사이버 보안에서 보이스 피싱(Vishing)이란 무엇인가?"

현대 디지털 세상에서 사이버 위협은 증가하고 더욱 정교해지고 있습니다. 이로 인해 보이스 피싱(vishing)과 같은 새로운 위험이 등장했습니다. 보이스 피싱은 전화 통화를 통해 사람들이 비밀번호, 신용카드 번호 또는 개인 정보와 같은 민감한 정보를 누설하도록 유도하는 일종의 사회공학적 기법입니다. 따라서 개인과 조직을 잠재적 위험으로부터 보호하기 위해 비싱을 이해하는 것이 매우 중요합니다.

보이스 피싱(vishing)은 사이버 공격의 한 형태로 이는 사기성 전화나 음성 메시지를 무단으로 사용하여 피해자로 하여금 기밀 정보를 누설하도록 유인하는 것을 포함합니다. 그들은 은행, 기술 지원 담당자, 심지어 정부 기관을 사칭하여 피해자에게 긴급한 필요성을 느끼게 함으로써 개인 정보를 유출하도록 유도할 수 있습니다. 2021년 한 해 동안만 5,940만 명 이상의 미국인이 보이스 피싱의 피해자가 되었습니다. 이 통계는 단순한 숫자가 아닙니다. 이들은 실제 돈을 잃고 신원이 도용당했으며, 그로 인한 정신적 고통을 겪은 구체적인 사람들입니다.

본 기사는 보이스 피싱(vishing)을 이해하기 위한 유용한 가이드를 제공하며, 보이스 피싱 공격의 정의, 주의해야 할 흔한 징후, 심지어 피싱(phishing)과의 차이점 등 관련 주제에 초점을 맞춥니다. 또한 다양한 공격 유형, 개인 및 기업 보안에 미치는 영향, 사기꾼들이 흔히 사용하는 방법, 보이스 피싱의 작동 방식에 대해서도 논의할 것입니다.

보이스 피싱(Vishing) 공격이란 무엇인가?

보이스 피싱은 해커가 전화 통화를 통해 민감한 정보를 낚아채는 음성 기반 피싱의 또 다른 명칭입니다. 이메일이나 SMS를 통한 다른 모든 형태의 피싱과 달리, 비싱은 피해자와 자연어(일반 대화)로 소통하기 때문에 탐지하기 매우 어렵습니다. 일반적으로 공격자는 은행, 기술 지원팀 또는 정부 기관을 사칭하여 사회보장번호, 은행 계좌 정보 또는 비밀번호와 같은 개인 정보를 얻으려 합니다. 이는 피해자에게 허위의 안전감을 조성할 수 있습니다.

보이스 피싱의 일반적인 징후

보이스 피싱 공격은 대부분 은행, 정부 기관, 대기업 등 신뢰받는 기관의 이름을 사용하기 때문에 감지하기 쉽지 않습니다. 비록 매우 설득력이 있지만, 함정에 빠지기 전에 몇 가지 경고 신호를 통해 가능한 비싱 시도를 식별할 수 있습니다.

• 요청하지 않은 전화: 비싱 공격의 주요 징후는 은행, 정부 기관 또는 기술 지원과 같은 존경받는 기관을 대표한다고 주장하는 누군가로부터의 요청하지 않은 전화입니다. 귀하가 먼저 연락한 것이 아니며, 발신자는 일반적으로 설득력 있게 말하거나 공무원의 이름처럼 들리는 이름을 사용하여 신속하게 귀하의 신뢰를 얻습니다.
• 개인 정보 요청: 보이스 피싱 공격자는 일반적으로 사회 보장 번호, 신용 카드 정보 또는 로그인 자격 증명과 같은 민감한 정보가 필요합니다. 진정한 기관은 전화로 그러한 정보를 요구하는 경우가 거의 없으며, 더욱이 원치 않는 전화로 요구하는 경우는 더더욱 드뭅니다. 누군가가 그러한 정보를 제공하도록 압박한다면, 피해야 합니다.
• 긴급함과 위협: 사기꾼의 또 다른 특징은 요구와 위협을 사용하는 것입니다. 사기꾼들은 상대방을 당황하게 만들고 어떤 종류의 긴급 상황에서도 행동하도록 만듭니다. 그들이 하는 일은 전화를 걸어 계정이 해킹당했다고 말하는 것입니다. 즉시 응답하지 않으면 어려움을 겪거나 심지어 심각한 결과를 맞닥뜨릴 수도 있다고 위협합니다.

보이스피싱과 피싱의 차이점

보이스피싱과 피싱 모두 사회공학적 공격의 일종으로 어떤 형태의 속임수를 가장하여 사람들을 속이고 기밀 개인 데이터를 획득하는 공격 방식입니다. 두 단어의 어원은 유사하지만 실행 방식은 다릅니다. 이러한 사기 수법은 비밀 정보를 훔치기 위해 인간의 신뢰와 무지를 이용하지만, 그 실행 방식은 다릅니다.

이 둘의 차이를 이해하면 개인과 조직이 악의적인 접근에 대비할 수 있습니다.

• 보이스 피싱(Vishing): 보이스 피싱(Vishing)은 전화 통화나 음성 사서함 메시지를 이용해 피해자의 신뢰를 얻습니다. 많은 공격자들은 은행, 정부 기관, 고객 지원 서비스 등 신뢰할 수 있는 기관을 사칭합니다. 심지어 발신자 번호 위조를 선택하여 진정성을 가장하기도 합니다. 사기꾼은 피해자에게 계정이 해킹당했다는 등의 공포나 시간적 압박을 주어 민감한 정보(사회보장번호, 계좌 정보, 비밀번호 등)를 빼내는 데 활용합니다.
• 피싱: 피싱은 전자 통신을 통해 발생합니다. 주로 이메일이나 문자 메시지를 통해 이루어집니다. 공격자는 신뢰할 수 있는 기업, 은행 또는 서비스에서 보낸 것처럼 위장한 사기성 메시지를 발송합니다. 대부분의 사기 수법은 피해자를 로그인 정보나 기타 개인 정보를 요구하는 무용지물 웹사이트로 유도하는 오해의 소지가 있는 링크와 첨부 파일을 사용합니다. 이러한 이메일에는 종종 악성코드가 포함된 첨부 파일이 있어 피해자의 시스템을 감염시킵니다. 일반적으로 피싱 메시지는 피해자를 대신해 긴급한 요청을 하는 것처럼 꾸며집니다. 이메일은 의심스러운 활동을 알리거나 지나치게 유혹적인 보상을 약속할 수 있습니다.

  보이스피싱 공격의 유형

  보이스피싱 공격은 피해자가 개인 정보를 유출하거나 금융 거래를 수행하도록 유인하기 위해 감정, 공포, 긴급함 또는 신뢰를 악용합니다. 대부분의 경우, 공격자가 합법적인 기관이나 권위자의 신분을 도용하여 피해자를 사기하는 방식으로 발생합니다.

  다양한 형태의 비싱 공격 유형은 다음과 같습니다:

  1. 기술 지원 사기: 마이크로소프트나 애플 같은 유명 기업의 기술 지원 담당자로 위장한 사기꾼들입니다. 그들은 당신의 컴퓨터가 악성코드에 감염되었거나 즉시 조치가 필요한 심각한 문제가 있다고 말할 수 있습니다. 이 경우 그들은 당신의 기기에 원격 접근을 얻거나 가짜 서비스에 대한 대금을 사취하려 합니다. 일단 통제권을 잡으면 악성코드를 설치하거나 개인 정보를 훔치거나, 가상의 "””을 명목으로 대금을 요구할 수 있습니다.
  2. 은행 또는 금융 기관 사기: 여기서 사기꾼들은 귀하가 계좌를 보유한 은행이나 기타 금융 기관의 직원이라고 주장합니다. 대부분 귀하의 계좌에서 의심스러운 활동이 감지되었다며 사기 방지를 위해 계좌 정보, PIN, 신용카드 번호를 확인해야 한다고 말합니다. 이러한 메시지는 대부분 무단 거래가 발생하지 않도록 즉각적인 조치를 취하라고 요구하며, 피해자들이 해당 연락의 진위를 확인하지 않고 행동하도록 유도합니다.
  3. 정부 기관 사칭: 사기꾼들은 국세청(IRS), 사회보장국, 법 집행 기관 등 정부 기관의 공무원을 사칭하는 경우가 많습니다. 그들은 귀하가 세금을 체납했거나, 귀하에 대한 소송이 진행 중이며, 개인 정보를 제공하거나 즉시 돈을 지불하지 않으면 체포될 것이라고 주장합니다. 이러한 사기에는 종종 공포 요소가 포함됩니다. 피해자들은 즉각 대응하지 않으면 심각한 결과를 초래할 것이라고 위협받기 때문에 비이성적으로 반응할 가능성이 더 커집니다.

  비싱이 개인 및 기업 보안에 미치는 영향

  비싱은 개인과 조직 모두를 대상으로 항상 발생해 왔으며, 결과적으로 개인 및 기업 보안에 다양한 방식으로 영향을 미칩니다. 직접적으로는 사기꾼들이 피해자로 하여금 개인 은행 정보를 유출하거나 사기성 결제를 하도록 유도하기 때문에 개인에게 가장 큰 영향은 금전적 손실입니다. 이에 따라 무단 인출로 계좌 잔고가 고갈되고 계좌 소유자는 불안정한 재정 상황에 직면하게 됩니다.

  이는 신원 도용으로 이어질 수 있으며, 사기꾼이 해당 정보를 이용해 피해자 명의로 새 계좌를 개설하거나 구매를 하는 경우 신용 점수에 매우 심각한 영향을 미치며 회복 과정이 매우 오래 걸립니다. 또한 피해자들은 일반적으로 불안해하고 기관에 대한 신뢰를 잃게 되어 정서적 충격도 상당히 큽니다.

  그러나 비즈니스 시나리오에서도 위험은 마찬가지로 높습니다. 비싱을 통해 유출된 민감한 기업 정보는 지적 재산권과 고객 데이터를 위협할 수 있습니다. 이는 고객 관계에 영향을 미칠 뿐만 아니라 수년에 걸쳐 평판 손실로 이어질 수 있습니다. 고객 데이터를 보호하지 못하거나 부적절하게 처리할 경우 기업 책임과 재정적 제재가 부과될 수 있습니다. 전반적으로, 비싱의 영향은 개인 및 기업의 보안을 보호하기 위해 인식 제고와 예방 조치가 필요함을 시사합니다.

  사기꾼들이 사용하는 일반적인 비싱 기법

  비싱(음성 피싱)은 피해자를 속이기 위해 다양한 정교한 기법을 사용하는 가장 널리 퍼진 성공적인 위협 중 하나입니다. 이러한 전술을 파악하면 개인과 기업이 주변의 잠재적 위협을 인지하고 공격을 저지하는 데 도움이 될 수 있습니다.

  다음은 사기에 사용되는 일반적인 보이스 피싱 기법들입니다. 사기꾼들의 계획에 따르면, 이러한 전술은 인간의 심리 및 신뢰를 악용하는 데 활용됩니다.

  • 발신자 번호 위조(Caller ID spoofing): 발신자 번호 위조는 공격자가 수신자의 발신자 표시 화면에 나타나는 전화번호를 조작하는 방법입니다. 사기꾼들은 은행이나 정부 기관과 같은 합법적인 기관에서 걸려온 것처럼 보이게 할 수 있기 때문에 피해자의 신뢰를 쉽게 얻습니다. 이러한 속임수는 종종 사람들이 경계를 늦추고 상대방의 신원을 확인하지 않은 채 가장 민감한 정보를 무심코 공유하게 만듭니다.
  • 프리텍스팅: 프렉스팅은 사기꾼이 허구의 상황을 꾸며내 피해자에게 즉각적인 조치가 필요한 긴급한 사안이라고 믿게 만드는 사기 수법입니다. 예를 들어, 계좌에서 의심스러운 활동이 감지되었다고 보고하는 은행원이나 미납 세금으로 소송을 제기하겠다고 협박하는 세무 공무원으로 위장할 수 있습니다. 이 유형의 사기는 피해자가 상황에 대해 느끼는 두려움이나 긴급함을 악용하여 개인 정보 제공 요청에 응하거나 즉시 돈을 지불하도록 유도합니다.
  • 로보콜: 로보콜은 정부 기관, 은행, 서비스 제공업체 등으로 위장한 사전 녹음된 음성 메시지입니다. 사칭과 함께 긴급함을 조성하는 것은 피해자가 의심 없이 응답하도록 유도하는 일반적인 수법으로, 민감한 정보 유출이나 추가 사기 가능성을 높입니다.

  보이스 피싱(Vishing)은 어떻게 작동하나요?

  보이스 피싱(Vishing)은 사기꾼들이 전화로 중요한 정보를 제공하도록 속여 피해자를 만드는 악의적인 수법입니다. 보이스 피싱 공격의 전형적인 단계를 이해하면 개인이 이러한 사기를 인식하고 피해자가 되는 것을 피하는 데 도움이 될 수 있습니다.

  다음은 보이스 피싱 공격이 일반적으로 어떻게 진행되는지 자세히 살펴본 내용입니다:

  1. 조사: 먼저 공격 대상에 대한 조사를 수행합니다. 공격자들은 일반적으로 설득력 있는 이야기를 만들기 위해 피해자에 대한 많은 정보를 수집합니다. 여기에는 피해자의 이름, 직장, 은행 등 개인적인 정보와 소셜 미디어, 데이터 유출, 공개 기록 등에서 얻을 수 있는 기타 중요한 세부 사항이 포함될 수 있습니다. 피해자에 대한 모든 세부 정보를 확보한 사기꾼은 피해자와 신뢰를 구축한다는 점에서 전화 통화를 훨씬 더 진정성 있게 보이게 할 수 있습니다.
  2. 스푸핑: 공격자는 발신자 ID 스푸핑 기술을 사용하여 피해자의 발신자 ID 디스플레이에 표시되는 신원을 변경합니다. 이를 통해 사기꾼들은 은행, 정부 기관 또는 평판이 좋은 회사와 같은 신뢰할 수 있는 기관에서 전화하는 것처럼 행동할 수 있습니다. 신원을 숨김으로써 피해자가 전화를 받고 모든 것이 정상인 것처럼 대화에 참여할 가능성을 높입니다.
  3. 통화 실행: 공격자는 자신이 해당 기관의 직원인 것처럼 행세하며 가짜 신뢰도를 구축합니다. 개인정보를 확인하지 않으면 은행 계좌가 정지될 수 있다거나 피해자의 계좌에서 의심스러운 활동이 감지되었다는 등의 긴급한 상황 시나리오를 제시합니다. 이러한 긴급 상황 이야기는 피해자가 신중하게 생각하거나 발신자의 신원을 확인할 가능성을 줄이고 신속하게 행동하도록 유도하기 위해 고안되었습니다.
  4. 정보 추출: 공격의 최종 단계에서 사기꾼은 심리적 조작을 통해 피해자로부터 민감한 정보를 빼냅니다. 여기서는 일반적으로 피해자에게 임박한 위험에 대한 공포를 주입하거나, 피해자가 전화를 경계하지 않고 신속하게 반응하도록 하는 긴박감을 조성합니다. 대부분의 사기꾼은 부정적 결과를 막거나 도움을 요청하는 행동을 취하도록 감정에 호소합니다. 이로 인해 피해자는 은행 정보, 비밀번호, 개인 식별 번호 등 모든 정보를 무심코 누설할 수 있으며, 이는 금전적 손실 외에도 신원 도용 가능성을 높입니다.

  보이스피싱 공격을 어떻게 식별할까?

  보이스피싱 공격을 적시에 식별하는 능력은 사기꾼으로부터 개인 및 금융 정보를 보호하는 데 매우 중요합니다. 이러한 사기의 일반적인 위험 신호를 알고 있으면 사람들이 사기 피해자가 되는 것을 더 잘 방지할 수 있습니다. 비싱 공격을 나타내는 주요 징후는 다음과 같습니다.

  1. 개인 정보나 금융 정보를 요구하는 원치 않는 전화: 개인 정보나 금융 정보를 요구하는 형태의 원치 않는 전화는 비싱 공격의 가장 큰 경고 신호 중 하나입니다. 합법적인 기관은 이런 방식으로 사람들에게 연락을 시작하지 않습니다. 모르는 번호로 전화가 와서 사회보장번호, 은행 계좌번호, 비밀번호 등 민감한 정보를 요구한다면 해당 사안에 대해 매우 주의해야 합니다. 어떤 정보도 제공하기 전에 반드시 발신자의 신원을 확인하십시오.
  2. 즉각적인 행동 압박: 사기꾼들은 피해자가 망설임 없이 결정하도록 강요하기 위해 종종 긴급함을 조성합니다. 계좌 동결, 소송, 자금 손실 등 불이익을 위협하거나 신속한 결정을 재촉하는 전화는 큰 위험 신호입니다. 정상적인 기업은 고객이 정보를 확인하고 생각할 시간을 줍니다. 즉각적인 조치가 필요하다고 느끼게 하는 전화는 경계해야 합니다.
  3. 전화로 비밀 정보 요구: 비밀번호나 신용카드 번호 같은 비밀 정보를 요구하는 전화는 피하세요. 특히 전화로 직접 번호를 묻는 경우, 신중하게 판단하십시오. 합법적인 기관은 민감한 정보를 처리하기 위한 안전한 절차를 갖추고 있으며, 전화로 가볍게 정보를 요구하지 않습니다. 이러한 요청에 응하지 마시고, 전화를 끊은 후 해당 기관의 공식 연락처로 즉시 확인을 요청하십시오.

  보이스피싱 공격으로부터 자신을 보호하는 방법 (모범 사례)

  주의와 모범 사례를 통해 개인 정보와 금융 정보를 안전하게 보호함으로써 보이스피싱 공격으로부터 쉽게 자신을 지킬 수 있습니다.

  이러한 사기에 당하지 않도록 도와주는 몇 가지 효과적인 전략은 다음과 같습니다:

  1. 전화로 민감한 정보를 공유하지 마세요: 가장 중요한 것은 본인이 먼저 전화를 걸지 않는 한 전화로 비밀 정보를 공유하지 않는 것입니다. 개인 정보를 공개하기 전에 반드시 상대방의 신원을 완전히 확인해야 합니다. 신뢰할 수 있는 기관은 무작위 전화 통화 중에 기밀 정보를 요구하지 않습니다.
  2. 발신자 신원 확인하기: 특히 신뢰할 수 있는 기관에서 전화했다고 주장하는 경우 발신자의 신원을 확인하는 것이 매우 중요합니다. 전화를 끊고 해당 기관의 웹사이트나 공식 서신에 기재된 공식 연락처를 통해 직접 연락하십시오. 이 단계는 장난 전화가 아니었는지 추가로 확인하여 민감한 정보가 사기꾼의 손에 우연히 넘어가는 것을 방지합니다.
  3. 원치 않는 전화에 응답하지 마세요: 개인 정보를 요구하거나 금전을 요구하는 원치 않는 전화에는 주의하세요. 이런 전화를 받았다면 상대방과 어떤 내용도 논의하거나 정보를 제공하지 마십시오. 대신 전화를 끊고 해당 기관과 그들이 언급한 문제에 대해서도 조사해 보세요. 대부분의 사기꾼은 피해자의 감정 상태를 이용해 긴급한 상황을 연출합니다. 즉각적인 행동을 피할 수 있다면 사기에 걸릴 가능성은 낮아집니다.

  보이스피싱 공격으로부터 회복하는 방법

  보이스피싱 공격의 피해자가 되는 것은 매우 고통스러운 일이지만, 피해를 최소화하고 개인정보를 보호하기 위해 즉시 취할 수 있는 적절한 조치가 있습니다. 비싱 사기의 피해자가 된 경우, 아래의 단계를 따르십시오.

  1. 즉시 은행이나 신용카드사에 연락하십시오: 비싱 사기의 피해자가 된 것을 알게 된 후 가장 먼저 해야 할 일은 즉시 은행이나 신용카드사에 연락하는 것입니다. 귀하의 경험을 공유하고 계정 보호 방법에 대해 그들이 제공하는 지침을 따르십시오. 그들은 귀하의 계정을 동결하거나 의심스러운 활동에 대해 감시할 수 있습니다. 이를 통해 귀하의 계좌에서 무단으로 추가적인 거래가 이루어지는 것을 방지할 수 있습니다. 또한 귀하의 재정적 미래를 보호할 수 있습니다.
  2. 계좌에서 의심스러운 활동이 있는지 모니터링하세요: 사건을 신고한 후, 모든 은행 및 신용카드 명세서를 꼼꼼히 검토하여 의심스러운 무단 거래나 기타 의심스러운 활동이 있는지 확인하세요. 계좌 명세서를 즉시 비교하고 의심스러운 청구 사항이 있으면 즉시 금융 기관에 알려야 합니다. 이 단계에서 적극적으로 대응하면 사기가 아직 초기 단계에 있을 때 발견할 수 있어 재정적 피해가 크지 않을 수 있습니다.
  3. 비밀번호 변경하기: 비싱 전화에서 로그인 정보를 제공하도록 요청받은 경우 즉시 비밀번호를 변경하세요. 문자, 숫자, 특수 문자를 혼합하여 복잡하게 설정하세요. 또한, 2단계 인증(2FA) 가능한 한 항상 활용해야 합니다. 이는 계정이 타인에게 침해되거나 탈취되지 않도록 보장하는 추가적인 보호 계층입니다.

  보이스피싱 공격 사례

  휴대폰에 대한 의존도가 급증함에 따라 보이스피싱 공격의 정교함과 유행도 함께 증가했습니다. 사기꾼들은 사회 공학 및 긴급성을 포함한 다양한 전술을 사용하여 대상에게 공포심이나 즉각적인 행동을 취하도록 유도합니다. 아래는 미국에서 실제로 발생한 비싱 공격 사례와 사기꾼들이 사용한 몇 가지 전술 및 전략입니다.

  1. 기술 지원 사기

  기술 지원 사기는 남부 텍사스에서 점점 더 심각한 문제가 되고 있습니다. 2019년 11월, 한 샌안토니오 남성은 마이크로소프트 직원으로 위장한 사기꾼에게 7,500달러를 잃었다고 신고했습니다. 이 사기는 그가 받은 것으로 추정되는 서비스에 대한 299달러의 계정 요금을 알리는 팝업 광고로 시작되었습니다. 걱정된 이 남성은 제공된 번호로 전화를 걸어 마이크로소프트 직원으로 위장한 사람에게 자신은 마이크로소프트 계정이 없다고 설명했습니다. 안타깝게도 그는 사기꾼이 이미 자신의 은행 계좌에 접근하여 자금을 빼낸 후에야 사기임을 깨달았습니다.

  2. 국세청 사칭 사기

  국세청 사칭 사기는 사기꾼들이 국세청(IRS) 직원이나 대리인으로 사칭하여 의심하지 않는 피해자로부터 돈이나 개인 정보를 훔치는 사기 수법입니다. 이러한 사기꾼들은 일반적으로 전화, 이메일, 심지어 문자 메시지를 통해 개인에게 연락하여 수신자가 체납 세금이나 벌금을 지불해야 하며, 체포, 추방, 자산 압류와 같은 법적 결과를 피하려면 즉시 납부해야 한다고 주장합니다.

  AI 기반 사이버 보안 활용하기

  실시간 감지, 머신 속도 대응, 전체 디지털 환경에 대한 종합적인 가시성을 통해 보안 태세를 강화하세요.

  데모 신청하기

  결론

  보이스 피싱(Vishing)은 오늘날 해커들이 전화 통화를 통해 개인 및 금융 정보를 캐내려는 수단으로 사용되면서 사이버 보안 세계에서 급속히 떠오르는 위협이 되고 있습니다. 최근 AI 생성 음성을 활용한 기법 등 비싱 기술이 발전함에 따라, 개인과 기업 모두 이러한 사기 수법에 경계를 늦추지 않는 것이 매우 중요해졌습니다. 비싱 공격에 사용되는 다양한 방법을 파악하고 전화 안전을 위한 모범 사례를 채택함으로써, 이러한 유형의 사이버 범죄 피해 위험을 크게 줄일 수 있습니다.

  요청하지 않은 전화를 가볍게 여기지 마십시오. 협박을 당할 때 정보를 제공하지 말고, 발신자가 잘 알려진 신뢰할 수 있는 기관이라고 주장하더라도 절대 응하지 마십시오. 본인과 직원들에게 보이스피싱 신호와 보안 정책에 대해 교육하여 인식을 제고하고, 사기에 대한 경계 의식이 자리 잡은 문화를 조성하십시오. 적극적인 태도와 지식이 보이스피싱 및 기타 사이버 위협에 대한 가장 강력한 방어 수단이 될 것입니다.

  "

FAQs