푸핑은 사용자를 위장된 도메인으로 리디렉션하는 데에도 사용됨.
• 앵글러 피싱: SNS를 사용해 공식 조직인 것처럼 가장한 게시물에 회신하고 사용자를 속여 계정 자격 증명과 개인 정보를 누설하도게 만듦.
• 워터링 홀: 손상된 사이트는 무수히 많은 기회를 제공하므로 공격자는 수많은 타깃 사용자가 사용하는 사이트를 식별하고 사이트의 취약점을 악용하여 사용자가 멀웨어를 다운로드하도록 속임. 타깃 사용자 시스템에 멀웨어를 설치해 공격자는 사용자를 위장한 웹 사이트로 리디렉션하거나 로컬 네트워크에 페이로드를 전달하여 데이터를 훔칠 수 있음.

개인 생활에서

• 은행 계좌에서 도난당한 돈
• 신용 카드 청구 사기
• 개인 명의로 제출된 세금 신고서
• 개인 명의로 개설된 대출 및 모기지
• 사진, 비디오, 파일 및 기타 중요한 문서에 대한 액세스 권한 상실
• 개인의 계정에 작성된 가짜 SNS 게시물
• 공격자의 계정으로 전신 송금
• 피해자로부터 돈을 갈취하는 랜섬웨어

직장에서

• 기업 자금 손실
• 고객 및 동료의 개인정보 노출
• 외부인이 기밀 통신, 파일 및 시스템에 액세스 가능
• 파일이 잠기고 액세스할 수 없게 됨
• 고용주의 명예 훼손
• 규정 위반으로 인한 금전적 벌금
• 기업가치 하락
• 투자자 신뢰도 하락
• 수익에 영향을 미치는 생산성 중단
• 기업에서 거액의 돈을 갈취하는 랜섬웨어

대부분의 피싱 사기 목표는 금전 갈취이기 때문에 공격자는 주로 신용 카드 데이터를 저장하거나 거액의 돈을 지불할 자금이 있는 특정 산업을 타깃으로 삼습니다. 타깃은 전체 조직이거나 개별 사용자일 수 있습니다. 가장 많이 타깃이 된 산업은 다음과 같습니다.

• 온라인 상점(전자상거래)
• SNS
• 은행 및 기타 금융 기관
• 결제 시스템(가맹점 카드 결제기)
• IT 기업
• 통신 회사
• 배송 회사

가능한 한 많은 사람들을 속이기 위해 공격자는 잘 알려진 브랜드를 사용합니다. 공격자는 잘 알려진 브랜드로 메일 수신자를 신뢰하게 만들어 성공률을 높입니다. 피싱에는 모든 일반 브랜드가 사용될 수 있지만 몇 가지 표준이 되는 브랜드는 다음과 같습니다.

• 구글(Google)
• 마이크로소프트(Microsoft)
• 아마존(Amazon)
• 체이스(Chase)
• 웰스 파고(Wells Fargo)
• 뱅크 오브 아메리카(Bank of America)
• 애플(Apple)
• 링크드인(LinkedIn)
• 페덱스(FedEx)
• 디에이치엘(DHL)

• 사용자에게 피싱 이메일을 감지하도록 교육: 비밀번호, 삽입된 링크 및 첨부 파일을 포함해서 개인 데이터를 긴박하게 요청하는 것은 모두 경고 신호입니다. 사용자는 피싱을 방지하기 위해 이러한 경고 신호를 인지할 수 있어야 합니다.
• 링크 클릭 방지: 링크를 클릭하고 삽입된 링크에서 직접 웹 페이지에 인증하는 대신 공식 도메인을 브라우저에 입력하고 수동으로 입력한 사이트에서 직접 인증합니다.
• 피싱 방지 이메일 보안 사용: 인공지능이 수신 메시지를 스캔하고 의심스러운 메시지를 감지하여 피싱 메시지가 수신자의 받은 편지함에 도착하지 못하도록 차단합니다.
• 정기적으로 비밀번호 변경: 공격자의 공격 기회를 줄이기 위해 사용자는 30-45일마다 비밀번호를 변경해야 합니다. 너무 오랫동안 비밀번호를 활성 상태로 둘 경우 공격자가 손상된 계정에 무기한으로 액세스할 수 있습니다.

• 소프트웨어 및 펌웨어를 최신 상태로 유지: 소프트웨어 및 펌웨어 개발자는 버그 및 보안 문제를 해결하기 위해 업데이트를 배포합니다. 알려진 취약점이 인프라에 더 이상 존재하지 않도록 항상 이러한 업데이트를 설치하세요.
• 방화벽 설치: 방화벽은 인바운드 및 아웃바운드 트래픽을 제어합니다. 피싱을 통해 설치된 악성코드는 조용히 빼낸 개인 데이터를 공격자에게 보내지만, 방화벽은 악의적인 발신 요청을 차단하고 추가 검토를 위해서 이를 기록합니다.
• 팝업 클릭 방지: 공격자는 팝업 창의 X 버튼 위치를 ​​변경하여 사용자가 악성 사이트를 열거나 맬웨어를 다운로드하도록 속입니다. 팝업 차단기는 많은 팝업을 막을 수 있지만 허위 음성 공격은 여전히 ​​가능합니다.
• 신용 카드 데이터 제공 시 주의하기: 사이트를 완전히 신뢰할 수 있는 경우가 아니면 모르는 웹 사이트에는 신용 카드 데이터를 제공하지 않아야 합니다. 선물이나 환불을 약속하는 사이트는 주의해서 사용해야 합니다.