피싱이란?

피싱은 악성 이메일을 받은 사람이 이메일을 열고 행동을 취하도록 속이려는 행위입니다. 이메일을 보내는 사람이 정부 부서, 공급업체, 비즈니스 고객 등, 믿을 만한 곳에서 이메일을 보낸 것처럼 꾸며 피해자를 속입니다.

피싱 이메일에는 PDF나 Word 문서와 같은 첨부 파일이 들어있지만, 열게 되면 사용자의 컴퓨터에 멀웨어가 설치되어 피해를 줍니다. 또는, 피싱 이메일 본문에 악성 URL이 포함되어 있기도 합니다. 사용자가 해당 링크를 클릭하면 정상적으로 보이는 사이트로 연결되지만 실제로는 사용자 이름이나 비밀번호 같은 기밀 정보를 수집하거나 디바이스에 멀웨어가 설치됩니다.

그들의 공격 전략

사이버 범죄자는 목적을 달성하기 위해 감염된 이메일 계정을 사용하거나 전송 이메일 주소를 스푸핑하여 실제 악성 발신자를 의도적으로 숨깁니다. 여기에는 보낸 사람의 주소를 johndoe@example.com이 아니라 info@anybank.com으로 보이게 이메일 헤더를 변경하는 비교적 단순한 작업이 수반됩니다.

사이버 범죄자는 감염된 이메일 계정을 사용하거나 전송 이메일 주소를 스푸핑합니다.

안타깝게도 이메일 수신을 담당하는 이메일 서버는 기본적으로 example.com이 anybank.com을 대신하여 이메일을 보낼 권한을 부여받았는지는 확인하지 않습니다. 이메일이 가지는 인증 취약점을 해소하기 위한 기술적인 솔루션이 많고 실제 사용되기도 하지만 활용 속도가 느립니다.1 발신 이메일 서버와 수신 이메일 서버가 모두 해당 인증이 제대로 작동하도록 올바르게 구성되어 있어야 한다는 것이 문제점 중 하나입니다.

피싱 이메일 공격은 크게 보자면 이메일 스팸 공격 중 하나이며, 감염된 컴퓨터에 설치된 봇넷에서 대규모로 전송합니다. 2016년 이메일 스팸의 양은 400% 증가했습니다. 이제 전 세계에서 발송된 전체 이메일의 절반 가까이가 스팸이라고 생각하면 됩니다.2 하지만 2017년에는 Necurs 봇넷이 제거되어 스팸이 50% 감소했습니다.3 이러한 감소세에도 불구하고 이메일은 여전히 멀웨어를 배포하는 가장 흔한 방법입니다.4

피싱 유형

사기 피싱(Deceptive Phishing): 사이버 범죄자가 정상적인 기업 또는 도메인으로 위장하여 개인 식별 정보(PII)나 로그인 인증 정보를 훔치려는 가장 일반적인 피싱 사기 유형입니다. 이러한 피싱 방법에서는 거의 사용자를 특정하거나 개인에 맞추지 않고 무차별적으로 이메일을 전파합니다. 엄청난 양의 이메일을 보내 필요한 만큼의 수신자가 이메일을 여는 것을 목적으로 합니다.

수신자 중 은행 고객이 있을 것이라 예상하고 은행임을 위장한 다량의 피싱 이메일을 보내는 것을 예로 들 수 있습니다. 이메일 제목은 일반적으로 긴박감을 조성하는 문구로 작성되어 있습니다. ‘귀하의 은행 계좌에 문제가 발생했습니다. 즉시 비밀번호를 업데이트하십시오’ 또는 ‘연체금 청구서 첨부 - 법적 조치를 피하려면 지금 결제하십시오’ 같은 문구입니다. 앞서 설명한 바와 같이 링크를 클릭하여 세부 정보를 입력해 제출하거나 첨부 파일을 열면 피해를 입게 됩니다.

‘귀하의 은행 계좌에 문제가 발생했습니다. 즉시 비밀번호를 업데이트하십시오’

스피어 피싱(Spear Phishing): 일반적인 피싱 이메일과 달리, 스피어 피싱 이메일은 많은 부분이 개인 맞춤화되어 있습니다. 수신자가 악성 URL이나 첨부 파일을 열도록 유인한다는 최종 목적은 동일하지만 표적의 이름, 회사, 직책을 포함하거나 수신자의 동료 및 인맥을 언급하여 맞춤형 공격 이메일을 만듭니다. 이러한 개인 세부 정보가 있으면 악성 컨텐츠에 속을 확률이 훨씬 더 높아집니다. 비즈니스 네트워킹 사이트 및 소셜 미디어의 확산으로 인해 사이버 범죄자가 그럴듯한 이메일로 위장하는 데 필요한 개인 정보를 수집하기가 비교적 간단해졌습니다.

웨일 피싱(Whale Phishing)/CEO 위장 사기(CEO Fraud)/기업 이메일 침해(BEC: Business Email Compromise): 이러한 피싱 유형의 목적은 경영진의 로그인 인증 정보를 수집하는 것으로, 고래(임원)를 겨냥하여 피싱을 한다는 의미입니다. 세부 정보를 도난당하면 사이버 범죄자는 BEC(기업 이메일 침해)를 통해 해당 임원으로 위장하여 자금 이체를 수행하거나 중요 사안에 영향을 끼칩니다. 예를 들어, CEO로 위장하여 재무팀에게 중국에 출장 중이며 현지 공급업체에 긴급히 대금을 결제해야 하므로 자금 이체를 진행해 달라고 요청하는 긴급 이메일을 보낼 수 있습니다. 2014~2016년간의 CEO 위장 사기 행위로 12,000개 기업이 20억 달러 규모의 피해를 입었습니다.5

2014~2016년간의 CEO 위장 사기 행위로 12,000개 기업이 20억 달러 규모의 피해를 입었습니다.

비즈니스에 영향을 미치는 피싱의 리스크 감소

가장 취약한 부분을 교육합니다. 피싱은 사용자가 악성 프로그램을 열거나 클릭해야 작동합니다. 그렇기 때문에 다양한 피싱 유형을 인지하고, 방지하고, 보고하는 방법에 대해 직원들을 반드시 교육해야 합니다. 회사 직원들에게 가짜 피싱 이메일을 보내 연습을 시키면 ‘긴급: 송장 첨부 - 열어서 즉시 결제 요망’이라는 제목의 피싱 이메일과 진짜 공급업체와의 커뮤니케이션 이메일을 구분하는 데 효과가 있습니다. 기업은 조직 전체에 걸쳐 지속적인 교육 및 인식 프로그램을 제공해야 합니다.

비즈니스 리더도 교육의 대상입니다. 임원들도 직원들과 마찬가지로 실수를 할 수 있지만, 비즈니스 리더의 보안 실수는 훨씬 큰 결과를 초래합니다. 사이버 범죄자들은 갈수록 교묘해지고 웨일 피싱, CEO 위장 사기, 기업 이메일 침해(BEC)는 지속적으로 증가하고 있기 때문에, 비즈니스 리더도 교육 및 인식 프로그램에 참여해야 합니다.

비즈니스 리더도 교육의 대상입니다.

재무 프로세스를 검토합니다. 요즘과 같이 까다로운 하이퍼커넥티드 세상에서 비즈니스 운영 비용은 지속적으로 증가하고 있습니다. 결과적으로 다양한 규제가 적용되거나 수락된 상태에서 여러 다른 나라에 대규모 자금을 긴급하게 이체해야 하는 상황이 자주 발생합니다. 자금 이체의 안정성을 검증하는 프로세스 구현에 대해 알아보십시오. 아무도 경영진을 화나게 하거나 방해하거나 경연진에게 의문을 품고 싶진 않겠지만 큰 금액의 회사 공금이 빠져나가는 일을 겪게 되는 것보다 극도로 신중을 기하는 것이 훨씬 더 낫습니다.

멀티레이어 보안 방어 체계를 배치합니다. 악의적 공격자들이 보안을 우회하기 위해 노력하며 끊임없이 전술을 수정한다는 원칙 하에 심층적 보안 전략을 수립하는 것이 중요합니다. 기업이 수신하는 모든 이메일을 스캔하는 이메일 필터를 구축하는 것부터 시작하십시오. 이를 통해 상당수의 피싱 공격을 차단할 수 있습니다. 그런 다음, 피싱 방지 기능이 포함된 엔드포인트 바이러스 백신 제품을 구축합니다. 마지막으로, 사용자가 악성 링크를 클릭할 경우에 대비하여 발신 웹 요청을 감시하는 솔루션을 배치합니다. DNS 또는 프록시 기반 솔루션을 활용하시면 됩니다.

심층적 보안 전략을 수립하는 것이 중요합니다.

멀티팩터 인증을 활성화합니다. 위와 같은 예방 조치를 모두 취해도 피싱 공격이 성공하여 직원의 사용자 이름 및 비밀번호를 도난당할 가능성은 여전히 남아있습니다. 이러한 리스크를 방어하기 위해, 인증 정보를 도난당해도 악의적 공격자가 애플리케이션, 서비스 및 민감한 정보에 액세스할 수 없도록 멀티팩터 인증을 배치하십시오.


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017