피싱이란 무엇인가요?
피싱이란 무엇일까요? 피싱의 유형에는 어떤 것들이 있을까요? 사용자가 주의를 기울인다면 피싱을 방지할 수 있습니다.
피싱(phishing)은 사이버 공격의 일종으로 사람들을 속이기 위해 악의적인 행위자가 저명한 단체나 기업인 것처럼 가장해 신용 카드 세부 정보, 사용자 이름, 암호 등 민감 정보를 수집하는 것입니다. 피싱은 심리적인 조작을 수반하며 인간의 실패에 의존(하드웨어나 소프트웨어 대신)하기 때문에 일종의 사회 공학적 공격(social engineering attack)으로 간주됩니다.
일반적으로 피싱 공격은 위조된 이메일을 통해 사용자가 가짜 웹 사이트에 중요한 정보를 입력하도록 유도합니다. 이러한 이메일은 일반적으로 사용자에게 비밀번호를 재설정하거나 신용 카드 정보를 확인하도록 요청하며, 진짜 웹사이트와 매우 유사한 가짜 웹사이트로 연결됩니다. 피싱의 주요 유형은 복제 피싱(clone phishing), 스피어 피싱(spear phishing) 및 파밍(pharming)입니다.
피싱 공격은 악의적인 행위자가 사용자들로부터 비트코인이나 다른 디지털 통화를 가로채는 방식으로 가상자산 생태계에서도 사용되고 있습니다. 예를 들어, 공격자가 진짜 웹사이트를 위조하고 지갑 주소를 자신의 것으로 바꾸면, 사용자들에게는 정식 서비스에 금액을 지불하는 것처럼 보이게 하면서, 실제로는 그들의 돈을 가로챌 수 있습니다.
피싱에는 어떤 것들이 있나요?
피싱에는 여러 유형이 있으며 일반적으로 대상과 공격 경로에 따라 분류됩니다. 몇 가지 일반적인 예시는 다음과 같습니다.
복제 피싱(Clone phishing): 공격자는 기존에 전송된 적이 있는 공식 이메일을 사용해 콘텐츠를 유사하게 복사하고, 악성 사이트 링크를 포함시킵니다. 이후 링크가 업데이트되었거나 새로운 링크라 주장할 수 있으며, 이전 링크가 만료되었다고 할 수 있습니다.
스피어 피싱(Spear phishing): 이러한 유형의 공격은 일반적으로 다른 사람에 의해 인식된 사람이나 기관에 집중됩니다. 스피어 공격은 프로파일링 되기 때문에 다른 피싱 유형보다 더 정교합니다. 이는 공격자가 먼저 공격 대상자에 대한 정보(예를 들면 친구나 가족의 이름)를 수집한 다음 이를 기반으로 악의적인 웹 사이트를 방문하거나 악의적인 파일을 다운로드하도록 유도하는 메시지를 작성합니다.
파밍(Pharming): 공격자는 DNS 레코드를 감염시키며, 방문자는 공식 웹사이트에서 방문자를 공격자가 미리 만든 가짜 웹사이트로 리디렉션됩니다. 이는 가장 위험한 공격으로 DNS 레코드가 사용자의 통제 아래 있지 않아 사용자가 방어할 수 없습니다.
웨일링(Whaling): CEO나 정부 관료처럼 부유하고 중요한 사람들을 목표로 하는 일종의 스피어 피싱입니다.
이메일 도용(Email Spoofing): 피싱 이메일은 일반적으로 공식 회사나 사람들의 대화인 것처럼 가장합니다. 피싱 이메일은 피해자에게 악성 사이트 링크를 제공할 수 있으며, 공격자는 교묘하게 위장된 로그인 페이지를 사용해 로그인 자격과 개인 식별 정보(PII)를 수집할 수 있습니다. 이 페이지에는 개인 정보를 빼내는 트로이 목마, 키 로거 및 기타 악성 스크립트가 포함될 수 있습니다.
웹 사이트 리디렉션(Website Redirections): 웹사이트에서 사용자가 방문하려는 URL이 아닌 다른 URL로 사용자를 이동시킵니다. 취약점을 악용하는 행위자는 리디렉션을 삽입하고 악성 프로그램을 사용자의 컴퓨터에 설치할 수 있습니다.
타이포스쿼팅(Typosquatting): 타이포스쿼팅은 위조된 사이트로 트래픽을 유도하는 것으로, 외국어 스펠링을 사용하거나, 일반적인 맞춤법 오류 또는 최상위 도메인의 미묘한 변경을 통해 이뤄집니다. 피셔(phishers)는 공식 웹사이트 인터페이스를 흉내내며 URL을 잘못 입력하거나 잘못 읽은 사용자를 통해 이익을 얻기 위해 이러한 도메인을 사용합니다.
워터링 홀(The ‘Watering Hole’): 워터링 홀 공격 시 피셔는 사용자를 프로파일링하고 자주 사용하는 웹 사이트를 확인합니다. 피셔는 해당 웹사이트의 취약점을 검색하고, 만약 가능하다면, 사이트 재방문 시 해당 사용자를 대상으로 설계된 악의적인 스크립트를 투입시킵니다.
사칭 & 경품(Impersonation & Giveaways): 소셜 미디어의 영향력 있는 인물을 사칭하는 것은 피싱의 또 다른 기법입니다. 피셔들은 회사의 주요 리더인 것처럼 가장할 수 있고, 그들을 따르는 무리들과 함께, 경품을 광고하거나 다른 기만적인 행위에 연루되도록 할 수 있습니다. 이 속임수의 피해자들은 사회 공학적 과정을 통해 속이기 쉬운 사용자를 찾는 과정을 통해 개별 타겟이 될 수 있습니다. 사칭자들은 검증된 상태를 유지한 상태에서, 검증된 계정을 해킹하고, 진짜 인물을 사칭하기 위해 사용자 이름을 수정할 수 있습니다. 피해자들은 겉으로 보기에 영향력 있는 인물들과 소통하고 개인 식별 정보를 제공하는 경향이 있으며, 이는 피셔들이 그들의 정보를 이용할 수 있도록 합니다.
최근 피셔들은 동일한 목적으로 슬랙(Slack), 디스코드(Discord), 텔레그램(Telegram)과 같은 플랫폼을 집중 타겟으로 삼아 채팅을 위조하고 개인을 사칭하며 공식 서비스를 흉내내고 있습니다.
광고(Advertisements): 유료 광고는 피싱의 또 다른 전략입니다. 이러한 (가짜) 광고는 공격자가 타이포스쿼팅한 도메인을 활용하며, 대금을 지불하고 검색 결과에 노출나도록 합니다. 이러한 사이트는 고팍스(Binance)와 같은 공식적인 기업이나 서비스를 검색할 때 검색 결과 상단에 나타날 수도 있습니다. 해당 사이트는 거래 계정에 대한 로그인 자격이 포함될 수 있는 민감한 정보를 피싱하기 위한 수단으로 사용되는 경우가 많습니다.
악성 응용 프로그램(Malicious Applications): 피셔들은 사용자의 행동을 모니터링하거나 민감한 정보를 훔치기 위한 맬웨어를 투입시키는 방법으로 악성 응용 프로그램을 사용할 수 있습니다. 이 앱은 가격 추적기, 지갑 및 기타 가상자산 관련 도구들(가상자산을 보유하거나 거래한 것으로 간주되는 사용자를 기반으로 함)일 수 있습니다.
문자 및 음성 피싱(Text and Voice Phishing): SMS 피싱은 문자 메시지 기반 피싱이며, 브이싱(Vishing)은 음성/전화 피싱입니다. 이는 공격자가 개인 정보를 획득하는 다른 수단입니다.
피싱 vs 파밍
파밍은 피싱 공격의 한 형태로 간주되기도 하지만, 이는 다른 메커니즘에 기반합니다. 피싱과 파밍의 주요 차이점은 피싱은 피해자가 실수를 범해야 한다는 것이고, 파밍은 공격자가 DNS 레코드를 손상시킨 공식 웹사이트에 피해자가 접속하기만 하면 된다는 것입니다.
피싱을 어떻게 방지할 수 있을까요?
주의를 기울이세요: 피싱을 방지하는 최선의 방법은 수신하는 이메일을 비판적으로 검토하는 것입니다. 해당 주제의 질문을 포함한 이메일을 받는 것을 예상해 보신적이 있나요? 누군가 찾고 있는 정보가 그들 비즈니스의 일부가 아니라고 의심되시나요? 만약 그렇다면, 최선을 다해 다른 방법으로 발송자에게 연락해보세요.
내용을 확인하세요: 특정 방법을 사용한 피싱 공격에 대한 기록이 있는지 확인하기 위해 검색 엔진에 내용(또는 보낸 사람의 이메일 주소)의 일부를 입력해 볼 수 있습니다.
다른 방법을 시도해 보세요: 친숙한 비즈니스 계정에 대한 공식적인 자격 증명 확인 요청을 받은 것이라 생각될 경우, 이메일의 링크를 클릭하는 대신 다른 방법을 사용해 인증을 시도해보세요.
URL을 확인하세요: 링크를 클릭하지 않고 링크 위로 마우스를 가져가 HTTP가 아닌 HTTPS로 시작되는지 확인합니다. 그러나 이것만으로는 사이트가 공식적임을 보장할 수 없습니다. URL에서 오타, 비정상적인 문자, 기타 이상을 자세히 확인합니다.
개인 키를 공유하지 마세요: 비트코인 지갑의 개인 키를 절대로 알려주지 마시고, 가상자산을 전송하려는 상품이나 판매자가 공식적인지 신중하게 판단하세요. 가상자산은 신용 카드와 다르게 상품이나 서비스를 받지 못했을 때 비용에 이의를 제기할 수 있는 중앙 권위가 없습니다. 따라서, 가상자산 거래시에는 특별한 주의를 기울여야 합니다.
결론
피싱은 가장 보편적이면서도 일반적인 사이버 공격 기법 중 하나입니다. 주류 서비스의 이메일 필터는 위조 사항을 잘 필터링하고 있지만, 이용자는 여전히 주의를 기울이고 최후의 방어책들을 유지해야 합니다. 민감한 정보나 사적인 정보를 빼내려는 시도를 조심하세요. 가능한 경우, 보낸이와 요청이 공식적인지, 다른 커뮤니케이션 수단을 통해 항상 확인하세요. 보안 관련 이메일을 클릭하는 것을 삼가고, URL이 HTTPS로 시작하는지 확인하며 웹페이지를 탐색하세요. 마지막으로 가상자산 트랜잭션은 되돌릴 방법이 없으므로 특별히 주의하세요. 개인 키와 암호를 사적으로 보관하고, 절대로 너무 쉽게 신뢰하지 마세요.