기술의 발전과 광범위한 인터넷 사용은 정보에 대한 접근성 향상과 상호 연결성 강화 등 많은 긍정적인 효과를 가져왔지만, 사용자를 다양한 사이버 보안 위험에 노출시키기도 합니다. 그중 하나는 신원이나 돈을 훔치거나, 불법적으로 사람들의 계정과 프로필을 장악하는 것을 궁극적인 목표로 삼는 사이버 공격입니다. 이러한 사이버 범죄는 일명 피싱이라고 불리는데, 2022년 1월~10월 동안 전년 대비 61% 증가한 2억 5,500만 건 이상의 공격이 발생했을 정도로 매우 만연해 있습니다.
피싱 공격의 빈도가 늘어나고, 이로 인한 개인과 기업의 피해가 증가함에 따라 피싱 공격이 무엇이고, 어떻게 이루어지며, 피싱 공격을 받은 경우 어떠한 조치를 취해야 하고, 그 예방법은 무엇인지를 알고 있는 것이 중요합니다.
피싱이란 무엇인가요?
피싱 피해자가 되지 않으려면 먼저 피싱 공격이 무엇인지 알아야 합니다. 간단히 말하자면 피싱은 이메일이나 문자 메시지 또는 전화 통화를 통해 이루어지는 일종의 사기로, 악의적인 행위자가 범행 대상을 조종하여 로그인 정보나 자격 증명 또는 그 밖의 개인 데이터를 알려주도록 유도한 다음 이를 불법적인 수단으로 사용하는 것입니다.
미국 국립표준기술연구소(National Institute of Standards and Technology)에서는 피싱을 '범죄자가 상대를 속여 정보를 공유하도록 하거나 계정, 컴퓨터 또는 네트워크에 액세스할 수 있는 조치를 취하게 유도하려는 시도'로 정의합니다.
사기 행위를 통해 정보가 넘어가면, 사이버 범죄자는 보통 피싱 피해자의 정보를 사용하여 금전적 이득을 얻거나 다른 범죄를 일으킵니다. 이러한 범죄는 일반적으로 도난당한 로그인 자격 증명을 사용하여 은행 계좌나 신용카드, 이메일의 받은 편지함, 홈 네트워크, 소셜 미디어 프로필뿐만 아니라 국세청(IRS) 또는 사회보장번호 계정에 액세스하는 방식으로 이루어집니다. 만약 탈취한 자격 증명에 여러 계정에 걸쳐 사용되는 비밀번호가 포함되어 있다면, 피싱 범죄자는 보다 넓은 범위의 피해자 계정에 액세스하여 더 큰 피해를 줄 수 있습니다.
피싱 범죄자들은 믿을 수 있는 회사나 사람을 사칭하여 사기 행위가 합법적이라는 인상을 주려고 합니다. 예를 들면 피싱 피해자가 계정을 가지고 있는 유명 기업에서 이메일을 보낼 수 있는데, 실제로 Yahoo, DHL, Microsoft, Google, Facebook, Adobe, Netflix 등을 사칭하는 경우가 가장 많습니다. 아니면 친구나 지인을 사칭하는 피싱 메시지를 보낼 수도 있습니다. 이러한 피싱 메시지에는 수신자를 가짜 웹사이트로 연결시키는 링크가 포함된 경우가 많으며, 해당 사이트에서 피해자는 로그인이나 신용카드 정보 또는 생년월일, 주민등록번호와 같은 개인 정보와 같은 권한 있는 기밀 정보를 제공하도록 요청받게 됩니다.
피싱 공격의 유형
사이버 범죄자가 개인 정보를 탈취하여 돈을 빼내거나 신원을 도용하는 방법에는 여러 가지가 있는데, 이 중 대부분은 해커가 합법적인 회사의 공식 대리인을 사칭하여 피해자를 속여 금전적 이득이나 신원 도용 사기에 사용될 수 있는 개인 정보를 제공하도록 하는 것입니다. 이러한 사이버 공격이 어떤 형태로 자행되는지 이해하면 피싱 공격을 예방하는 데 도움이 될 수 있습니다. 피싱 해커가 가장 흔하게 사용하는 방법은 다음과 같습니다.
- 이메일: 많은 사람이 악성 이메일을 통해 피싱 피해자가 됩니다. 이러한 이메일은 보통 합법적이고. 사용자가 계정을 보유하고 있는 웹사이트에서 보낸 것처럼 보이지만 사실 해커가 개인 데이터를 수집하기 위해 보낸 것으로, 사용자에게 로그인 자격 증명이나 그 밖의 민감한 데이터를 입력하도록 요청하는 링크가 포함된 경우가 많습니다. 이를 통해 해커는 비밀번호나 신용카드 정보 등의 정보를 훔쳐서 자신의 목적을 위해 사용할 수 있게 됩니다.
- 문자 메시지: 이메일 피싱이나 문자 피싱 또는 스미싱과 마찬가지로 합법적인 소스처럼 보이는 링크를 통해 사용자로 하여금 계정에 로그인하거나 개인 정보를 입력하도록 요청합니다. 단, 이 경우에는 링크가 이메일이 아닌 SMS 또는 기타 문자 메시지를 통해 전송됩니다.
- 전화: 전화 피싱의 경우 사기범이 피해자에게 전화를 걸어 전화 소유자가 계정을 가지고 있을 수 있는 합법적인 회사의 담당자라고 사칭하게 됩니다. 흔히 '비싱(Vishing)'으로 불리는 이러한 유형의 피싱 범죄에서 해커는 피해자의 계정 세부 정보를 확인하고, 예상되는 문제를 해결하기 위해 개인 정보를 요청합니다. 그리고 피해자가 이러한 데이터를 제공하면 사기범은 이를 자신들의 목적을 위해 사용합니다.
- 소셜 미디어: 일부 해커는 가짜 소셜 미디어 프로필을 만들어 사기 행위를 통해 다른 사용자의 개인 정보를 수집하려고 합니다. 예를 들어, 피싱 피해자에게 콘테스트에 당첨되었으니 전화번호, 이메일 주소, 주민등록번호를 제공해야 한다고 하거나, 계정에 보안 관련 문제가 있어 사용자가 로그인 정보를 확인하지 않으면 계정이 차단된다고 할 수도 있습니다.
은행, 전자상거래 사이트, 소셜 미디어 플랫폼과 같은 합법적인 기업은 절대로 위와 같은 방법을 통해 계정 소유자에게 민감한 정보를 제공하도록 요청하지 않는다는 사실을 유념해야 합니다. 또한 확실치 않은 경우, 사기일 가능성이 있는 요청은 무시하고 공식 채널을 통해 합법적인 회사에 연락하는 것이 가장 바람직합니다.
피싱 공격을 인지하는 방법
사기범이 이메일이나 문자 메시지, 전화 통화 등을 통해 민감한 개인 정보를 훔칠 수 있는 방법은 무수히 많으며, 이렇게 탈취한 정보는 피해자에게 심각한 피해를 입힐 수 있는 방식으로 사용될 수 있습니다. 따라서 피싱 공격 예방의 첫 번째 단계는 피싱 범죄자가 사용하는 가장 일반적인 공격 수법을 알아두는 것입니다. 다음과 같은 내용의 사기 이메일이나 문자, 사기 전화를 예로 들 수 있습니다.
- 계정에 의심스러운 로그인 시도가 발생했습니다.
- 계정의 청구 또는 결제 정보에 문제가 있습니다.
- 계정의 개인 정보 또는 금융 정보를 확인해야 합니다.
- 결제는 반드시 링크를 클릭해서 진행해야 합니다.
- 계정 소유자가 링크를 통해 정보를 입력하면 환급 또는 입금을 받을 수 있습니다.
또한 메시지나 전화에서 다음과 같은 그 밖의 피싱 징후가 나타날 수 있습니다.
- 잠재적 피해자가 계정을 가지고 있을 수 있는 합법적인 회사(예: Amazon 또는 Apple)에서 연락하는 것처럼 사칭하는 경우.
- 이메일에 회사 로고를 사용하는 경우.
- 이메일 주소에 회사 이름이 있지만 공식적인 형식이 아닌 경우.
- 합법성을 확인할 수 있는 수단을 제공하지 않거나 그럴 의사가 없는 경우
피싱 공격을 받은 이후에 취해야 할 조치
피싱 피해를 당할 경우 자신의 개인 정보가 유출된 이후에 어떠한 조치를 취해야 할지 궁금할 것입니다. 피해자는 공격으로 인한 피해를 줄이고, 다른 사람들이 동일한 피싱 사기 피해자가 되는 것을 막고, 향후 공격으로부터 자신을 보호할 수 있는 다양한 조치를 취할 수 있습니다. 다음은 피싱 사기를 당했을 때 고려해야 할 몇 가지 사항입니다.
무슨 일이 일어났는지 파악하기
피싱 공격을 받은 후 피해자는 공격이 어떻게 발생했는지 파악해야 합니다. 이를 위해서는 피싱 이메일이나 문자를 면밀히 조사하여 공격의 목적을 파악하고, 방화벽 로그에서 의심스러운 URL이나 IP 주소를 확인하고, 정확하게 어떤 정보와 세부 사항이 유출되었는지 정확히 파악하는 등의 조사 작업이 필요할 수 있습니다. 또한 도난당한 정보와 관련이 있을 수 있는 계정을 확인하여 의심스러운 활동이 있는지 확인하는 것도 좋은 방법입니다.
공격 신고하기
피싱 공격을 당한 후 어떻게 해야 할지 고민스러운 경우 관련 정부 기관에 신고하는 것도 한 가지 방법입니다. 신고 과정이 항상 쉽고 간단한 것은 아니지만, 공격에 대해 신고하는 것은 여러 면에서 중요합니다. 예를 들어, 합법적인 기업이 공격에 연루된 경우 사기범이 해당 기업의 공식 대리인으로 가장하고 있다는 사실을 알 수 있습니다. 그리고 가장 중요한 것은 피해자가 침해당한 계정에 대한 통제권을 되찾아 사기범이 신원 도용을 시도하는 것을 방지하고, 의심스러운 금융 거래를 차단하는 데 도움이 될 수 있다는 점입니다. 미국에서는 피싱 범죄를 안티피싱 워킹 그룹(Anti-Phishing Working Group)과 연방거래위원회(Federal Trade Commission)에 신고할 수 있으며, 유럽의 담당 기관은 유럽 사기 방지국(European Anti-Fraud Office)입니다. 이 모든 조치는 향후 피싱 공격 예방을 위한 노력에 도움이 될 수 있습니다.
관련 회사에 연락하기
피싱 공격 범죄자는 특정 회사의 대리인을 사칭하거나 해당 회사에서 보낸 것처럼 보이는 메시지를 보내기 때문에 합법적인 회사가 자신들도 모르는 사이에 피싱 공격에 연루되는 경우가 많습니다. 이 경우 피싱 피해자는 공격받은 후 해당 회사에 연락하여 공격 사실에 대해 알려야 합니다. 그러면 회사는 사기범이 회사 대리인을 사칭하여 연락하고 있다는 사실을 고객에게 알려 향후 피싱 공격을 예방하기 위한 조치를 취할 수 있습니다.
기기 인터넷 연결 해제하기
악성코드를 이용하여 피싱 공격이 이루어지는 경우도 있으므로 피싱 피해를 당할 경우 공격을 당한 기기의 인터넷 연결을 끊어야 합니다. 이를 위해 기기의 Wi-Fi 연결을 비활성화하거나 Wi-Fi 네트워크 연결을 완전히 해제하고 재설정하는 등의 방법을 취할 수 있습니다. 인터넷 연결을 끊으면 악성코드가 네트워크를 통해 더 이상 전송되지 않도록 막을 수 있기 때문에 매우 중요한 조치입니다.
유출 가능성이 있는 비밀번호 변경하기
피싱 사기범은 피해자를 조종하여 민감한 정보를 제공하도록 유도하는 경우가 많은데, 보통 링크를 통해 사용자를 가짜 웹사이트로 리디렉션하고 비밀번호와 같은 로그인 자격 증명을 입력하도록 유도합니다. 이러한 피싱 링크를 클릭한 경우, 공격으로 인해 유출됐을 가능성이 있는 비밀번호를 모두 변경하는 것이 가장 좋습니다. 이때 피싱 링크가 아닌 실제 웹사이트를 통해 변경해야 하며, 동일한 비밀번호를 다른 계정에서도 사용하는 해당 계정의 비밀번호로 반드시 변경해야 합니다.
악성코드 검사 실행하기
바이러스 백신 소프트웨어는 모든 기기의 보안과 개인 정보 보호에 있어 중요하지만, 피싱 공격을 방지하는 데도 중요한 역할을 합니다. 소프트웨어가 설치되면 기기를 자동으로 검사하여 잠재적인 악성코드를 탐지하게 됩니다. 다만, 자동 업데이트를 설정하여 소프트웨어를 항상 최신 상태로 유지하고, 정기적인 수동 검사를 실행하여 네트워크의 모든 기기, 파일, 애플리케이션, 서버에 악성코드가 있는지 확인하는 것은 사용자의 책임입니다.
신원 도용에 주의하기
일부 피싱 공격의 목적은 악의적인 목적으로 신원을 도용하기 위해 피해자의 개인 정보를 훔치는 것입니다. 예를 들어, 공격자는 누군가의 주민등록번호, 전화번호, 생년월일 정보를 훔쳐서 심스와핑(SIM Swapping) 공격을 저지르거나, 새 신용 카드를 발급받거나, 계속해서 다른 종류의 사기를 벌일 수 있습니다. 따라서 피싱 피해자는 예상치 못한 금융 거래나 의료비 청구서, 신청하지 않은 새로운 신용카드, 온라인 계정에 대한 의심스러운 로그인 시도 등과 같은 신원 도용의 징후가 있는지 주의 깊게 살펴봐야 합니다. 또한 금전적인 피해를 입은 경우 미국의 주요 신용 보고 기관인 TransUnion, Equifax, Experian에 신고하여 명의 도용 사기로 인해 피해자의 신용 점수에 영향이 없도록 해야 합니다.
피싱 공격 피해 예방을 위한 8가지 팁
피싱 공격이 아무리 성행하더라도 피싱 피해자가 되지 않도록 취할 수 있는 조치는 많습니다. 전자 기기의 일반적인 보안 조치와 더불어 다음의 8가지 팁을 실천하면 피싱 공격을 방지하는 데 도움이 될 수 있습니다.
- 피싱 공격의 징후 알아두기: 피싱 사기가 어떤 방식으로 이루어지는지 숙지하고 있으면 사용자가 경계를 늦추지 않고 피싱 피해자가 되는 것을 방지할 수 있습니다.
- 의심스러운 이메일과 문자는 삭제하거나 무시하기: 피싱의 징후를 알고 있는 사람은 악의적일 가능성이 있는 메시지를 알아보고, 이를 적극적으로 삭제하여 사기 범죄의 희생양이 되지 않을 수 있습니다.
- 발신자 확인하기: 의심스러운 메시지의 경우 발신자를 직접 확인해 봅니다. 예를 들어, 발신 이메일 도메인이 발신자로 추정되는 회사의 도메인과 일치하는지 확인하거나, 메시지를 보내는 전화번호가 해당 회사의 공식적인 번호인지 확인하는 등의 방법이 있습니다.
- 의심스러운 이메일의 링크를 클릭하거나 파일 다운로드하지 않기: 수신자가 가짜 웹사이트에 민감한 정보를 입력하거나 자신도 모르게 악성코드를 설치하지 않도록 해주는 중요한 피싱 공격 예방 조치입니다.
- 피싱 공격 신고하기: 다른 사람들이 잠재적으로 피싱 피해자가 되지 않도록 보호할 수 있으며, 사기에 연루되었을 수 있는 모든 회사가 보안 조치를 강화하고 고객에게 경고를 보낼 수 있습니다.
- 바이러스 백신 및 피싱 방지 소프트웨어 설치 및 사용하기: 의심스러운 메시지를 필터링하고, 잠재적인 악성 소프트웨어를 제거하고, 사용자에게 경고함으로써 사용자의 보안을 유지하고, 개인 정보를 보호하는 데 도움이 될 수 있습니다. 아울러 프로그램의 정기적인 업데이트와 수동 검사도 실시해야 합니다.
- 다중 인증 사용하기: 다중 인증은 계정에 보안 계층을 추가하는 역할을 하므로 피싱 공격이 성공하더라도 피싱 공격자가 탈취한 정보를 사용하여 은행 계좌나 소셜 미디어 프로필 또는 이메일 계정을 침해할 가능성을 줄일 수 있습니다.
- 모든 데이터에 대해 정기적인 백업 실시하기: 스마트폰이나 노트북 등의 기기에 있는 모든 데이터는 외장 하드 드라이브나 클라우드 등에 정기적으로 백업하여 항상 안전하게 보존될 수 있도록 합니다.
결론
안타깝게도 사이버 범죄가 점점 더 정교해짐에 따라 피싱의 피해자가 되는 일이 흔해졌습니다. 사이버 범죄가 무엇이고, 피싱 공격 예방을 위해 어떤 조치를 취해야 하는지 이해하는 것도 중요하지만, 피싱 공격을 받은 후에 취해야 할 조치가 무엇인지 아는 것도 그에 못지않게 중요합니다. 기와 계정을 보호하는 것에서부터 피싱 공격을 신고하고, 애초에 그러한 공격이 어떻게 발생했는지 파악하기까지의 핵심적인 단계를 따르면 후속 피해를 줄이는 데 도움이 될 수 있습니다.
Kaspersky Endpoint Security는 2021년 기업용 엔드포인트 보안 제품 부문에서 최고 성능, 최우수 보호 및 최우수 사용성으로 AV-TEST 상을 3개 수상했습니다. 모든 테스트에서 Kaspersky Endpoint Security는 기업을 위한 뛰어난 성능, 보호 및 사용성을 보여주었습니다.
연관 제품 및 서비스:
Kaspersky Small Office Security