웨일링 공격은 사이버 범죄자가 조직의 임원으로 가장하여 조직의 임원 또는 다른 중요한 개인을 직접 표적으로 하여 돈 또는 민감한 정보를 훔치거나 범죄 목적으로 컴퓨터 시스템에 대한 액세스 권한을 얻는 방법을 말합니다. CEO 사칭이라고도 알려진 웨일링은 표적이 민감한 데이터를 공개하도록 하거나 돈을 이체하도록 꾀어 이메일 및 웹 사이트 스푸핑 등의 방법을 사용한다는 점에서 피싱과 유사합니다.
피싱 사기는 불특정 개인을 표적으로 하고 스피어 피싱은 특정 개인을 표적으로 하는 반면 웨일링은 그러한 주요 개인을 표적으로 할 뿐만 아니라 조직에서 특히 임원이나 영향력 있는 사람을 가장해 사기를 치는 방식의 커뮤니케이션으로 후자를 집중 공격합니다. 그들을 CEO 또는 재정 관리자 등 회사에 있는 '큰 피시' 또는 '웨일'이라고 생각해 보십시오. 이렇게 되면 직원들이 중요하다고 여기는 사람들의 요청을 거절할 수 없는 사회 공학적 요소가 더해집니다.
위협은 매우 실제 같고 매번 진화하고 있습니다. 2016년 Snapchat 급여 부서는 웨일링 이메일을 수신했습니다. 이는 CEO가 직원 급여 정보를 요청하는 내용으로 보였습니다. 지난 해, 장난감 대기업인 Mattel에서는 최고 재무 책임자가 새로운 CEO처럼 가장한 사기꾼의 송금 이체 요청 이메일을 받은 후 웨일링 공격의 피해자가 되었습니다. 결과적으로 해당 기업은 거의 300만 달러의 손실을 입을 뻔했습니다.
웨일링 공격 방식과 스스로를 보호하는 방법
앞서 언급한 것처럼, 웨일링은 임원처럼 보이는 커뮤니케이션을 한다는 점에서 스피어 피싱과는 다릅니다. 이러한 공격은 표적이 된 개인에 맞춘 접근 방식을 만들기 위해 사이버 범죄자들이 소셜 미디어 등 공개적으로 이용 가능한 리소스를 활용해 상세히 조사를 한 경우 더욱 그럴 듯하게 보일 수 있습니다.
이는 임원으로부터 온 이메일이 포함될 수도 있고 공격자가 온라인에서 수집한 어떤 참고 자료를 포함할 수도 있습니다. 예를 들어 공격자가 소셜 미디어에서 그러한 사람의 사무실 크리스마스 파티 사진을 보고 '안녕하세요 John, Steve에요. 지난 주 목요일에 꽤 많이 취했더군요! 빨간 셔츠에서 맥주 얼룩을 잘 지웠기를 바랍니다!'라고 말할 수 있습니다.
게다가 발신자 이메일 주소는 주로 믿을 만한 출처로부터 온 것으로 보이며 기업 로고 또는 합법으로 보이도록 설계된 사기 웹 사이트로 이동하는 링크를 포함하고 있을 수도 있습니다. 조직 내에서 웨일의 신뢰 및 접근성 수준이 높은 경향이 있으므로 사이버 범죄자는 더 그럴 듯하게 보이기 위해 시간과 노력을 들이려고 합니다.
웨일링 공격 방어의 시작은 표적이 될 가능성에 대해 정기적으로 경계를 강화하도록 조직 내에서 중요 개인들을 교육하는 것입니다. 특히 중요한 정보 또는 재정적 거래가 있는 경우 원치 않는 접촉이 있을 때 합리적 의심을 유지하도록 해야 합니다. 항상 이메일, 첨부 파일 또는 링크가 예상했던 것인지에 대해 자문해야 합니다. 요청이 어떤 방식으로든 비정상적인가를 확인해야 합니다.
또한, 스푸핑(가짜) 이메일 주소 및 이름 등 공격의 징후를 찾도록 교육 받아야 합니다. 이메일에 있는 이름 위에 마우스 커서를 올리기만 하면 전체 주소를 볼 수 있습니다. 신중하게 살펴보면 회사 이름 및 형식과 완벽하게 일치하는지 알아낼 수 있습니다. IT 부서는 중요한 직원이 대응하는 방법을 테스트하기 위해 웨일링 모의 연습을 수행해야 합니다.
임원들은 Facebook, Twitter 및 LinkedIn 등의 소셜 미디어에서 온라인으로 정보를 게시 및 공유할 때 특별한 주의를 기울이도록 교육 받아야 합니다. 생일, 취미, 휴일, 직책, 승진 및 관계 등의 세부 정보는 모두 더 정교한 공격을 만들어내기 위해 사이버 범죄자들이 이용할 수 있습니다.
스푸핑 이메일에 내포된 위험을 줄이는 훌륭한 방법은 IT 부서에 네트워크 외부에서 온 자동 플래그 이메일을 검토하도록 요청하는 것입니다. 사이버 범죄자들은 종종 계좌에 금액을 이체하라는 재정 관리자의 요청 등, 조직 내부에서 온 메시지처럼 보이도록 하여 주요 직원들을 속이는 방식으로 웨일링 공격을 합니다. 외부 이메일 플래깅은 겉으로 볼 때 합법적으로 보이는 가짜 이메일을 알아내기 쉽게 하여, 교육 받지 않은 사람들도 쉽게 알아볼 수 있습니다.
URL 선별 및 링크 유효성 검사 등의 서비스를 제공하는 전문 피싱 방지 소프트웨어를 배포하는 것도 권장됩니다. 민감한 정보 또는 대규모 자금을 보낼 때 또 다른 수준의 유효성 검증을 더하는 것을 고려하는 것도 현명한 방법이 될 수 있습니다. 예를 들어, 중요하거나 민감한 작업을 취급할 때 대면 회의 또는 전화 통화가 간단히 전자 거래를 수행하는 것보다 모범 사례가 될 수 있습니다.
또한, 인터넷 사기에 있어서는 하나보다 두 명이 머리를 맞대는 것이 낫습니다. 하나보다 두 명이 머리를 맞대어 결제를 승인하도록 조직의 절차를 변경하는 것을 고려하는 것이 좋습니다. 이는 한 사람이 다른 의견도 들을 수 있게 될 뿐만 아니라, 거절할 경우에 임원이 처벌을 할 수도 있다는 두려움을 없애줍니다. 두려움은 공격자가 자주 사용하는 핵심적인 사회 공학적 전술이기 때문입니다.