스미싱 vs 피싱: 주요 차이점 설명

한밤중에 친구가 긴급히 양식을 작성해 달라고 문자를 보냅니다. 당신은 그렇게 합니다.

당신이 세부 정보를 입력하는 순간, 다음 날 그 친구에게서 연락이 끊깁니다. 나중에, 당신의 계정이 해킹당해 로그인이 불가능하다는 사실을 알게 됩니다. 그 메시지의 발신자는 그날 밤 당신의 친구가 아니었습니다. 그들은 단지 당신의 친구인 척했고, 당신은 전혀 의심하지 않았습니다. 많은 스미싱 공격이 이런 식입니다. 이러한 메시지는 교묘하게 위장되어 있어 종종 너무 순진해 보입니다.

피싱은 이메일, 포럼 또는 웹을 통해 동일한 전술을 사용합니다. 공격자는 수신자가 악성 링크를 클릭하도록 유도하고 미끼를 던집니다. 이러한 이메일은 너무나도 합법적으로 보이지만, 신뢰할 수 있는 출처에서 온 것이 아닙니다. 이 가이드에서는 스미싱과 피싱에 대해 알아야 할 모든 것을 명확히 설명하고 추가적인 세부 사항을 살펴보겠습니다.

스미싱이란 무엇인가?

스팸 전화와 문자 메시지는 수년간 증가해 왔습니다. 가해자들은 악성 링크를 이용해 피해자를 해킹하고, 사용자를 유인하여 민감한 정보를 유출하도록 시도합니다. 문자는 즉각적이며, 정말 바쁜 사용자들은 수신자의 신원을 확인하거나 메시지 기록을 확인하는 것을 잊어버려, 단 몇 초 만에 그들의 속임수에 넘어가게 됩니다. 해커들은 공직자나 법인을 사칭해 메시지를 합법적으로 보이게 하고 결과적으로 피해자의 신원을 탈취합니다. 현지 번호를 사용해 진짜 문자처럼 보이게 보내 피해자가 의심하지 못하게 하기도 합니다. 일부 해커는 알 수 없는 번호로 스미싱 메시지를 보내며, 매분 10억 건 이상의 원치 않는 메시지가 전송됩니다!

스미싱은 어떻게 작동하나요?

스미싱(Smishing)은 SMS 피싱을 의미하며, 그 작동 방식은 다음과 같습니다. PayPal 계정 비밀번호를 재설정해야 한다는 메시지를 받는다고 상상해 보세요. 또는 계정에서 잠겨 신원 확인이 필요하다고 합니다. 문제를 해결하기 위해 링크를 클릭하라는 문자를 받고, 메시지 내의 지침을 따라야 한다고 추가로 안내받습니다.

대부분의 모바일 사용자는 이러한 메시지의 진위 여부를 판단할 수 없기 때문에 피싱이 어떻게 작동하는지 알지 못합니다.

스미싱은 수백만 달러에 달하는 데이터 손실을 초래할 수 있습니다. FBI 사이버범죄 신고 부서에 따르면, 2023년 한 해에만 2,800건 이상의 스미싱 사건이 발생하여 300만 달러의 손실이 발생했습니다. McAfee 연구에 따르면 미국인 4명 중 1명이 세금 사기의 피해자가 됩니다. 요청하지도 않았는데 다중 인증 코드를 입력하라는 문자 메시지를 받은 적이 있다면, 그건 스미싱일 가능성이 높습니다!

SMS 메시지는 이메일이나 다른 온라인 커뮤니케이션 수단보다 열람률이 훨씬 높습니다. 이로 인해 사기꾼과 사이버 범죄자들에게 매력적인 표적이 됩니다.

피싱이란 무엇일까요?

피싱은 공격자가 이메일을 보내 공식 기관을 사칭하는 사이버 공격의 한 유형입니다. 공격자는 피해자를 감정적으로 조종하거나, 긴급함을 느끼게 하거나, 심리적으로 혼란을 주어 민감한 정보를 제공하도록 유도할 수 있습니다. 피싱의 무서운 점은 피해자가 가짜 이메일을 감지하지 못하고 진짜라고 믿는 경우가 있다는 것입니다. 피해자는 악성 링크 다운로드, 사기성 요청에 응답, 기밀 정보 공유 등의 행동을 하도록 유인될 수 있습니다.

피싱은 어떻게 작동하나요?

전통적인 피싱 수법은 단체나 조직에 대량 이메일을 발송합니다. 스피어 피싱은 공격자가 회사 내 특정 인물을 노리는 보다 표적화된 방식입니다. 예를 들어, 회사의 임원을 사칭할 수 있습니다. 사이버 범죄자는 그들을 가장하여 직원들에게 연락을 시도할 수 있습니다. 이러한 이메일을 모르는 신입 사원들은 종종 속아 넘어가고, 결국 사이버 범죄자의 진정한 신원을 확인하지 못한 채 그들과 소통하게 됩니다.

피싱 전술은 시간이 지남에 따라 진화하여 공격자가 기존의 이메일 필터와 보안 조치를 우회할 수 있게 합니다. 그들은 중요한 보안 스캐너를 피하고, 조직에 침투하여 권한을 상승시키고, 데이터 유출을 일으킬 수 있습니다. 그리고 이 모든 것은 단순한 한 통의 이메일로 가능합니다. 일부 이메일에는 음성 메모가 포함되거나 피해자에게 음성 메모나 라이브 스트림 링크를 통해 소통할 것을 요구하기도 합니다. 사이버 범죄자들은 AI 딥페이크를 활용해 사칭 전술을 한 단계 업그레이드할 수 있습니다.

스미싱과 피싱의 3가지 핵심 차이점

피싱과 스미싱은 차이가 있습니다. 하나는 휴대폰 메시지를, 다른 하나는 이메일 통신 채널을 통해 사용자를 노립니다. 둘 다 동일한 사고방식으로 작동합니다: 감정적으로 자극적인 상호작용으로 사용자를 당황하게 하고 중요한 정보를 누설하도록 유도하는 것입니다.

스미싱과 피싱 전술에 휘둘리지 않고 이를 무시하는 법을 배운다면 훨씬 앞서 나갈 수 있습니다. 피싱과 스미싱의 주요 차이점은 다음과 같습니다:

#1. 표적 기기

피싱 공격은 노트북, 네트워크 시스템, 모바일 인프라, 태블릿 및 기타 전자 기기를 표적으로 삼을 수 있습니다. 스미싱은 휴대폰이나 스마트폰으로만 제한됩니다. 그러나 위협 행위자들이 텔레그램, 디스코드, 슬랙과 같은 메시징 앱을 활용해 모바일 사용자를 노리면서 스미싱도 진화하고 있습니다.

#2. 링크와 첨부 파일

스미싱 링크는 사용자를 운영 라인으로 리디렉션하거나 공격자에게 전화를 걸어 대화하도록 요구할 수 있습니다. 피싱은 단순히 사용자를 가짜 웹사이트로 리디렉션하거나 웹 양식을 작성하여 개인 정보를 제출하도록 요청합니다. 피싱 이메일에는 일반적으로 악성 첨부 파일이 포함되지만, 스미싱 메시지에는 악성 링크와 전화번호가 포함됩니다.

#3. 통신 방법

스미싱은 휴대폰 문자 메시지를 이용합니다. 피싱은 이메일 클라이언트에 접근할 수 있는 모든 컴퓨터나 기기를 대상으로 합니다.

스미싱 대 피싱: 주요 차이점

스미싱과 피싱은 전달 방법이 다르지만 공격 목적은 비슷합니다. 둘 다 민감한 데이터와 자원에 대한 무단 접근을 목표로 합니다. 스미싱 공격은 긴급함을 느끼게 하거나 즉각적인 조치를 취하도록 휴대폰 문자를 이용합니다. 피싱은 주로 이메일을 통해 또는 사기성 웹사이트 공유를 통해 발생합니다. 공격자는 스피어 피싱 공격을 시작하기 전에 수개월 동안 충분한 정찰을 수행하고 피해자를 프로파일링할 수 있습니다.

스미싱과 피싱의 주요 차이점은 다음과 같습니다:

스미싱 및 피싱 공격을 피하거나 제거하는 5가지 방법

스미싱과 피싱이 작동하는 다양한 방식을 이해하셨으니, 이제 피해자가 되지 않도록 조치를 취할 수 있습니다. 피싱 및 스미싱 공격을 피하거나 제거할 수 있는 다섯 가지 방법은 다음과 같습니다:

1. 경계심을 갖고 의심하라 – 알 수 없는 이메일에는 답장하지 마십시오. 온라인에서 누구와 상호작용할 때도 경계를 늦추지 마십시오. 개인 정보나 전화번호를 공개하기 전에 발신자의 신원을 확인하십시오. 어떤 링크나 첨부 파일도 클릭하지 마십시오.
2. 다단계 인증(MFA)을 구현하십시오 – 다단계 인증을 적용하여 모든 기기에 추가 보안 계층을 구축하세요. 이는 2단계 인증보다 더 효과적이며, 사이버 공격자가 물리적 하드웨어에 접근할 수 있는 경우에도 하드웨어를 탈취하는 것을 방지합니다.
3. 직원 교육 실시 – 최신 안티바이러스 소프트웨어나 스파이웨어 모니터링 솔루션만 설치하는 것으로는 충분하지 않습니다. 공격자는 기술이 아닌 기술을 사용하는 사람을 노립니다. 조직 내에 사이버 보안 인식 문화를 구축하고 직원들에게 다양한 사회공학적 전략에 대해 교육하십시오. 주의해야 할 사항과 온라인에서 의심스러운 행동을 식별하는 방법을 알려주십시오.
4. 정기적인 패치 및 업데이트 – 소프트웨어 및 하드웨어 시스템을 정기적으로 패치하고 업데이트하는 것이 매우 중요합니다. 모바일 기기, 펌웨어, 애플리케이션에 최신 업데이트를 설치하세요. 이는 공격자가 발견할 경우 악용할 수 있는 잠재적 버그나 숨겨진 취약점을 방지하는 데 도움이 됩니다.
5. 위협 모니터링 솔루션 활용 – 스미싱 및 피싱 공격을 방지하기 위해 스미싱 방지 도구 또는 피싱 방지 기술 솔루션을 사용할 수 있습니다. 완벽한 방어 수단은 아니지만 위협을 탐지하고 차단함으로써 위험을 크게 줄여줍니다. 수동으로 감독해야 하는 양이 훨씬 줄어들 것입니다.

조직이 스미싱 및 피싱 사기로부터 스스로를 안전하게 보호해야 하는 이유는 무엇일까요?

피싱 및 스미싱 사기에 대한 전 세계적 인식 수준은 매우 낮습니다. State of the Phish 보고서에 따르면, 사용자의 22%만이 이러한 악의적인 사기에 대해 알고 있다고 응답했습니다. 스미싱 및 피싱 전술에 대한 지식의 부족은 사이버 복원력을 약화시킬 수 있습니다. 많은 사용자들은 악성코드 관련 사고를 자동으로 식별하고 방지하는 보안 장치의 기술적 한계를 이해하지 못합니다.

일부 피해자들은 기기를 잠그지 않은 채로 두고, 많은 사용자들이 생체 인식 잠금이나 4자리 PIN을 선택하지 않습니다. 보안이 취약한 공용 WiFi 네트워크에 연결하고 이를 통해 기업 데이터를 전송하는 것은 수많은 안전 위험과 데이터 개인정보 보호 문제를 야기할 수 있습니다. 네트워크는 절대적으로 보호될 수 없으며, 사이버 범죄자들은 통신 채널을 가로채거나 피해자를 은밀히 연구할 수 있습니다.

스마트폰과 전자 기기 사용은 젊은 세대 근로자들에게는 자연스러운 일입니다. 그리고 밀레니얼 세대와 달리, 그들 모두가 최상의 사이버 보안 관행을 알고 있는 것은 아닙니다. 보안 자동화는 좋지만, 사회공학적 기법이 이를 침투할 수 있습니다. 휴대폰으로 수신되는 문자 메시지에는 전통적인 인증 시스템이나 스팸 필터가 없습니다. 이러한 문자 메시지가 업무 정보와 개인 정보를 혼합할 경우, 의심 요소를 흐리게 합니다.

모바일 사용자는 매일 수백 건의 문자 메시지를 수신하며, 위협 행위자가 정보를 탈취할 기회를 어떻게 악용할지 판단하기 어려울 수 있습니다.

결론

스미싱 위협의 표적이 되고 있는지 확인하려면 발신 또는 수신 중인 SMS 메시지의 갑작스러운 증가 또는 감소를 살펴볼 수도 있습니다. 잠재적 이상 징후를 감지하기 위해 SMS 게이트웨이를 모니터링하고, 모바일 메시징 채널을 보호하기 위해 스푸핑 방지 메커니즘을 설치하십시오.

위협적인 이메일이나 긴급해 보이는 메시지에 감정적으로 휘둘리거나 충동적으로 반응하지 마십시오. 차분히 기다리며 긴장을 풀고 위축되지 마십시오. 민감한 정보를 공유하거나 처리할 때는 시간을 두고 상식을 활용하십시오.

인프라에서 피싱 시뮬레이션을 실행하여 표적이 될 가능성을 확인할 수도 있습니다. 실행 전 반드시 인사 부서와 상의하십시오. 직원들이 피싱 사고를 신고하도록 장려하고, 편안하게 공유할 수 있도록 분위기를 조성하세요. 익명 신고를 허용하는 것도 좋은 방법입니다.

본 가이드가 스미싱과 피싱의 차이점을 이해하는 데 도움이 되길 바랍니다. 추가 지원이 필요하시면 SentinelOne에 문의하실 수 있습니다.

FAQs