개인 정보를 훔치기 위해 온라인 사기를 시도하는 범죄자가 많아지면서 피싱 방지는 필수가 되어 가고 있습니다. 스팸 이메일을 피하는 방법을 알더라도 피싱 이메일은 믿을 만한 것처럼 감쪽같이 속일 수 있습니다. 심지어 수신자에 따라 맞춤화된 피싱 이메일도 있습니다. 결국에는 피싱 공격에 노출될 가능성이 있으므로 위험 신호를 숙지해 둘 필요가 있습니다. 웹에서 사기는 새로운 일이 아니지만 피싱은 생각보다 점점 더 눈치 채기 어려워지고 있습니다.
웹에서 이루어지는 피싱 공격은 의심하지 않는 피해자를 속여 은행 정보, 주민등록번호 등을 넘기게 만듭니다. 또한 사이버 범죄자의 위장 수법은 점점 더 치밀해지고 있습니다. 동료, 은행, 심지어 정부와 같이 잘 알고 신뢰하는 주체 뒤에 이러한 사기가 숨어 있는 경우도 있습니다. 링크를 클릭할 때마저도 사기꾼의 다음 희생양이 될 수 있습니다.
피싱 방지 방법을 자세히 알아보면서 다음과 같은 몇 가지 중요한 질문에 답해 볼 것입니다.
- 피싱이란 무엇인가?
- 피싱의 대상이 될 위험이 있는가?
- 어떤 유형의 피싱 사기가 존재하는가?
- 피싱 사기는 어떻게 찾아내는가?
- 피싱 이메일이란 무엇인가?
- 피싱 이메일을 찾으면 무엇을 해야 하는가?
- 피싱의 피해를 입지 않으려면 어떻게 해야 하는가?
피싱이란 무엇인가?
피싱이란 사람들이 사기꾼에게 기기, 계정 또는 개인 정보에 대한 액세스 권한을 넘겨 주도록 설득하는 것입니다. 대상이 신뢰하는 사람 또는 조직을 가장하면 더 쉽게 맬웨어를 감염시키거나 신용카드 정보를 훔칠 수 있습니다.
즉, 이러한 소셜 엔지니어링 수법으로 "속여서" 중요한 정보를 얻어내는 것입니다. 이러한 정보는 소셜 미디어 로그인 정보부터 주민등록번호를 통한 신원 정보 전체에 이르기까지 무엇이든 될 수 있습니다.
이와 같은 수법으로 첨부파일을 열거나 링크를 클릭하거나 양식을 작성하거나 개인 정보를 알려주도록 유도할 수 있습니다. 이러한 논리라면 항상 경계를 유지해야 하는데 이는 매우 피곤한 일일 수 있습니다.
가장 흔한 상황은 다음과 같습니다.
- 이메일을 열자 받은 편지함에 갑자기 은행에서 보낸 알림이 나타납니다. 이메일의 링크를 클릭하면 꼭 은행의 웹페이지처럼 보이는 웹페이지로 이동합니다.
- 여기에 함정이 있습니다. 사실 이 사이트는 개인 정보를 훔치기 위해 만들어진 것입니다. 알림에 따르면 계좌에 문제가 있어서 로그인 정보와 비밀번호를 확인해야 한다고 합니다.
- 표시되는 페이지에 자격 증명을 입력하고 나면 보통 실제 기관으로 이동하여 정보를 두 번째로 입력하게 됩니다. 이처럼 실제 기관으로 이동하면 정보를 도난당했다는 사실을 바로 눈치채지 못합니다.
이와 같은 위협은 매우 정교할 수 있으며 어떤 유형의 커뮤니케이션, 심지어 전화 통화 중에도 나타날 수 있습니다. 피싱의 위험은 작은 세부사항을 의심하지 않는다면 누구든 속일 수 있다는 점에 있습니다.
피해망상에 사로 잡히지 않고 스스로를 지킬 수 있도록 피싱 공격의 작동 방식에 관해 알아보겠습니다.
피싱의 작동 방식
인터넷 또는 전화를 사용한다면 누구나 피싱 사기꾼의 대상이 될 수 있습니다.
피싱 사기는 보통 다음을 시도합니다.
- 장치에 맬웨어 감염
- 금전 또는 신원 정보를 얻기 위한 비공개 자격 증명 탈취
- 온라인 계정 제어권 획득
- 금전 또는 귀중품을 보내도록 설득
때로는 이러한 위협의 피해가 여러분에게서 그치지 않는 경우도 있습니다. 해커가 이메일, 연락처 목록 또는 소셜 미디어에 접근하면 여러분을 사칭하는 피싱 메시지로 아는 사람들에게 사기를 칠 수도 있습니다.
피싱이 사람들을 속이는 위험한 방식이 될 수 있는 데는 신뢰와 긴급성이라는 요인이 있습니다. 여러분이 범죄자를 신뢰하여 생각하기 전에 행동을 취하도록 만들 수 있다면 여러분은 손쉬운 대상이 되는 것입니다.
피싱 공격을 받을 위험이 있는 대상
남녀노소 모두 개인적 생활에서 또는 직장에서 피싱에 영향을 받을 수 있습니다.
요즘에는 어르신부터 어린이까지 누구나 인터넷 장치를 사용합니다. 사기꾼이 공개된 곳에서 여러분의 연락처 정보를 찾는다면 이 정보를 피싱 대상 목록에 추가할 수 있습니다.
요즘에는 전화번호, 이메일 주소, 온라인 메신저 ID, 소셜 미디어 계정을 숨기기가 더 어렵습니다. 그러니 이 중 하나를 얻기만 해도 여러분은 사기의 대상이 될 가능성이 생깁니다. 또한 피싱 공격은 광범위하게 이루어질 수도 있고, 속이기로 한 사람만을 대상으로 할 수도 있습니다.
사기 피싱
사기 피싱은 의심하지 않는 사람을 잡기 위해 던지는 넓은 그물입니다. 대부분의 피싱 공격이 여기에 해당합니다.
참고로 스팸은 집 앞에 또는 우편함에 배달되는 '광고 우편물'의 전자 버전입니다. 그러나 스팸은 단순히 성가신 데서 그치지 않습니다. 특히 피싱 사기의 일환으로 보낸 것이라면 위험할 수도 있습니다.
피싱 사기 메시지는 다음 중 하나를 노리는 사기범과 사이버 범죄자가 대량으로 전송합니다.
- 메시지에 응답하는 소수의 수신자로부터 금전을 갈취합니다.
- 피싱 사기를 통해 비밀번호, 신용카드 번호, 은행 계좌 세부정보 등을 획득합니다.
- 수신자의 컴퓨터에 악성 코드를 전파합니다.
피싱 사기는 사기꾼이 여러분의 정보를 얻기 위해 가장 흔하게 사용하는 수단 중 하나입니다. 물론 다른 공격보다 더 정교하게 대상을 노리는 공격도 있습니다.
표적 피싱
표적 피싱 공격은 보통 스피어 피싱이라고 하며 가장 일반적인 변형으로는 웨일링이 있습니다.
웨일링은 지위가 높은 표적을 노리는 반면, 스피어 피싱은 그물을 넓게 칩니다. 표적은 보통 특정 기업 또는 정부 조직의 직원인 경우가 많습니다. 그러나 특히 중요하거나 취약한 것으로 보이는 사람이라면 누구나 쉽게 이러한 사기의 대상이 될 수 있습니다.
표적이 된 은행의 고객 또는 의료 시설의 직원으로 표적이 될 수도 있습니다. 이상한 소셜 미디어 친구 요청에 응답하는 것만으로도 피싱 공격을 받을 수 있습니다.
이러한 수법을 사용하는 피싱 사기범은 훨씬 인내심이 강합니다. 보상을 위해서든 성공의 가능성을 높이기 위해서든 시간을 들여 이렇게 맞춤화된 사기 수법을 만들어 냅니다.
이러한 공격을 구축하는 과정에 여러분 또는 여러분이 관여하게 된 조직에 관한 세부정보가 수집될 수 있습니다.
피싱범은 다음에서 이러한 정보를 가져올 수 있습니다.
- 소셜 미디어 프로필
- 기존에 유출된 데이터
- 공개적으로 찾을 수 있는 기타 정보
실제로 공격은 즉각적인 행동을 유도하면서 매우 빠르게 이루어질 수 있습니다. 큰 '부탁'을 하기 전에 몇 달에 걸쳐 관계를 형성하면서 신뢰를 얻는 수법도 있습니다.
이러한 공격은 직접적인 메시지 또는 통화에만 국한되지 않습니다. 피싱범의 이익을 위해 합법적인 웹사이트도 직접 해킹할 수 있습니다. 조심하지 않으면 평소에는 완벽하게 안전한 사이트에 로그인하는 것만으로도 피싱의 피해를 입을 수 있습니다.
안타깝게도 이와 같은 범죄자의 손쉬운 표적이 되는 사람들이 많은 것 같습니다. 이러한 공격의 빈도가 증가하면서 피싱은 새로운 '표준'이 되었습니다.
알아 두어야 하는 피싱 사기의 유형
첫 번째로 넘어야 할 관문은 피싱에서 예상되는 바를 파악하는 것입니다. 피싱은 전화 통화, 문자, 심지어 완전히 합법적인 웹사이트에서 가로챈 URL 등 어떤 수단으로도 이루어질 수 있습니다.
실제 사례를 보면 피싱을 이해하기가 훨씬 쉽습니다. 이러한 사기 중에는 이미 보고 스팸으로 치워둔 것도 있을 것입니다.
표적을 정하는 방식과 관계없이 피싱 공격은 다양한 경로로 표적에게 접근하며 대부분의 사람들은 다음과 같은 피싱의 형태 중 적어도 하나는 경험할 가능성이 높습니다.
- 피싱 이메일은 이메일 받은 편지함에 나타납니다. 링크를 따라가거나 결제 금액을 보내거나 개인 정보를 회신하거나 첨부파일을 열어보라는 요청이 포함되어 있는 경우가 많습니다. 보낸 사람의 이메일은 유효한 이메일과 비슷하게 보이도록 만들어 낼 수 있으며, 표적이 개인적인 것으로 느낄 수 있는 정보가 포함되어 있을 수도 있습니다.
- 도메인 스푸핑은 이메일 피싱범이 유효한 이메일 주소를 흉내내기 위해 많이 사용하는 방법입니다. 이러한 사기에는 실제 회사 도메인(예: @america.com)을 변형해 사용합니다. “@arneria.com”와 같은 주소에서 이메일을 받는 경우 이와 같은 수법의 피해자가 될 수 있습니다.
- 보이스 피싱(비싱) 사기범은 전화를 걸어 실제로 용건이 있는 사람이나 회사를 사칭하며 표적을 속입니다. 이들은 자동화 메시지에서 리디렉션해 전화번호가 노출되지 않도록 마스킹할 수 있습니다. 보이스 피싱범은 전화를 끊지 못하게 하면서 행동을 재촉합니다.
- SMS 피싱(스미싱)은 비싱과 비슷하며, 긴급한 용건을 포함한 단문 문자 메시지로 정당한 조직을 흉내내면서 표적을 속입니다. 이러한 메시지에는 보통 표적의 사용을 유도하는 링크 또는 전화번호가 포함되어 있습니다. 모바일 메시징 서비스도 이러한 공격의 위험이 있습니다.
- 소셜 미디어 피싱 수법을 사용하는 범죄자는 게시물이나 다이렉트 메시지를 사용해 표적을 함정으로 유도합니다. 무료 선물이나 긴급한 용건이 있는 수상한 "공식" 조직 페이지와 같이 노골적인 경우도 있습니다. 친구를 사칭하거나 ‘공격’을 마무리하기 전에 장기간에 걸쳐 관계를 형성하는 수법도 있습니다.
- 클론 피싱은 이전에 보낸 실제 메시지를 복제해 정당한 첨부파일과 링크를 악성 첨부파일과 링크로 대체하는 수법입니다. 이 수법은 이메일에서 나타나지만 가짜 소셜 미디어 계정이나 문자 메시지와 같이 다른 수단에도 사용될 수 있습니다.
다른 경우에는 다음을 통해 합법적인 웹사이트를 조작하거나 모방할 수 있습니다.
- 워터링 홀 피싱은 많은 사람이 방문하는 인기 사이트를 표적으로 합니다. 이와 같은 공격은 다른 피싱 공격처럼 사이트의 취약점을 이용하려 할 수 있습니다. 맬웨어, 링크 리디렉션, 기타 수단이 이 수법에서 일반적으로 사용됩니다.
- 파밍 (DNS 캐시 중독)은 맬웨어나 사이트 내 취약성을 사용해 안전한 웹사이트에서 피싱 사이트로 트래픽을 리라우팅합니다. URL을 직접 입력해도 이 사이트가 파밍의 피해를 입었다면 악성 사이트로 이동하게 됩니다.
- 타이포스쿼팅(URL 하이재킹)은 잘못된 웹사이트 URL을 입력하는 사람을 잡으려고 합니다. 예를 들어 유효한 웹사이트 주소에서 한 글자만 다른 웹사이트를 만들 수 있습니다. “walmart” 대신 “wallmart”를 입력하면 악성 사이트로 이동할 수도 있습니다.
- 클릭재킹은 웹사이트의 취약점을 이용해 숨겨진 캡션 박스를 삽입하는 것입니다. 이 수법은 원래 안전했을 사이트에 사용자가 입력하는 사용자 로그인 자격 증명 등의 모든 내용을 가져갑니다.
- 탭 내빙은 아무도 모르게 사기 페이지를 다시 로드하여 유효한 사이트 로그인처럼 보이게 만드는 경우에 발생합니다. 페이지로 돌아가면 진짜 페이지라고 생각해 부지불식 간에 계정 액세스 권한을 넘겨줄 수 있습니다.
- HTTPS 피싱은 악성 웹사이트에 전형적인 "URL 표시줄 옆의 자물쇠"를 표시해 보안이 되는 것처럼 보이게 만듭니다. 원래 이러한 암호화 표시는 안전한 것으로 검증된 사이트에만 사용되었지만 이제는 아무 사이트나 이 표시를 사용할 수 있습니다. 따라서 연결이나 여러분이 보내는 정보는 외부자에 대해 차단될지 몰라도 여러분은 이미 범죄자에게 연결되어 있는 것입니다.
심지어 다음을 통해 실제 인터넷 연결도 침해할 수 있습니다.
- 이블 트윈 공격은 커피숍이나 공항과 같은 장소에서 공식적인 공개 Wi-Fi를 흉내냅니다. 이 방식은 연결을 유도하여 모든 온라인 활동을 도청하는 데 사용됩니다.
끝으로, 추가로 알아두어야 하는 피싱 유형은 다음과 같습니다.
- 검색 엔진 결과 피싱은 검색 결과에 합법적인 웹페이지보다 사기 웹페이지가 먼저 표시되게 하는 방식을 사용합니다. SEO 피싱 또는 SEM 피싱으로도 알려져 있습니다. 유심히 보지 않으면 진짜 페이지가 아닌 악성 페이지를 클릭할 수 있습니다.
- 앵글러 피싱은 실제 회사의 고객 서비스 담당자를 사칭하여 정보를 빼냅니다. 소셜 미디어에서 가짜 지원 계정이 회사의 소셜 핸들에 대한 “@멘션”을 찾아서 가짜 지원 메시지로 응답하는 것입니다.
- BEC(비즈니스 이메일 침해)에는 회사의 커뮤니케이션 서클을 침해해 중요한 정보를 탈취하는 다양한 수단이 사용됩니다. 여기에는 CEO 사칭 또는 공급업체인 척하며 가짜 인보이스로 송금과 같은 활동을 유도하는 행위가 포함될 수 있습니다.
- 암호화폐 피싱은 암호화폐 지갑을 보유한 사람을 표적으로 합니다. 이러한 범죄자들은 장기적인 수단으로 암호화폐 자체를 채굴하는 대신 이미 암호화폐를 보유한 사람에게서 암호화폐를 훔치려고 합니다.
사실 피싱 공격 유형은 이보다 더 많으며 계속해서 늘어나고 있습니다. 살펴본 유형은 현재 가장 일반적으로 발생하는 공격이지만 몇 달 후에 새로운 공격이 나타날지도 모릅니다.
이러한 사기는 현재의 상황에 맞춰 빠르게 변하기 때문에 찾아내기가 어렵습니다. 하지만 안전을 강화할 수 있는 방법은 존재하며, 최신 사기 수법을 인지하고 있으면 쉽게 시작할 수 있습니다.
일반적인 피싱 사기의 몇 가지 예
여기에서 알려진 모든 피싱 사기를 나열하는 것은 실용적이지 않을 뿐더러 불가능한 일이기도 하지만, 다른 것보다 자주 발생하여 확실히 주의해야 하는 유형이 몇 가지 있습니다.
이란 사이버 공격 피싱 사기는 Microsoft 자격 증명을 훔치기 위해 불법적인 Microsoft 이메일로 데이터를 복구하라는 로그인 메시지를 표시합니다. 사기범은 Windows가 잠길지도 모른다는 두려움과 현재 정세의 관련성을 이용해 믿을 만한 상황을 만듭니다.
Office 365 삭제 알림은 또 다른 Microsoft 관련 사기로, 자격 증명을 탈취하는 데 사용됩니다. 이 이메일 사기는 계정에서 대량의 파일이 삭제되었다고 주장합니다. 그러면서 로그인 링크를 제공하는데, 물론 이 계정을 사용하면 계정이 침해됩니다.
은행 공지. 이 사기는 가짜 계정 알림으로 속이는 수법을 사용합니다. 이러한 이메일은 보통 웹 양식으로 이동하는 편리한 링크를 제공하면서 "인증 목적"으로 은행 세부정보를 요청합니다. 세부정보를 제공해서는 안 됩니다. 대신 은행에서 악성 이메일에 조치를 취하도록 은행에 전화를 하시기 바랍니다.
'친구'의 이메일. 이 사기 수법은 외국에 있어서 도움이 필요한 친구인 척합니다. 보통 이러한 '도움'으로 송금을 해달라고 합니다. '친구'에게 송금하기 전에 먼저 전화해서 사실인지를 확인해야 합니다.
당첨/상속 관련 이메일. 예상치 못하게 무언가에 당첨되거나 들어본 적 없는 친척에게 상속을 받는다면 너무 기대하지 마십시오. 대부분의 경우 이러한 이메일은 상품 배송 또는 상속 '확인'을 위해 링크를 클릭해 정보를 입력하라고 요구하는 사기이기 때문입니다.
세금 환급. 많은 사람들이 매년 세금을 납부하기 때문에 널리 사용되는 피싱 사기 수법입니다. 이러한 피싱 메시지는 보통 세금 환급 대상이거나 감사 대상으로 선정되었다는 내용입니다. 세금 환급 요청 또는 (전체 정보를 요구하는) 세금 양식을 제출하도록 요청하며, 사기범은 이 정보를 활용해 금전을 갈취하거나 데이터를 팔아 넘깁니다.
코로나바이러스 피싱 사기 및 맬웨어 위협
코로나바이러스/COVID-19 피싱 사기는 사이버 범죄에 대한 공포를 이용하는 최신 수법입니다. 가장 주목할 만한 것 중 하나가 김프 뱅킹 트로이 목마로, 장치를 감염시키고 "코로나바이러스 파인더"가 포함된 웹페이지를 엽니다. 근처에서 감염된 사람을 알려면 돈을 지불하라고 속입니다. 이 수법을 통해 범죄자는 피해자의 신용카드 정보를 획득하게 됩니다.
사기범이 중요한 정부 기관, 심지어 세계보건기구(WHO)를 사칭하는 경우도 있었습니다. 이 사기 수법의 경우 사기범이 사용자에게 주로 이메일을 통해 직접 연락합니다. 은행 세부정보를 요청하거나 컴퓨터를 맬웨어에 감염시키고 비공개 데이터를 훔치기 위해 링크를 클릭하도록 유도합니다.
이러한 이메일과 메시지는 공식적인 것처럼 보이지만 링크 위에 마우스를 가져가서(클릭하지는 않음) 링크 URL을 자세히 살펴보거나 이메일 주소를 주의 깊게 확인하면 진짜가 아니고 신뢰할 수 없다는 신호를 찾을 수 있습니다(예: WHO 또는 정부 이메일을 Gmail 계정으로 전송한 경우).
이러한 사기에 속지 마시기 바랍니다. 이와 같은 조직에서는 절대 민감한 개인 세부정보 또는 개인적인 은행 정보를 묻지 않습니다. 게다가 앱이나 소프트웨어를 컴퓨터에 다운로드하도록 요청할 가능성도 매우 낮습니다. 그러므로 이와 같은 이메일 또는 메시지를 받는다면, 특히 갑자기 받은 경우라면 링크를 클릭하지 말고 개인 정보나 은행 정보도 넘겨주어서는 안 됩니다. 잘 모르겠다면 관련 당국이나 은행에 확인하고 신뢰할 수 있는 웹사이트와 출처만 사용하거나 방문하십시오.
이러한 이메일 중 하나를 받는다면 해야 할 일은 다음과 같습니다.
- 이메일 주소를 확인하여 보낸 사람을 검증합니다. WHO에서 보냈다면 주소에는 person@who.int 패턴이 사용됩니다. Gmail 같은 주소는 사용하지 않습니다.
- 클릭하기 전에 링크를 확인합니다. 링크는 http://가 아닌 https://로 시작해야 합니다.
- 개인 정보를 제공할 때는 주의를 기울입니다. 자격 증명은 제3자에게 절대 제공하지 마십시오. WHO라도 안 됩니다.
- 서두르거나 당황하지 마십시오. 사기범은 링크를 클릭하거나 첨부파일을 열도록 압박하기 위해 이러한 수법을 사용합니다.
- 민감한 정보를 제공했더라도 침착하십시오. 자격 증명을 사용하는 사이트에서 재설정하면 됩니다. 비밀번호를 변경하고 은행에 즉시 연락하십시오.
- 사기를 모두 신고합니다.
주로 피싱 이메일에는 숙련된 사람의 눈으로는 잡아낼 수 있는 비슷한 특징이 나타납니다. 하지만 첫 눈에 찾아내기가 언제나 쉬운 것은 아니기 때문에 이러한 위험 신호는 함께 푸는 것이 좋습니다.
피싱 이메일: 피싱 이메일을 식별하고 피하는 방법
피싱 이메일을 찾아내는 일은 일관성이 없거나 평소와 다른 점을 발견하는 데서 시작합니다.
무엇이 진짜이고, 무엇이 피싱 시도인지를 알아보는 것이 어려울 때도 있습니다. 먼저 링크 또는 첨부파일을 열거나 회신을 보내기 전에 침착해지는 것이 좋습니다.
일례로 의심스러운 이메일을 받았을 때는 다음과 같이 대응할 수 있습니다.
최근 허리케인으로 인해 발생한 산사태의 피해자를 위해 정중하게 기부를 요청하는 이메일을 받습니다. 보낸 사람의 도메인은 "help@ushurricanesurvivors.net"이고 합법적인 조직일 수도 있지만 들어본 적은 없습니다.
보통 스팸 폴더에서 이러한 이메일은 막아주는데, 어떤 이유에서인지 이 이메일은 받은 편지함 상단에 표시되었습니다.
여러분은 컴퓨터에 대해 잘 아는 편이고 개인 정보와 금융 정보를 요청하는 조직의 이메일과 관련해 위험을 감수하지 않습니다. 특히 여러분이 관련된 요청을 한 적이 없고 신원을 확인할 수 없는 경우에는 더욱 그렇습니다.
즉시 행동하는 대신 잠시 멈추는 편을 택해 스스로를 보호하는 중요한 조치를 취했습니다. 하지만 여전히 이것이 합법적인 것인지 사기인지를 판단해야 합니다.
결정을 내리려면 이제 피싱 이메일에서 원하는 바가 정확하게 무엇인지를 알아야 합니다.
피싱 이메일의 형태
피싱 이메일이 그렇게 해롭고 안타깝게도 종종 성공을 거두는 이유 중 하나는 이러한 이메일이 정당한 것처럼 보이도록 만들어지기 때문입니다. 일반적으로 피싱 이메일에는 다음과 같은 특징이 흔히 나타나며, 이러한 특징은 위험 신호에 해당합니다.
- 첨부파일 또는 링크
- 철자 오류
- 맞지 않는 문법
- 비전문적인 그래픽
- 이메일 주소 또는 기타 개인 정보의 즉각적인 확인에 관한 불필요한 재촉
- 이름이 아닌 "고객님께"와 같은 일반적인 인사
해커는 피싱 사이트를 열어 보도록 재촉하는 경우가 많으며, 이들 중에는 원래 회사와 완전히 달라 보이는 경우가 있습니다. 이러한 특징을 활용하면 악성 이메일을 받은 편지함에서 골라낼 수 있습니다.
물론 스팸 폴더에서 빠져 나온 피싱 이메일을 받았을 때 취해야 할 조치가 언제나 명확하지는 않습니다.
알려진 피싱 이메일을 처리하는 팁
피싱 이메일을 찾아내는 데 있어 경계심을 늦추지 않는 것이 중요합니다. 받은 편지함에서 스팸으로 자동 필터링되지 않은 피싱 이메일을 발견했다면 피싱 공격의 피해를 입지 않도록 이러한 전략을 활용하십시오.
- 이메일을 열지 말고 삭제하십시오. 대부분의 바이러스는 이메일 내에 있는 첨부파일을 열거나 링크를 클릭할 때 활성화됩니다. 하지만 일부 이메일 클라이언트는 스크립팅을 허용하기 때문에 의심스러워 보이는 이메일을 열기만 해도 바이러스에 감염될 수 있습니다. 아무 것도 열지 않는 것이 가장 좋습니다.
- 보낸 사람을 직접 차단하십시오. 이메일 클라이언트에서 직접 차단하는 것이 가능하다면 그렇게 해야 합니다. 보낸 사람의 이메일 도메인을 적어 두었다가 차단 목록에 추가하십시오. 이 방법은 가족 구성원과 이메일 받은 편지함을 공유하는 경우에 특히 유용합니다. 다른 사람이 스팸 폴더에 들어가지 않고 합법적인 것처럼 보이는 이메일을 보고는 해서는 안 될 일을 할 수도 있기 때문입니다.
- 보안 강화에 투자하십시오. 안전에는 지나침이 없습니다. 이메일 받은 편지함을 모니터링할 수 있는 안티 바이러스 소프트웨어를 구매하는 것이 좋습니다.
피싱 이메일을 처리하는 가장 좋은 방법은 차단하거나 즉시 삭제하는 것이라는 점을 잊지 마십시오. 공격에 대한 노출을 제한하는 추가적인 조치를 취하는 것은 부차적인 것입니다.
이메일을 찾아서 제거하는 방안 이외에 몇 가지 추가 팁을 활용해 스스로를 지킬 수 있습니다.
피싱 예방 팁
좋든 싫든, 예상했든 하지 않았든 여러분은 일상적으로 이러한 피싱 이메일의 표적이 됩니다.
대부분은 이메일 제공업체에서 자동으로 걸러 주며, 대체로 사용자들은 이러한 유형의 이메일을 비교적 잘 찾아내고, 상식을 발휘해 사기범의 요청을 들어주지 않습니다.
하지만 피싱이 얼마나 교묘해질 수 있는지 이미 살펴 보았습니다. 또한 피싱 공격이 이메일에 그치지 않고 모든 유형의 커뮤니케이션과 인터넷 탐색으로 확장된다는 점도 잘 알고 있습니다.
몇 가지 간단한 피싱 예방 팁을 따르면 사기범의 희생양이 될 가능성을 크게 줄일 수 있습니다.
피싱으로부터 스스로를 보호하는 단계
인터넷 안전은 잠재적 사이버 위협에 대한 마음가짐 및 행동에서 비롯됩니다.
피싱은 사용자를 속여 이메일, 기업 인터넷 등 모든 종류의 민감한 계정에 사용되는 자격 증명을 건네 주게 만듭니다.
아무리 조심스러운 사용자라도 피싱 공격을 감지하기 어려울 때가 있습니다. 시간이 흐르면서 이러한 공격은 점점 더 정교해지고, 해커는 사기 수법을 맞춤화하는 방법을 찾아 아주 그럴 듯한 메시지를 보냄으로써 손쉽게 실수를 유도할 수 있습니다.
이메일 및 기타 커뮤니케이션과 관련해 항상 취해야 하는 기본적인 조치 몇 가지를 소개합니다.
- 민감한 정보를 건네기 전에 상식에 비춰 생각해 보십시오. 은행이나 다른 주요 기관에서 알림을 받으면 이메일에 있는 링크를 절대 클릭해서는 안 됩니다. 대신 브라우저 창을 열고 주소를 직접 URL 필드에 입력하면 사이트가 진짜인지 확인할 수 있습니다.
- 경고 메시지를 절대 신뢰하지 마십시오. 신뢰할 수 있는 대부분의 기업은 이메일을 통해 개인 식별 가능 정보나 계정 세부정보를 요청하지 않습니다. 은행, 보험사, 여러분과 함께 비즈니스를 하는 기업이 여기에 해당합니다. 계정 정보를 요청하는 이메일을 받는다면 즉시 삭제하고 해당 회사에 전화해 계정이 괜찮은지 확인하십시오.
- 의심스럽거나 이상한 이메일에 포함되어 있는 첨부파일은 열지 마십시오. 특히 Word, Excel, PowerPoint 또는 PDF 첨부파일이라면 더욱 주의해야 합니다.
- 이메일에 있는 임베디드 링크는 절대 클릭하지 마십시오. 맬웨어를 심어두었을 수 있기 때문입니다. 공급업체 또는 타사에서 메시지를 받았을 때는 주의를 기울이고 원본 메시지의 임베디드 URL은 절대 클릭해서는 안 됩니다. 대신 정확한 URL 주소를 입력하는 방식으로 사이트를 직접 방문하여 요청을 검증하고 공급업체의 연락 정책과 정보 요청 절차를 검토해 보십시오.
- 소프트웨어와 운영 체제를 최신 상태로 유지하십시오. Windows OS 제품은 피싱 및 기타 악성 공격의 표적이 되는 경우가 많으므로 항상 보안과 최신 상태를 유지해야 합니다. 특히 Windows 10 이하를 실행하는 경우가 여기에 해당합니다.
피싱 예방을 위한 스팸 줄이기
여러분이 받는 스팸 이메일의 수를 줄이는 데 도움이 되는 Kaspersky 인터넷 보안 전문가의 더 유용한 팁은 다음과 같습니다.
비공개 이메일 주소를 설정하십시오. 이 주소는 개인적인 연락에만 사용해야 합니다. 스팸 전송자들은 분명한 이름, 단어, 번호 등을 조합하여 가능한 이메일 주소 목록을 만들기 때문에 이메일 주소는 이들이 추정하기 어렵게 만드는 것이 좋습니다. 비공개 주소에는 이름이나 성을 사용해서는 안 되며 다음과 같은 방식으로 주소를 보호할 수 있습니다.
- 공개적으로 액세스할 수 있는 온라인 리소스에 비공개 이메일 주소를 게시하지 않습니다.
- 전자 방식으로 비공개 주소를 게시해야 하는 경우 스팸 전송자가 주소를 수집하지 못하도록 주소를 보이지 않게 마스킹 처리하십시오. 예를 들어 ‘Joe.Smith@yahoo.com’과 같은 주소는 스팸 전송자가 찾기 쉽습니다. 대신 ‘Joe-dot-Smith-at-yahoo.com’와 같이 쓰는 것이 좋습니다.
- 비공개 주소를 스팸 전송자가 찾았다면 변경해야 합니다. 이러한 조치는 번거로울 수 있지만 이메일 주소를 변경하면 스팸과 사기범을 피할 수 있습니다.
공용 이메일 주소를 설정하십시오. 공개 포럼에 등록하거나 채팅방에 들어가거나 메일링 리스트 및 기타 인터넷 서비스를 구독해야 할 때 이 주소를 사용합니다. 다음 팁은 공개 이메일 주소를 통해 받는 스팸의 양을 줄이는 데도 도움이 될 것입니다.
- 공개 주소를 임시 주소처럼 취급합니다. 스팸 전송자가 공개 주소를 빠르게 수집할 가능성이 높으며, 특히 이 주소를 인터넷에서 자주 사용할 경우 더욱 그렇습니다.
- 공개 이메일 주소를 자주 바꾸는 데 거리낌을 느끼지 마십시오.
- 여러 가지 공개 주소를 사용하는 것이 좋습니다. 이런 방식을 사용하면 스팸 전송자에게 주소를 판매했을지도 모르는 서비스를 추적할 수 있는 가능성이 높아집니다.
스팸에 절대 응답하지 마십시오. 대부분의 스팸 전송자는 수신을 확인하고 응답을 기록합니다. 응답을 많이 할수록 더 많은 스팸을 받게 될 것입니다.
'구독 취소'를 클릭하기 전에 생각하십시오. 실제 사용 중인 이메일 주소를 수집하기 위해 스팸 전송자가 가짜 구독 취소 메일을 보내기도 합니다. 이러한 메일에서 '구독 취소'를 누를 경우 수신하는 스팸의 양만 늘어날 수 있습니다. 알 수 없는 출처에서 온 이메일에서 '구독 취소' 링크를 클릭하지 마십시오.
브라우저를 계속 업데이트하십시오. 최신 버전의 웹 브라우저를 사용하고 있고, 모든 최신 인터넷 보안 패치가 적용되어 있어야 합니다.
스팸 방지 필터를 사용하십시오. 스팸 필터링을 포함하는 공급업체를 통해서만 이메일 계정을 열어야 합니다. 고급 스팸 방지 기능을 갖춘 안티 바이러스 및 인터넷 보안 솔루션을 선택하십시오.
피싱과 인터넷 보안 소프트웨어의 중요성
피싱 수법의 피해로부터 스스로를 보호하는 가장 간단한 방법 중 하나는 적절한 인터넷 보안 소프트웨어를 컴퓨터에 설치해 사용하는 것입니다. 인터넷 보안 소프트웨어는 간단하게 관리할 수 있는 하나의 제품으로 여러 보안 계층을 제공하기 때문에 어떤 사용자에게나 중요합니다.
가장 믿을 수 있는 보호를 위해서는 보안 계획에 다음이 포함되어야 합니다.
스팸 방지 소프트웨어는 이메일 계정을 피싱과 정크 메일로부터 보호하도록 만들어집니다. 보안 연구자가 사전 정의해 만들어 둔 거부 목록 이외에 스팸 방지 소프트웨어에는 인텔리전스 기능이 있어 시간이 지나면서 어떤 항목이 정크이고 어떤 항목이 아닌지를 학습합니다. 물론 언제나 경계를 늦춰서는 안 되지만, 이러한 소프트웨어가 잠재적인 문제를 걸러 준다는 걸 알면 어느 정도 안심할 수 있습니다. 악의적인 메시지가 컴퓨터로 들어 왔을 때 스스로를 보호할 수 있도록 피싱 방지 보호 조치 및 스팸 방지 소프트웨어를 사용하십시오.
맬웨어 방지로는 다른 유형의 위협을 방지할 수 있습니다. 스팸 방지 소프트웨어와 마찬가지로 맬웨어 방지 소프트웨어는 가장 은밀한 맬웨어까지 찾아낼 수 있도록 보안 연구자가 프로그래밍해 둔 것입니다. 공급업체에서 지속적으로 업데이트하기 때문에 이러한 소프트웨어는 점점 더 지능적으로 발전하고 최신 위협에도 더욱 효과적으로 대처할 수 있게 됩니다. 맬웨어 방지 패키지를 사용하면 바이러스, 트로이 목마, 웜 등으로부터 스스로를 보호할 수 있습니다.
방화벽, 스팸 방지 및 맬웨어 방지를 하나의 패키지에 합치면 실수로 위험한 링크를 클릭하더라도 시스템 침해가 방지되는 추가적인 백업을 마련할 수 있습니다. 상식을 보완할 수 있도록 만들어졌기 때문에 모든 컴퓨터에 설치해야 하는 필수적인 도구입니다.
기술은 빠르게 발전하는 분야이지만 신뢰할 수 있는 보안 공급업체의 보안 패키지를 사용하면 피싱과 기타 맬웨어 위협으로부터 장치를 안전하게 보호할 수 있습니다.
간단해지는 비밀번호 관리
바이러스 보호 소프트웨어를 컴퓨터에 두는 것 외에 비밀번호 관리자를 사용하여 온라인 자격 증명을 관리하는 것이 중요합니다.
오늘날에는 모든 웹사이트에 다른 비밀번호를 사용하는 것이 중요합니다. 데이터 침해가 발생하면 악의적인 공격자는 발견한 자격 증명을 웹 전반에서 사용해 봅니다.
비밀번호 관리자가 제공하는 최고의 장점 중 하나로 보통 자동으로 로그인 양식을 채워주기 때문에 클릭이 최소화된다는 점을 꼽을 수 있습니다. 또한 포터블 버전이 포함된 비밀번호 관리자가 많아서 USB 드라이브에 저장해 두고 어디에든 비밀번호를 가지고 다닐 수도 있습니다.
피싱은 대응하기 까다로운 분야일 수도 있지만 이 문서에서 살펴본 간단한 팁과 조언을 따르고 적절한 피싱 예방 도구를 도입한다면 디지털 사기범의 피해를 입을 위험을 최소화할 수 있을 것입니다.
전체 인터넷 보안 패키지가 필요하다면 Kaspersky Premium을 사용해 보십시오.