스피어 피싱은 사기성 이메일을 통해 민감한 정보를 훔치려는 표적형 공격입니다. 본 가이드는 스피어 피싱의 작동 방식, 전술, 그리고 개인과 조직에 미치는 위험을 살펴봅니다.
탐지 및 방지를 위한 효과적인 전략을 알아보세요. 스피어 피싱을 이해하는 것은 개인 및 조직 데이터를 보호하는 데 매우 중요합니다.
이 글은 스피어 피싱을 자세히 살펴봅니다: 이러한 공격이 일반적으로 어떻게 작동하는지, 어떻게 식별하는지, 스피어 피싱과 다른 피싱 공격 간의 차이점, 그리고 조직이 이를 방어할 수 있는 방법 등을 다룹니다.
스피어 피싱이란 무엇인가?
스피어 피싱은 사회공학적 기법 공격으로, 일반적으로 악성 이메일을 통해 특정 개인이나 조직을 표적으로 삼습니다. 위협 행위자는 이메일이 신뢰할 수 있는 발신자로부터 온 것처럼 보이도록 표적을 신중하게 조사합니다.
스피어 피싱 이메일은 일반적으로 수신자가 악성 링크나 첨부 파일을 열도록 유도하는 다양한 사회공학적 기법을 사용합니다. 대상이 이에 응하면 공격자는 초기 목표를 달성할 수 있습니다.
피싱 공격과 마찬가지로 스피어 피싱 공격은 일반적으로 다음을 목표로 합니다:
- 개인정보 추출: 일부 스피어 피싱 이메일은 로그인 자격 증명, 은행 정보 또는 신용카드 번호와 같은 수신자의 개인정보를 요구합니다.
- 악성코드 설치: 다른 스피어 피싱 이메일은 수신자가 자신의 기기에 다운로드하기를 바라며 악성코드를 전달합니다.
광범위하게 퍼지는 피싱 사기와 달리 스피어 피싱은 더 정교하고 조직적으로 이루어집니다. 이러한 공격은 종종 친숙하고 개인화된 정보를 활용하여 맞춤형 함정으로 조직에 침투합니다.
스피어 피싱 공격 사례
스피어 피싱은 사회공학적 기법을 활용해 피해자로 하여금 민감한 정보를 유출하거나 해커가 시스템에 접근할 수 있도록 하는 행동을 취하도록 유도하기 때문에 특히 효과적인 사이버 공격 유형입니다.
스피어 피싱 공격의 한 예로는 2021년 공격 우크라이나 정부 기관 및 비정부 기구를 표적으로 삼았습니다. 러시아 정부와 연계된 사이버 스파이 그룹인 가마레돈(Gamaredon)은 신뢰할 수 있는 연락처로 위장하고 악성 코드가 포함된 매크로 첨부 파일을 포함한 스피어 피싱 이메일을 사용했습니다. 이 이메일에는 메시지 열람 여부를 모니터링하기 위한 추적용 "웹 버그"도 포함되어 있었습니다. 이 스피어 피싱 공격의 궁극적인 목적은 아직 알려지지 않았지만, 사용된 악성 코드 계열은 침해된 호스트로부터 데이터를 유출하는 데 자주 활용됩니다.&
스피어 피싱 공격의 또 다른 사례는 2020년2020년에 발생한 사례가 있습니다. 위협 행위자가 직원 퇴직 연금 시스템(Employee Retirement System) 직원의 컴퓨터를 해킹한 후 여러 정부 기관에 은행 계좌 변경을 알리는 이메일을 발송했습니다. 푸에르토리코 산업 개발 공사 직원은 합법적인 계좌라고 믿고 260만 달러를 해외 계좌로 송금했습니다.
스피어 피싱은 어떻게 작동하나요?
위협 행위자들은 성공적인 공격 가능성을 높이기 위해 정찰 기법을 활용합니다. 그 결과 스피어 피싱 이메일은 종종 식별하기 어렵습니다.
스피어 피셔들은 페이스북이나 링크드인과 같은 소셜 미디어 사이트를 자주 방문하여 표적에 대한 개인 정보를 수집할 수 있습니다. 일부 위협 행위자들은 "신뢰할 수 있는" 메시지를 작성할 때 추가적인 맥락을 확보하기 위해 대상의 개인적 및 직업적 인맥 네트워크를 파악하기도 합니다. 정교한 공격자들은 기계 학습(ML) 알고리즘을 사용하여 방대한 양의 데이터를 스캔하고 잠재적으로 수익성이 높은 대상을 식별하기도 합니다.
표적에 대한 충분한 개인 정보를 확보한 스피어 피싱 공격자는 표적의 관심을 끌 수 있는 합법적으로 보이는 이메일을 만들 수 있습니다. 스피어 피싱 이메일은 개인화된 내용 외에도 종종 긴급한 어조를 사용합니다. 이러한 위험한 조합은 수신자가 경계를 늦추게 할 수 있습니다.
스피어 피싱 공격에 흔히 포함되는 전형적인 단계는 다음과 같습니다:
1. 정보 수집 (미끼)
온라인에서 개인 정보를 찾는 데는 거의 노력이 필요하지 않습니다. 여러 측면에서 소셜 미디어의 인기는 최근 몇 년간 스피어 피싱 공격의 성공에 기여해 왔습니다.
예를 들어, LinkedIn 프로필에는 근무처와 동료 목록이 포함될 수 있습니다. LinkedIn 프로필에 이메일 주소가 공개적으로 표시되지 않더라도, 위협 행위자가 해당 정보를 찾기 쉽게 만들 수 있습니다.
다른 위협 행위자들은 주요 검색 엔진이나 리드 생성 플랫폼에서 스크립트를 사용해 이메일 주소를 수집하여 직원이 업무용으로 사용하는 이메일 주소를 찾을 수 있습니다. 경우에 따라 위협 행위자들은 [email protected].&과 같은 표준 업무 이메일 규칙을 활용해 이메일 주소를 추측하기도 합니다.
대상 이메일 주소 외에도 위협 행위자는 대상 조직을 조사하여 사용 중인 소프트웨어를 파악하려 시도합니다.
2. 요청(후크)
공격자가 대상에 대한 필요한 정보를 확보하면 이를 미끼로 사용하여 원하는 행동(예: 악성 링크 클릭 또는 악성 파일 다운로드)을 수행할 수 있습니다.
표적 피싱 이메일이 대상의 수신함에 도달하려면 먼저 모든 안티바이러스 소프트웨어를 통과해야 합니다. 대상 조직에 대한 간단한 검색만으로도 고용주가 사용하는 안티바이러스 소프트웨어와 그 버전에 대한 충분한 정보를 얻을 수 있습니다. 이 정보를 바탕으로 위협 행위자는 사이버 보안 방어 체계를 우회할 수 있습니다.
흔히 사용되는 요청 수법 중 하나는 가짜 청구서를 이용하는 것입니다. 이 경우 위협 행위자는 "신뢰할 수 있는" 출처에서 보낸 것처럼 위장한 이메일을 보내 청구서에 문제가 있다고 알립니다. 디지털 양식 링크를 제공하며 대상에게 정확한 정보를 입력해 달라고 요청할 수 있습니다.
이 디지털 송장은 실제와 다르지만, 대상이 일반적으로 재무 정보 입출력에 사용하는 송장과 똑같이 보일 수 있습니다. 위협 행위자가 송장 결제 정보를 확보하면 이를 이용해 자금을 탈취하거나 다크 웹에 판매할 수도 있습니다.
3. 공격 (함정)
위협 행위자는 미끼와 낚시줄이 모두 성공하면 공격을 준비합니다. 수신자가 기밀 정보(예: 로그인 자격 증명 또는 결제 정보)를 제공한다고 가정해 보겠습니다. 이 경우 공격자는 이를 이용해 네트워크 및 시스템에 접근하거나, 권한을 상승시키거나, 추가 데이터를 훔치거나 손상시키거나, 심지어 다크 웹에서 민감한 정보를 판매할 수도 있습니다.
수신자가 악성코드를 설치하면 공격자는 이를 이용해 키 입력을 가로채거나, 파일 접근을 차단하거나, 데이터를 유출하여 몸값을 요구할 수 있습니다.
위협 인텔리전스 강화스피어 피싱 vs. 피싱 vs. 웨일링
스피어 피싱, 피싱, 웨일링은 성공을 위해 유사한 사회공학적 기법을 사용하지만, 각 공격 유형 간에는 몇 가지 근본적인 차이가 있습니다.
피싱
스피어 피싱과 마찬가지로 피싱 공격은 대상이 사용자 이름과 비밀번호, 은행 계좌 정보, 신용카드 번호 또는 사회보장번호와 같은 민감한 정보를 누설하도록 속이는 것을 목표로 합니다. 이러한 공격은 대개 질보다 양을 우선시하며, 다른 유형의 사회공학적 공격보다 진입 장벽이 낮은 편입니다.
그러나 피싱 이메일의 메시지는 종종 매우 일반적입니다. 위협 행위자들은 사기에 걸려들 가능성이 있는 단 한 명의 수신자라도 확보하기 위해 무작위로 선정된 대규모 개인 또는 조직 집단에 피싱 이메일을 발송하는 경우가 많습니다.
스피어 피싱보다 수익성이 낮을 수 있지만, 모든 유형의 피싱 공격은 피해자에게 막대한 비용을 초래할 수 있습니다. 다른 유형의 피싱에는 스미싱, 비싱, 클론 피싱, 도메인 스푸핑, URL 피싱, 워터링홀 피싱, 이블 트윈 피싱 등이 포함됩니다.
웨일링(고래 사냥)
웨일링 공격은 스피어 피싱 공격보다 훨씬 더 구체적입니다. 이 공격은 고위 인사, 즉 일명 기업의 "큰 물고기"를 노립니다. 고래 사냥 공격은 최고 경영진, 이사회 구성원, 심지어 유명인 등 더 민감한 데이터에 접근할 수 있는 개인을 표적으로 삼습니다.
고래 사냥 공격은 고가치 피해자를 표적으로 삼기 때문에 종종 고가치 결과를 가져옵니다. 이 유형의 공격은 중간 단계를 효과적으로 생략합니다. 고래 사냥 공격의 표적은 종종 직접 송금할 수 있는 권한을 가지고 있기 때문입니다. 이는 공격자가 목표를 달성하기 위해 취할 수 있는 추가 단계를 제거하여 탐지 가능성을 낮춥니다.
고래 사냥 공격은 개별 표적에게 더 심각한 결과를 초래할 수도 있습니다. 많은 경우, 공격자에 의해 성공적으로 "포획된" 고래들은 부주의로 인해 해고되거나 사직을 강요당할 수 있습니다.
스피어 피싱 유형 및 사례
스피어 피싱 사례를 자세히 살펴보면 위협 행위자들이 일반적으로 위 단계를 어떻게 실행하는지 이해하는 데 도움이 될 수 있습니다.
가짜 요청
위협 행위자들은 정보나 자금을 직접 요청하는 이메일을 보낼 수 있습니다. 이러한 요청에는 링크나 첨부 파일도 포함될 수 있지만, 이 이메일의 목적은 수신자로부터 직접 민감한 정보를 얻어내는 것입니다.
예를 들어, 매사추세츠주 프랭클린 타운은 2020년 위협 행위자들이 직원을 설득해 보안 로그인 정보를 제공받음으로써 522,000달러를 실수로 잘못 송금한 사례가 있습니다.
가짜 웹사이트
위협 행위자들은 가짜 웹사이트로 연결되는 링크가 포함된 이메일을 보낼 수도 있습니다. 위조된 웹사이트는 신뢰할 수 있는 사이트의 레이아웃을 모방하여 대상이 계정 인증 정보나 금융 정보와 같은 기밀 정보를 누설하도록 속일 수 있습니다. 위협 행위자는 해당 정보를 사용하여 대상에게서 직접 자금을 탈취하거나, 대상의 인증 정보를 이용해 기업 네트워크나 시스템에 접근하거나, 다크 웹에서 해당 정보를 판매할 수 있습니다.
예를 들어, 페이팔(PayPal)이 도입된 이후로 사기성 이메일 메시지 사용자에게 누군가 자신의 PayPal 계정으로 물건을 구매했다는 경고를 보냅니다. 이러한 이메일의 링크를 클릭하면 수신자가 위조된 PayPal 웹사이트로 이동하게 되며, 위협 행위자가 입력된 로그인 정보를 훔칠 수 있습니다.
가짜 첨부 파일
악성코드 첨부 파일은 가짜 청구서나 배송 알림 형태로 자주 등장합니다. 공격자는 수신자에게 부정적인 결과를 피하기 위해 가능한 한 빨리 열도록 촉구할 수 있습니다. 수신자가 첨부 파일을 열면 악성코드가 대상 장치로 전달되어 네트워크 및 다른 장치로 확산될 수 있습니다.
예를 들어, 북한의 라자루스 그룹는 Crypto.com의 공개 채용 공고를 미끼로 삼아 macOS 악성코드를 유포하는 캠페인을 진행 중입니다.
스피어 피싱 공격을 식별하는 방법
스피어 피싱 공격을 방지하는 가장 좋은 방법은 링크를 클릭하거나 첨부 파일을 열기 전에 스피어 피싱 이메일을 식별하는 것입니다. 스피어 피싱 시도의 징후를 숙지하면 조직과 직원들이 성공적인 공격의 결과를 피하는 데 도움이 될 수 있습니다.
스피어 피싱 공격을 나타낼 수 있는 몇 가지 일반적인 위험 신호는 다음과 같습니다:
발신자
수신 이메일이 합법적인 발신자로부터 왔는지 확인하십시오. 발신자가 스피어 피싱 공격을 수행하고 있을 수 있는 일반적인 징후는 다음과 같습니다:
- 알 수 없는 이메일 주소 또는 발신자.
- 수신자 소속 조직 외부의 이메일 주소.
- 수신자가 일반적으로 소통하지 않는 조직 내 발신자의 이메일 주소입니다.
- 의심스러운 도메인의 이메일 주소입니다.
수신자
다음으로, 수신자 목록에 누가 더 있는지 확인하세요. 스피어 피싱 이메일의 지표는 다음과 같습니다:
- 알려지지 않은 다른 이메일 주소가 포함된 수신자 목록.
- 수신자 목록에 이상한 조합의 사람들이 포함된 경우 (예: 무작위 수신자 그룹 또는 성이 모두 같은 글자로 시작하는 수신자 그룹).
날짜 및 시간
발신자가 이메일을 보낸 시점을 확인하세요. 스피어 피싱 이메일의 징후는 다음과 같습니다:
- 이메일이 평소와 다른 날짜(예: 주말이나 공휴일)에 발송된 경우.
- 이메일이 평소와 다른 시간(즉, 일반 업무 시간 외)에 발송된 경우.
제목
이메일 제목은 수신자에게 해당 이메일이 가짜인지 여부에 대해 많은 정보를 알려줄 수 있습니다. 스피어 피싱 이메일에는 다음과 같은 내용이 포함될 수 있습니다:
- 비정상적으로 긴급한 제목.
- 이메일 내용과 무관하거나 일치하지 않는 제목.
- 보내지 않았거나 요청하지 않은 내용에 대한 답장.
하이퍼링크 및 첨부 파일
이메일 내 링크를 클릭하거나 첨부 파일을 다운로드하기 전에 스피어 피싱의 일반적인 징후를 확인하세요. 여기에는 다음이 포함됩니다:
- 마우스를 올려놓았을 때 다른 웹사이트의 링크 주소가 표시되는 하이퍼링크.
- 추가 설명 없이 긴 하이퍼링크.
- 첫눈에 띄지 않는 오타가 있는 하이퍼링크.
- 이메일 내용과 관련이 없거나 예상치 못한 이메일 첨부 파일.
- 위험할 수 있는 파일 유형의 첨부 파일.
- 추가 지침이 없는 첨부 파일.
내용
다른 모든 사항이 확인되면 이메일 내용을 자세히 살펴보세요. 스피어 피싱 이메일은 종종 정교하게 제작되며, 개인화되어 있기 때문에 내용만으로 식별하기 어려울 수 있습니다.
그러나 메시지 본문을 읽을 때 스피어 피싱 이메일의 다음과 같은 지표를 염두에 두십시오:
- 이메일에 비정상적인 긴급성이 느껴집니다.
- 이메일이 민감한 정보를 요구합니다.&
- 수신자에게 가치 있는 것을 얻거나 부정적인 결과를 피하기 위해 링크를 클릭하거나 첨부 파일을 열도록 요구합니다.
- 이메일에는 맞춤법이나 문법 오류가 있습니다.
- 이메일에는 요청하지 않은 링크나 첨부 파일이 포함되어 있습니다.
- 이메일은 수신자를 당황하게 하려고 합니다.
스피어 피싱 공격 방어 방법
조직이 사이버 보안 방어 체계를 강화하기 위해 활용할 수 있는 스피어 피싱 대응 팁을 소개합니다.
스피어 피싱의 징후 파악하기
피싱 공격을 예방하는 최선의 방법은 누군가 링크를 클릭하거나 첨부 파일을 다운로드하거나 기타 요청된 행동을 취하기 전에 피싱 이메일을 식별하는 것입니다.&
수신자가 이메일이 가짜이거나 사기 시도라고 직감한다면, 그 판단이 맞을 가능성이 높습니다. 먼저 발신자의 신뢰성을 확인하세요. 그런 다음 이메일 내 주장을 직접 출처에 확인해 보십시오. 다음으로 이메일 내용을 검토하며 스피어 피싱 징후(상단 섹션 참조)를 찾아보세요. 추가 확인 후에도 이메일이 가짜로 보인다면 관련 팀원에게 신고하십시오.
보안 인식 교육 제공
모든 이메일을 면밀히 검토하여 스피어 피싱 징후를 인식하는 것은 시간과 노력이 소요될 수 있습니다. 직원들에게 보안 인식 교육을 제공하면 피싱 이메일을 정기적으로 식별하고, 회피하며, 신고하는 데 필요한 기술을 개발하는 데 도움이 됩니다.
재택근무 직원이 증가함에 따라 이러한 프로그램은 매우 중요합니다. 그러나 가장 잘 훈련되고 보안 의식이 높은 직원조차도 급한 상황이나 설득력 있는 이메일에는 속을 수 있습니다. 피싱 시뮬레이션은 직원들이 보안 인식 교육에서 배운 내용을 연습하는 데 도움이 됩니다. 이 연습은 또한 조직이 직원들의 피싱 공격 이해도를 측정하여 교육 과정을 개선하는 데 기여할 것입니다.
정기적인 조사 수행
사전적 조사는 조직이 공격자들이 흔히 사용하는 내용(예: 비밀번호 변경을 언급하는 제목줄)을 포함한 의심스러운 이메일을 식별하는 데 도움이 될 수 있습니다. 기업은 정기적으로 패치를 적용하고, 원격 서비스, VPN, 다중 요소 인증 솔루션을 정기적으로 패치하고, 적절히 구성하며 통합할 수 있습니다.
조직은 수신된 이메일 메시지의 속성(첨부 파일 세부 정보 속성 포함)을 스캔하여 악성코드 관련 첨부 파일 유형을 탐지하고, 추가 악성코드 지표 분석을 위해 자동으로 전송할 수도 있습니다.
도움을 주는 보안 도구 구현하기
다행히도 스피어 피싱 이메일이 대상의 수신함에 도달하는 것을 막는 데 도움이 되는 도구들이 있습니다. 이메일 제공업체가 플랫폼에 일부 도구를 내장할 수 있지만, 보안 공백을 제거하기 위한 추가 보안 조치 없이는 일부 피싱 이메일이 직원에게 도달할 가능성이 여전히 있습니다.
예를 들어, 확장 탐지 및 대응(XDR) 플랫폼은 예를 들어 네트워크의 모든 계층을 능동적으로 모니터링하여 악성 코드가 피해를 입히기 전에 차단할 수 있습니다.
SentinelOne으로 스피어 피싱 공격 방지하기
SentinelOne의 Singularity XDR 플랫폼은 스피어 피싱 공격을 포함한 보안 사고를 발생 전에 탐지하고, 보호하며, 해결할 수 있도록 지원합니다.
Singularity XDR을 통해 조직은 사각지대를 제거하여 보안 팀이 모든 플랫폼의 서로 다른 보안 솔루션에서 수집된 데이터를 단일 대시보드에서 확인할 수 있습니다.
SentinelOne의 행동 기반 엔진은 환경 전반의 모든 시스템 활동을 추적하여 악의적인 행동을 나타내는 기법과 전술을 탐지하고, 관련 활동을 자동으로 연관시켜 통합된 경보로 제공합니다.&
확장된 위협 탐지, 조사, 대응 및 헌팅을 위한 단일 통합 플랫폼인 Singularity XDR은 다음을 제공합니다:
- 여러 소스의 데이터를 수집하고 표준화하여 우선순위가 지정된 단일 경보 소스
- 보안 계층 전반에 걸친 공격 진행 상황을 신속하게 파악할 수 있는 통합된 단일 뷰.
- 위협에 신속하게 대응하고 선제적으로 사냥할 수 있는 단일 플랫폼.&
SentinelOne이 세계적인 선도 기업들을 스피어 피싱 공격으로부터 어떻게 보호하는지 알아보고, 오늘 바로 데모 신청하기하세요.
"스피어 피싱 FAQ
스피어 피싱은 특정 개인이나 그룹을 대상으로 민감한 데이터를 훔치거나 악성코드를 설치하기 위한 표적 이메일 사기입니다. 공격자는 공개 프로필이나 회사 사이트를 활용해 피해자를 조사한 후 신뢰할 수 있는 출처에서 온 것처럼 보이는 메시지를 작성합니다. 이러한 이메일은 신뢰를 구축하기 위해 실제 프로젝트나 연락처를 언급하는 경우가 많습니다. 피해자가 링크를 클릭하거나 첨부 파일을 열면 인증 정보나 시스템 접근 권한이 유출될 수 있습니다.
"공격자는 소셜 미디어나 회사 웹사이트의 세부 정보를 활용하여 이메일을 개인화하여 메시지가 친숙하게 느껴지도록 만듭니다. 가짜 계정 잠금과 같은 긴급하거나 위협적인 언어를 사용하여 신속한 조치를 유도하고, 동료의 발신자 주소를 위장하며, 정상적으로 보이는 텍스트 뒤에 숨겨진 악성 첨부 파일이나 링크를 포함합니다.
비정상적인 비밀번호 요청이나 자금 이체 요청이 흔합니다. 일부는 사기를 강화하기 위해 전화나 문자 메시지를 사용하기도 합니다.
"2015년, Ubiquiti Networks는 임원들을 사칭한 가짜 송금 이메일을 직원들이 따르면서 4천만 달러 이상을 잃었습니다. "HeartSender" 그룹은 2020년부터 2025년까지 피싱 키트를 사용하여 재무팀을 대상으로 맞춤형 BEC 사기를 통해 미국 피해자들로부터 약 300만 달러를 훔쳤습니다.
2024년에는 이란 APT35가 미국 대선 캠페인 관계자에게 악성 링크가 포함된 고위급 대상 피싱 이메일을 발송하여 합법적인 캠페인 커뮤니케이션으로 위장한 정보 수집을 시도했습니다.
"발신자 주소의 사소한 오타나 실제 이메일과 일치하지 않는 표시 이름을 주의하세요. 보안 침해와 같이 즉각적인 조치를 촉구하는 긴급하거나 경고를 주는 제목은 위험 신호입니다. 예상치 못한 첨부 파일이나 링크가 포함되어 있으며, 특히 URL이 주장하는 도메인과 일치하지 않을 때 자격 증명 입력을 요구하는 경우. 정상적인 업무 범위를 벗어난 민감한 데이터 요청 역시 스피어 피싱 시도일 수 있습니다.
"링크를 클릭하거나 첨부 파일을 열기 전에 URL 위에 마우스를 올려 발신자 도메인과 일치하는지 확인하세요. 이메일이 자격 증명이나 결제를 요구할 경우, 메시지에 기재된 번호가 아닌 알려진 번호로 발신자에게 전화하여 확인하세요. 이메일 헤더에서 회신 주소 불일치를 확인하고, 확실하지 않은 경우 IT 부서에 문의하세요. 의심스러운 경우 메시지를 삭제하거나 피싱으로 신고하세요.
"비싱은 전화 통화나 음성 사서함을 통해 은행, 기술 지원팀, 회사 임원 등 신뢰받는 기관/인물을 사칭하여 개인 정보나 결제를 유도합니다. 발신자는 종종 긴급함을 조성("지금 조치하지 않으면 계정이 정지됩니다")하고 발신자 표시를 위조하여 신뢰성을 가장합니다. 피싱 이메일을 보낸 후 피해자에게 전화로 연락해 인증 정보를 입력하도록 요구하기도 합니다. 절대 원치 않는 전화로 민감한 정보를 공유하지 마시고, 공식 채널을 통해 신원을 확인하십시오.
"