피싱이란 무엇일까요?
“비밀번호가 만료되었습니다. 여기를 클릭하셔서 지금 변경하세요.” 이런 메시지를 읽은 대부분의 사람들은 실제로 두 번 이상 생각하지 않고 해당 링크를 클릭합니다. 우리들 중 많은 사람들은 이런 종류의 메일을 평소에도 자주 받기 때문에 별 다른 의심 없이 거의 반자동으로 클릭을 하게 되는데요. 이처럼 피싱 공격은 속기도 쉽고 또 그만큼 위험합니다.
목차
목차
피싱이란 무엇인가요?
피싱(Phishing)은 컴퓨팅에서 전자우편 또는 메신저를 사용해서 피해자에게 신뢰할 수 있는 사람 또는 기업이 보낸 메시지를 가장하여, 비밀번호 및 신용카드 정보와 같은 개인 정보를 부정하게 얻으려는 소셜 엔지니어링의 한 종류입니다. 또한 가짜 메시지, 웹사이트를 이용하여 개인 및 기업으로부터 정보와 자금을 갈취하는 사기 기법입니다. 얼티메이트 피싱은 너무도 교묘한 나머지 피해자들의 순간적인 판단을 흐리게 만들며 인터넷이 생기기 시작한 초기부터 발생하여 현재까지도 여전히 가장 광범위한 형태의 사이버 범죄로 존재하고 있습니다. 비슷하게는 스미싱, 피싱 파밍, 메모리해킹 등이 있으며 지난해 개인 정보 침해 범죄의 32%가 피싱에 관련되어 있다고 합니다.
해커는 보통 자금을 갈취하기 위해 피싱 전술을 사용합니다. 피싱은 피해자를 한 번 속이기만 하면 계좌이체까지 순식간에 이루어지는만큼 과정이 간단할 수 있습니다. 그러나 다른 부류의 해커 및 사이버 범죄자들은 악성 프로그램을 이용하여 개인이나 기업에 대한 기밀 정보를 얻고 온라인에서 판매할 수도 있습니다. 피싱 메일은 피싱의 수법들 중에서 해커들이 가장 많이 이용하는 형태입니다. 어떤 메일은 너무 교묘하게 만들어졌기 때문에 일반인들이 가짜를 발견하기 어려운 경우도 있습니다.
피싱 공격을 탐지하는 방법
- 이러한 피싱 사기는 당신에게 무언가를 빨리 하도록 재촉하고 있습니다. 대부분의 피싱 공격은 사람들이 좋은 무언가를 놓치기 싫어하고 두려워하는 특성을 자극하여 그들로 하여금 의심스러운 결정을 내리게 합니다. 해커는 단기간 동안만 이용이 가능하다는 달콤한 거짓말로 한 브랜드의 열정적인 팬이 메일이나 SMS에 있는 링크를 클릭할 수 있도록 쉽게 유도할 수 있습니다.
- 이러한 피싱 사기는 당신에게 겁을 주려고 합니다. 피해자의 두려움을 이용하는 사기 메시지는 보통 다음과 같은 맥락의 메시지를 담고 있습니다. 누군가가 당신의 계정에 로그인하려고 시도했거나, 당신의 암호가 변경되었거나, 의심스러운 활동으로 인해 당신의 계정이 곧 삭제될 것이라는 내용을 담은 메일에는 피해자가 조급함을 느끼고 최대한 빨리 클릭할 수 있도록 링크가 함께 제공됩니다. 많은 피해자들은 이러한 문제들이 흔히 있는 문제들이라고 생각하기 때문에 재빨리 계정을 보호하기 위해 두 번 생각하지 않고 링크를 클릭합니다.
- 이러한 피싱 사기에는 첨부 파일이 존재합니다. 기업은 소비자에게 뉴스레터, 경고 메일, 메시지를 발송할 시 첨부 파일도 함께 보내지 않습니다. 첨부 파일에는 악성 프로그램이 숨어있을 수도 있기 때문에 절대 다운로드하고 열람하지 마십시오. 악성 프로그램이 탐지될 위험이 있습니다.
- 정말로 알고 있던 발신자한테서 온 것 같지 않은 느낌이 듭니다. 기존에 당신에게 연락한 적이 없었던 특정 서비스 제공업체가 변경된 암호에 대한 경고와 함께 사실이 아닌 것처럼 보이는 특별 제안을 보낸 경우에는 해당 업체가 당신이 알고 있는 서비스업체가 아닐 가능성이 높습니다.
- 별다른 이유가 없이 보는데 이상한 기분이 듭니다. 문법적인 오류가 다수 보이며 텍스트 전체가 동일하지 않은 다른 글꼴이 적용되었거나, 로고가 흐릿하거나 없는 경우를 비롯하여 임의의 위치에 대문자로만 적힌 부분이 있나요? 메시지가 전반적으로 옳지 않은 분위기를 풍기는 것 같나요? 이 모든 사항들이 잠재적인 피싱 사기를 의미할 수도 있습니다.
사이버 범죄를 방지하기 위한 첫걸음을 시작하세요.
다양한 피싱 사기의 종류
스피어 피싱
특정 개인을 대상으로 맞춤화된 피싱 공격을 스피어 피싱(Spear phishing)이라고 합니다. 해커는 피싱 메일을 보내기 전에 우선 피해자의 개인 정보를 조사합니다. 해당 정보에는 피해자들의 공개 계정에서 볼 수 있는 정보, 유출된 개인 정보를 비롯한 해커가 찾을 수 있는 개인 및 기업에 대한 모든 정보가 포함됩니다. 해커는 모든 정보를 가지고 연구하여 피해자의 동료, 오랜 친구, 또는 피해자가 자주 사용하는 인기 서비스의 대표자를 사칭하고 신뢰할 수 있는 사람인 척 하여 접근합니다.
웨일링
웨일링(Whaling)은 해커가 최고 경영자, 이사, 대주주 등 회사의 고위직을 사칭하는 스피어피싱의 또 다른 형태입니다. 이러한 고위급 관계자들은 사칭하기가 더 까다롭기 때문에 사이버 범죄자는 피해자들이 실제로 믿을 수 있도록 훨씬 더 많은 공을 들입니다. 하지만 해커들이 사칭하는 고위급 관계자들은 기업에 더 많은 영향력을 가지고 있는 자들이기 때문에, 해킹으로 인한 해커의 이익과 피해 또한 보통 다른 피싱 유형보다 훨씬 더 큰 편입니다. 대부분의 직원들은 많은 질문을 하지 않고 자금이나 기밀 정보를 고위급 관계자를 사칭하는 해커에게 전송합니다.
복제 피싱
해커는 복제 피싱(Clone phishing)을 성공적으로 실행하기 위해서 피해자의 받은 메일함을 면밀히 모니터링합니다. 피해자가 최근에 받은 메일(특히 링크 및 첨부 파일이 포함된 메일을 중심으로)을 가져와 복제한 해커는 대부분의 내용은 동일하게 유지하지만 첨부 파일에 맬웨어를 새로 포함시키거나 가짜 피싱 사이트로 리디렉션되는 링크로 수정합니다. 해커가 발신한 새 메일은 새로운 정보가 포함되어 있습니다. 예를 들어 원본 메일에 청구서가 있었다고 하면 해커는 청구서의 세부 정보를 변경하여 해커의 계좌로 송금할 수 있도록 만들 수 있습니다. 그런 다음에는 발신자의 메일 주소를 스푸핑하거나 해당 메일 주소와 매우 유사한 새 주소를 만듭니다. 매일 이와 유사한 메일들을 수많이 받는 피해자는 첨부 파일을 다운로드하고 결제하는 것에 대해 의심스럽게 여기지 않을 것입니다.
스미싱과 비싱
스미싱(Smishing)은 SMS 기반 피싱이며,비싱(보이스피싱)은 전화 통화와 관련이 있습니다. 스미싱은 주로 피해자들이 가짜 웹사이트로 연결되는 링크를 클릭하는 것으로부터 피해가 발생합니다. 최근 페덱스/아마존 피싱 사기 사건에서 해커들은 피해자들의 실명을 언급하며 그들의 페덱스 패키지에 대한 선호하는 배송 방법을 설정해야 한다고 알렸습니다. 실제로 많은 사람들이 특히 크리스마스 즈음에 이와 같은 문자를 자주 받았기 때문에, 많은 피해자들이 이를 이상하게 여기지 않았습니다. 결국 링크에 접속한 피해자들은 가짜 아마존 웹사이트로 리디렉션되었고, 무료 보상을 받으려면 신용카드 세부 정보를 입력하라는 요청을 받았습니다. 그렇게 피해자들에게 매달 98.95달러가 청구되었습니다.
하지만 비싱(Vishing)은 약간의 차이점이 있습니다. 비싱은 소셜 엔지니어링에 크게 의존하고 있으며, 피해자들에게 극도의 스트레스를 주는 상황을 만들어내 그들이 별다른 의심 없이 행동할 수 있도록 합니다. 누군가 신용카드를 도용하려 했다거나, 벌금을 내는 기한이 밀렸다는 등의 이야기로 피해자에게 겁을 주는 경우가 많으며, 불행하게도 이러한 방법은 종종 성공한다고 합니다. 실제로 많은 사람들은 감정이 먼저 앞서 판단력이 흐려질 때, 온라인 뱅킹 정보를 비롯한 다른 개인 정보를 깊게 생각하지 않고 넘겨준다고 합니다.
피싱의 피해로부터 자신을 보호하는 방법
- 스팸 메일함을 사용합니다. 피싱 메일을 방지하는 가장 좋은 방법은 해당 메일이 받은 메일함에 들어가지 않도록 하는 것입니다. 이렇게 하면 악성 링크 및 첨부 파일이 있는 메일을 실수로 여는 것을 미리 방지할 수 있습니다.
- VPN의 브라우저 필터를 활용합니다. 스팸 메일함이 모든 것을 막아주는 것은 아니며, 피싱 사기는 날이 갈수록 더 복잡해지고 있으며 실제로 경험이 많은 인터넷 사용자들도 사기 링크를 클릭하는 경우가 있습니다. 이를 방지하기 위해 VPN의 바이러스 및 위협 방지Pro와 같은 기능이 특별히 설계되었습니다. 웹사이트에 액세스를 시도하는 순간 바이러스 및 위협 방지Pro는 잘 알려진 악성 사이트 목록에서 해당 웹사이트를 구분합니다. 그리고 해당 프로그램이 존재하면 경고가 표시되며 사용자를 연결하지 않습니다.
- 피싱에 대해서 미리 알아볼 수 있도록 배우는 것이 좋습니다. 조금만 관심을 가진다면 피싱 메일을 쉽게 구분하는 방법을 배울 수 있습니다. 관리자가 항상 “감사합니다!”로 메일을 마치다가 갑자기 “안녕히 계세요”로 바뀌는 등, 사소한 부분이라도 평소와 차이가 있는 경에는 다시 한번 확인하는 것이 가장 좋습니다. 회사 기밀과 거액의 자금이 관련된 한 항상 조심하는 것이 좋습니다.
믿을 수 있는 서비스 NordVPN으로 보안과 프라이버시를 확보하세요. 30일 환불 보장 정책이 포함되어 있습니다.