많은 경우 스피어 피싱과 피싱 접근 방식은 효과 측면에서 사이버 범죄자에게 큰 차이가 없습니다. 스피어 피싱 공격을 실행하는 데 더 많은 시간이 걸릴 수 있지만, 일반적으로 최종적인 수익도 더 많이 얻게 됩니다. 방어 기술이 발전하면서 사이버 범죄자들은 네트워크, 시스템 및 민감한 정보에 대한 무단 액세스 권한을 확보하기 위해 지속적으로 전술을 진화시키고 있습니다. 또한 사이버 공격에 대한 광범위한 뉴스 보도와 점점 더 강화되는 직원 대상 사이버 보안 교육에도 불구하고, 스피어 피싱과 피싱은 여전히 가장 기술에 민감하고 현명한 사용자들조차 속여서 참여하게 만드는 경우가 계속해서 발생하고 있습니다.
스피어 피싱이란?
스피어 피싱은 피싱의 하위 개념으로, 개인 또는 특정 그룹(예: 기업의 임원진이나 특정 직무에 종사하는 사람들)에게 맞춤화된 메시지 등을 사용하는 공격 유형입니다. 스피어 피싱 메시지는 일반적으로 수신자의 이름과 함께 메시지의 신뢰성을 높여 주는 세부 정보를 활용하여 맞춤 작성됩니다.
스피어 피싱에 사용되는 맞춤 메시지는 타겟이 해당 메시지를 합법적인 것으로 믿도록 설계되며, 이렇게 전략적 타겟의 참여를 유도하기 위해 다음과 같은 정보를 수집하는 조사가 이루어집니다.
- 타겟의 이름
- 타겟이 관심을 가질 만한 정보(예: 재무 정보(CEO의 최신 매출 등)나 개인적으로 관심을 두고 있는 현재 이벤트(소셜 미디어 계정에서 팔로우하는 주제 등))
- 동료, 가족 또는 친구의 이름과 이들이 필요로 할 수 있는 사항
이메일을 통해 전달되는 스피어 피싱 메시지는 타겟이 악성 링크를 열거나 유해한 파일을 다운로드하도록 속이기 위해 설계됩니다.
스피어 피싱 공격의 궁극적인 목표는 다양하지만, 일반적인 목적으로는 민감한 정보 도용, 멀웨어 설치를 통해 향후 공격의 발판을 마련하기 위한 네트워크 액세스 권한 확보, 금전적 이익 등이 있습니다.
스피어 피싱의 하위 범주에는 다음이 포함됩니다.
- 웨일링 또는 빅게임 공격은 대기업의 임원급 직원을 대상으로 합니다.
- CEO 사기 공격은 상급 권한을 보유한 직원(예: CEO)이나 동료를 사칭한 가짜 메시지로 하급 직원을 노립니다. 이러한 메시지는 보통 긴급성을 강조하며, 특별한 상황을 이유로 하급 직원이 무단 행동을 취하도록 압박하고 속이기 위해 작성됩니다.
- 클론 피싱 공격에서는 타겟의 메시지를 가로채어, 수신자가 이전에 실제로 받았던 이메일 메시지를 복제한 뒤 합법적인 링크와 첨부 파일을 악성 요소로 교체합니다. 클론 피싱에 사용되는 이메일의 예로는 청구서나 배송 추적 알림이 있습니다.
피싱이란?
그룹 피싱이라고도 하는 이 유형의 사이버 공격은 조직의 직원들과 같은 대규모 집단을 노려 동일한 메시지를 다양한 방식(이메일, 음성 메시지, 문자 메시지 등)으로 발송합니다. 일반적으로 발생하는 피싱은 가장 단순한 형태의 피싱 공격입니다.
피싱 공격은 이메일, 문자 메시지(스미싱 또는 SMS 피싱)나 전화 통화(비싱 또는 보이스 피싱)를 통해 다수의 개인이나 조직에게 악성 메시지를 전달하는 방식으로 이루어집니다. 피싱의 한 유형인 비즈니스 이메일 침해(BEC)는 공격자가 이메일 주소를 위조하여 합법적인 발신자로 보이게 만드는 스푸핑 수법을 포함합니다.
피싱 공격의 일반적인 특징은 다음과 같습니다.
- 발신자가 실제 인물이나 기관을 가장합니다.
- 커뮤니케이션의 목적은 악성 첨부 파일 및 링크를 통해 멀웨어를 다운로드하게 하거나, 민감한 정보(예: 신용카드 번호, 은행 계좌 번호, 사회 보장 번호)를 공유하도록 피해자를 속이는 것입니다.
스피어 피싱과 피싱의 차이점
스피어 피싱과 피싱에는 많은 공통점이 있습니다. 그러나 피싱과 스피어 피싱 간에는 보호를 위해 사용해야 하는 보안 제어를 결정하는 데 중요한 차이점이 존재합니다.
| 스피어 피싱과 피싱의 비교 | |
|---|---|
| 개인 또는 소규모 그룹을 대상으로 고도로 타게팅 및 개인화된 메시지 콘텐츠를 만들기 위해 조사가 수행됩니다. | 일반적인 메시지가 대규모 집단에 일괄적으로 발송됩니다. |
| 일련의 커뮤니케이션을 통해 관계를 형성하고 신뢰를 구축하기 위해 정교한 소셜 엔지니어링 기법이 사용됩니다. | 수신자가 깊이 생각하지 않고 급하게 행동하도록 속이기 위해 긴급성을 띠는 일회성 메시지를 작성합니다. |
| 메시지를 받을 피해자가 전략적으로 선정됩니다. | 피해자가 더 무작위적이며 대규모 사기 시도의 일부입니다. |
| 목표는 민감한 정보 도용이나 누군가를 대규모 송금 사기에 끌어들이는 등의 큰 금전적 이익입니다. | 목표는 비밀번호나 신용카드 정보와 같은 비교적 소규모 이익입니다. |
| 공격이 보통 수동으로 이루어집니다. | 공격이 보통 자동화를 통해 수행됩니다. |
| 공격이 매우 정교합니다. | 공격이 비교적 단순합니다. |
| 공격이 성공할 경우 심각한 피해가 발생합니다. | 공격이 성공할 경우 일부 금전적 손실이 발생합니다. |
| 스피어 피싱 공격은 식별하기가 어렵습니다. | 피싱 공격은 식별하기가 쉽습니다. |
스피어 피싱과 피싱으로부터 기업을 보호하기 위한 팁
스피어 피싱과 피싱 공격을 탐지, 보호, 완화하는 데 사용되는 도구와 프로세스는 대부분 유사하지만, 몇 가지 주목할 만한 예외 사항이 있습니다.
- 타겟이 될 가능성이 높은 사용자의 계정에 대한 모니터링 강화
- 잠재적 피해자에게 스피어 피싱의 타겟이 될 수 있음을 인식시키기
- 타겟이 될 가능성이 높은 사용자에게 스피어 피싱 메시지의 구체적인 특징 안내
스피어 피싱과 피싱에 대해 일반적으로 언급되는 보호 팁에는 다음이 포함됩니다.
- 다음에 중점을 둔 보안 인식 교육 실시
- 발신자 정책 프레임워크(SPF), 도메인 키 식별 메일(DKIM), 도메인 기반 메시지 인증,·보고 및·준수(DMARC)를 설정하여 이메일 도메인 스푸핑 방지
- 모든 민감한 정보 암호화
- 사용자가 정기적으로 비밀번호를 변경하도록 요구하는 수준 이상의 엄격한 비밀번호 정책 시행
- 액세스를 위해 다단계 인증 또는 다른 솔루션 구현
- 시스템과 소프트웨어를 최신 버전으로 유지하고 최신 패치 설치
- 사용자, 시스템 및 애플리케이션에서 악성 활동의 징후 모니터링
- 백업을 자주 실행하고 비즈니스 연속성 계획 수립
- exe, HTA, PDF와 같이 자주 사용되는 멀웨어 첨부 파일 유형을 대상으로 수신 메시지 검사
- 인공 지능을 활용하여 의심스러운 메시지를 필터링 및 탐지하는 안티 피싱 보안 솔루션 사용
- 방화벽을 사용하여 악성 소프트웨어를 통한 아웃바운드 트래픽 차단
- 철자 오류, 문법 오류, 위협적인 어조, 과도한 긴급성, 개인정보나 금전을 요구하는 내용과 같은 피싱의 경고 신호를 사용자가 식별할 수 있도록 지원
- 메시지나 URL을 열거나 그와 상호작용하기 전에 이메일 주소와 URL을 검증하는 방법 안내
- 팝업, 첨부 파일 및 링크를 함부로 클릭하지 않도록 안내
스피어 피싱과 피싱 중 어느 쪽이 더 큰 피해를 유발하나요?
스피어 피싱과 피싱 중 어느 것이 더 위험한지를 고려했을 때 명확한 정답은 없습니다. 스피어 피싱과 피싱은 모두 비교적 최신 기술을 사용하는 사이버 공격 방식은 아니지만, 그래도 조직에 상당한 위험을 초래합니다.
수년간 방어 기술이 발전해 왔음에도 불구하고, 인적 오류와 과실은 계속해서 기술 보안 제어의 취약점이 되고 있습니다. 사이버 보안 솔루션은 스피어 피싱과 피싱의 영향을 최소화하는 데 분명히 도움이 되지만, 이러한 공격의 본격적인 확산을 막을 수 있는 것은 보안 인식 교육을 통한 사용자의 행동 변화뿐입니다.
