피싱 공격은 고도의 디지털 세계에서 지속적으로 발생하는 위협으로, 개인과 조직에 모두 계속 문제가 되고 있습니다. 스피어 피싱 공격은 이런 유형의 사이버 범죄 중에서 특히 문제가 되고 있는 것 중 하나입니다. 하지만 스피어 피싱이란 정확히 무엇이며, 이런 공격을 예방할 수 있을까요?
스피어 피싱: 정의
피싱은 이메일, SMS 또는 전화를 통해 감행하는 사이버 공격을 의미하는 일반적인 용어인데, 표적이 분명한 피싱 공격을 무엇이라고 하는지 궁금할 수 있습니다. 이는 스피어 피싱입니다. 간단하게 말하면, 스피어 피싱은 특정 개인 또는 회사를 표적으로 하는 고도의 맞춤 사이버 공격입니다. 일반적으로 이런 공격에는 수신자에게 합법적인 것처럼 보이고 수신자가 민감한 정보를 공격자와 공유하도록 유도하는 스피어 피싱 이메일이 사용됩니다. 스피어 피싱 공격의 일반적인 목표는 로그인 자격 증명이나 신용 카드 정보 같은 정보를 훔치는 것이지만, 장치를 악성 코드에 감염시키기 위한 것들도 있습니다. 종종 정부의 후원을 받는 해커와 핵티비스트가 스피어 피싱 사기의 가해자 역할을 하기도 합니다. 하지만 신분 도용이나 금융 사기, 주가 조작, 스파이 행위 또는 비밀 정보를 정부나 민간 기업이나 그 외 관심이 있는 다른 개인에게 팔기 위해 훔치는 것을 목적으로 개별 사이버 범죄자가 이런 공격을 감행하기도 합니다.
스피어 피싱 사기가 일반적인 피싱 공격보다 훨씬 더 성공적인 이유는 공격자가 의도한 표적에 대해 아주 광범위하게 조사하기 때문입니다. 공격자는 자신이 찾은 정보를 이용하여 소셜 엔지니어링 기법을 사용해 표적이 합법적인 이메일과 요청을 받았다고 속이는 고도의 맞춤 공격을 개발할 수 있습니다. 그 결과 C등급 조직 임원의 고위 경영진도 안전하다고 착각하여 이런 이메일을 열어보게 됩니다. 이런 부주의한 실수로 인해 사이버 범죄자는 표적으로 삼은 네트워크를 공격하는 데 필요한 데이터를 훔칠 수 있게 됩니다.
스피어 피싱 공격은 어떻게 이루어지나요?
기본적으로 다음 다섯 단계에 걸쳐 스피어 피싱 사기에 당할 수 있습니다.
- 공격 목표 결정
- 예비 조사를 통해 표적 선택
- 소수의 표적을 정하고 표적을 각각 철저히 조사
- 수집한 정보와 소셜 엔지니어링 기법을 사용하여 스피어 피싱 이메일 생성
이런 표적 공격은 스피어 피싱 이메일이 수신자의 생활에 대해 잘 알고 있는 사람이 보낸 것 같은 느낌을 주기 때문에 효과적입니다. 공격자는 수신자의 일, 생활, 친구 및 가족에 대해 최대한 자세히 알아내는 데 많은 시간과 노력을 들입니다. 피싱 공격자는 인터넷과 Facebook, LinkedIn 같은 플랫폼에서 소셜 미디어 프로필을 샅샅이 뒤져서 이메일 주소와 전화번호, 친구, 가족, 거래처 직원을 포함한 인맥, 자주 방문하는 장소, 그리고 직장과 직위, 온라인 쇼핑을 하는 장소, 사용하는 은행 서비스 등과 같은 정보를 찾을 수 있습니다. 공격자는 이런 정보를 모두 이용하여 잠재적인 표적에 대해 광범위하게 파악하고 소셜 엔지니어링 기법을 이용해 표적이 자주 상대하는 개인이나 회사가 보냈고 정확할 수 있는 정보를 포함하고 있어서 합법적인 것처럼 보이는 스피어 피싱 이메일을 작성할 수 있습니다.
이런 이메일은 일반적으로 수신자에게 특정 세부 정보를 즉시 회신해 줄 것을 요청하거나, 합법적인 사이트를 스푸핑하는 웹사이트에서 수신자가 이런 세부 정보를 입력해야 하는 링크를 포함합니다. 예를 들어 이메일 링크를 클릭하면 수신자의 은행이나 그가 선호하는 전자상거래 사이트와 비슷한 허위 웹사이트로 이동하며, 여기서 계정에 로그인해야 합니다. 이 시점에 공격자는 로그인 세부 정보와 암호를 훔쳐서 악의적으로 사용할 수 있습니다. 하지만 수신자가 다운로드하거나 클릭하면 악성 코드가 장치에 설치되는 첨부 파일이나 링크가 이메일에 포함되는 경우가 있습니다. 그러면 공격자는 이 악성 코드를 이용해 필요한 정보를 훔치거나 컴퓨터를 하이재킹하여 서비스 거부(DoS) 공격을 실행하기 위해 사용할 수 있는 봇넷이라는 거대한 네트워크에 강제 편입시킬 수 있습니다.
하지만 모든 인터넷 사용자 또는 소셜 미디어 프로필이 스피어 피싱의 좋은 표적이 아니라는 사실을 기억해야 합니다. 스피어 피싱에는 일반 피싱보다 더 많은 노력이 필요하기 때문에 사이버 범죄자는 종종 많은 것을 갈취할 수 있는 표적을 찾습니다. 공격자는 자동화된 알고리즘을 사용해 인터넷과 소셜 미디어를 샅샅이 뒤져서 암호와 PIN 같은 특정 정보를 찾아보고 스피어 피싱 공격에 성공할 가능성이 더 크고 많은 것을 갈취할 수 있는 사람을 표적으로 정합니다.
이런 사기는 더욱 정교해져서 일반적인 사람이 공격에 이용하기가 거의 불가능해졌습니다. 그렇기 때문에 완벽한 스피어 피싱 사이버보안 조치는 없음에도 불구하고 이런 공격이 어떻게 이루어지는지 이해하고 무엇에 주의해야 하는지 알면 공격을 방지하는 데 도움이 될 수 있습니다.
스피어 피싱 사기 식별
스피어 피싱을 방지하는 방법을 알기 위한 열쇠 중 하나는 피싱 공격자가 공격의 성공을 보장하기 위해 사용하는 여러 가지 기법을 이해하는 것입니다. 이러한 방식으로 개인과 회사 직원들이 스피어 피싱 사기를 경계할 수 있습니다. 다음과 같은 적신호가 하나라도 있는 이메일을 수신하면 이메일을 주의 깊게 다뤄야 합니다.
- 이메일이 긴급하다는 느낌이나 공포심을 유발하도록 작성됩니다. 회사의 IT 관리자가 보냈고 시급한 조치를 이행하기 위해 로그인 세부 정보를 긴급하게 요구하는 것처럼 보일 수 있습니다.
- 두려움이나 죄책감 같은 감정을 유발하여 수신자가 조치를 취하도록 자극하는 표현이 사용됩니다.
- 이메일 주소가 잘못된 것처럼 보입니다. 도메인이 잘못되었거나 이름 형식이 이상할 수 있습니다.
- 은행 같은 큰 조직에서 이메일을 보낸 것처럼 보이는 경우, 분명한 맞춤법 또는 문법 오류가 있습니다.
- 민감한 정보와 세부적인 개인 정보를 요청합니다.
- 맞춤법 오류 또는 형식이 잘못되어있는 링크 위로 마우스를 이동하면 대상 주소와 링크가 일치하지 않습니다.
- 파일 이름이 이상한 첨부 파일이 있습니다.
- 로그인 자격 증명이 곧 만료될 예정이어서 이메일에 있는 링크를 사용해 즉시 변경해야 한다는 등의 내용이 명시되어 있습니다.
스피어 피싱과 피싱의 차이는 무엇인가요?
두 피싱 모두 사이버 공격의 일종이지만, 스피어 피싱 공격이 피싱 공격과 어떻게 다른지 이해하는 것이 중요할 수 있습니다. 사이버 범죄자는 두 가지 공격을 모두 사용자가 민감한 개인 정보를 공유하도록 유도하기 위해 사용하지만, 전자는 의도한 표적에 맞춘 공격이고 후자는 사용자가 어떤 민감한 데이터든지 공유하도록 속여서 "낚기"(피싱) 위한 광범위한 공격입니다.
피싱 공격에는 대개 수신자가 암호와 신용 카드 세부 정보 등의 개인 데이터를 공유해야 한다고 요구하는 일반적인 이메일이 사용됩니다. 그런 다음 피싱 공격자는 이 정보를 신분 도용이나 금융 사기 같은 악의적인 목적에 사용합니다. 피싱 공격은 수신자를 대상으로 하는 맞춤 공격이 아니라는 중요한 차이점이 있습니다. 사이버 범죄자는 근본적으로 질(성공 확률이 더 높을 수 있는 더 정교한 기법을 사용하여 피싱 이메일 작성)보다는 양(피싱 이메일을 많이 내보냄)이라는 생각으로 운에 맡깁니다. 일반적으로 이런 이메일은 은행이나 전자상거래 스토어 같은 큰 회사를 가장하고 수신자가 자신의 데이터를 공유하거나 악성 코드를 수신자의 장치에 설치하도록 속이는 악성 링크를 포함합니다.
반대로, 스피어 피싱 사기는 의도한 피해자에게 매우 정확하게 맞춘 표적 공격입니다. 스피어 피싱 이메일은 특정 수신자에 관한 세부 정보를 포함하기 때문에 더 합법적인 것처럼 보이며, 특히 수신자가 잘 아는 개인이나 조직이 보낸 것처럼 보여서 더욱 그렇습니다. 따라서 사이버 범죄자가 스피어 피싱 공격을 감행하려면 훨씬 더 많은 시간과 노력을 투자해야 하므로 공격에 성공할 가능성이 더 큽니다.
표적이 분명한 피싱 공격을 뭐라고 하는지 궁금하십니까? 스피어 피싱 외에 웨일링과 BEC(Business Email Compromise)라는 두 가지 공격이 더 있습니다.
웨일링 공격은 피싱 및 스피어 피싱과 여러 유사점이 있는 세 번째 공격 유형입니다. 웨일링은 특히 C등급의 임원, 이사회 위원, 유명 인사, 정치인처럼 잘 알려진 사람을 대상으로 합니다. 이런 공격도 회사 또는 조직의 금융 정보, 민감한 정보, 또는 그 외 다른 비밀 정보를 훔치려고 시도하는 고도의 맞춤 이메일을 사용하며, 관련 기관에 상당한 금전적 손실이나 평판 훼손을 초래할 수 있습니다.
마지막 피싱 공격 유형인 BEC는 회사 직원을 가장하여 조직을 상대로 금융 사기를 저지르는 것입니다. 이 공격에는 C등급의 임원이 보낸 것처럼 보이고 하급 직원이 사기 청구서 대금을 지불하거나 자금을 "임원"에게 이체하도록 하는 이메일이 사용되는 경우가 있습니다. BEC는 공격자가 직원의 이메일을 하이재킹하여 공급업체가 허위 청구서 대금을 지불하거나 다른 직원이 자금을 이체하거나 비밀 정보를 전송하도록 하는 이메일 보안 침해의 형태로 이루어질 수도 있습니다.
스피어 피싱을 방지하는 방법
기존의 스피어 피싱 사이버보안으로는 이런 공격을 충분히 방지하지 못하는 경우가 많습니다. 공격이 매우 효과적으로 실행되기 때문입니다. 그 결과 이런 공격은 탐지하기가 점점 어려워지고 있습니다. 단순한 실수 하나가 개인, 정부, 기업 또는 비영리 조직과 같은 다양한 표적에 심각한 결과를 초래할 수 있습니다. 이런 공격이 널리 퍼지고 개인에게 정교하게 맞춰짐에도 불구하고, 개인 또는 조직이 스피어 피싱을 방지하기 위해 취할 수 있는 조치가 많이 있습니다. 이런 조치가 공격 위험을 완전히 뿌리 뽑을 수는 없지만, 공격 발생 가능성을 크게 줄일 추가적인 보안 단계가 될 수는 있습니다. 다음에 스피어 피싱을 방지하는 방법에 관한 전문가들의 팁이 있습니다.
- 암호 변경을 요청하거나, 의심스러운 링크가 포함되어 있는 의심스러운 이메일이 없는지 주기적으로 확인합니다.
- 가상 사설망(VPN)을 사용하여 모든 온라인 활동을 보호하고 암호화합니다.
- 안티 바이러스 소프트웨어를 사용해 모든 이메일에서 악성일 수 있는 이메일 첨부 파일, 링크, 또는 다운로드를 검사합니다.
- 이메일 출처의 진위를 확인하는 방법을 배웁니다.
- URL와 웹사이트를 확인하여 악성 링크를 열지 않는 방법을 배웁니다.
- 이메일에 있는 링크를 클릭하지 말고 조직의 웹사이트로 직접 이동하여 필요한 페이지를 검색합니다.
- 모든 소프트웨어가 최신 상태이고 최신 보안 패치를 실행하고 있는지 확인합니다.
- 자세한 개인 정보를 온라인으로 너무 많이 공유하지 않도록 주의합니다. 필요한 경우 소셜 미디어 프로필을 확인하고 피싱 공격자가 이용할 수 있는 내용은 모두 삭제하고 개인 정보 보호 설정이 최고 수준으로 설정되어 있는지 확인합니다.
- 암호 관리자를 사용하고, 계정마다 복잡한 암호를 만들고 주기적으로 변경하는 등 현명한 암호 관리 습관을 실천합니다.
- 가능한 경우 다단계 또는 생체 인증을 사용합니다.
- 이메일의 출처가 의심되는 경우, 개인 또는 조직에 연락하여 해당 개인 또는 조직이 실제로 이메일을 보냈고 정보를 요청했는지 확인합니다.
- 회사에서는 보안 의식 교육을 진행하여 직원이 이런 공격의 위험과 위험을 줄이는 방법을 인지하도록 할 수 있습니다.
- 조직은 정기 피싱 시뮬레이션을 진행하여 직원들에게 의심스러운 이메일을 인지하고 처리하는 방법을 교육할 수 있습니다.
스피어 피싱 공격은 불가피하지 않습니다
인터넷 사용자는 대부분 피싱에 대한 기초 지식이 있지만, 스피어 피싱과 일반 피싱의 차이점을 이해하는 것이 중요합니다. 스피어 피싱 이메일에는 엄청난 조사를 필요로 하는 소셜 엔지니어링 기법이 사용되기 때문에 이런 공격은 의도한 표적에 매우 정확하게 맞춰지고, 따라서 일반적인 피싱 공격보다 성공 확률이 훨씬 더 높습니다. 이런 공격은 항상 위험을 제기할 것이지만, 위험을 줄이려고 시도할 수 있습니다. 의심스러운 이메일에서 어떤 주의 신호를 찾아봐야 하는지 알기 위한 조치를 취하고, VPN과 안티 바이러스 소프트웨어를 주기적으로 사용하고, 의심스러운 링크와 첨부 파일에 주의하면 스피어 피싱 공격을 방지하는 데 도움이 될 수 있습니다.
자주 묻는 질문
Kaspersky Premium + Kaspersky Safe Kids 1년 무료 이용권을 받으십시오. Kaspersky Premium은 최우수 보호, 최고 성능, 가장 빠른 VPN, 승인된 Windows 자녀 보호, Android 자녀 보호 최고 등급으로 AV-TEST 상을 5개 수상했습니다.
연관 제품 및 서비스: