사용자 인증 정보는 데이터의 금광과 같습니다. 위협 행위자라면 누구나 이를 악용할 수 있습니다. 구글은 매일 약 1억 통의 이메일을 수신하며, 이 중 48% 이상이 스팸 메시지입니다. 이 이메일의 5분의 1 이상이 러시아에서 발송됩니다. 밀레니얼 세대와 Z세대 인터넷 사용자들은 2024년 다양한 피싱 사기의 결과를 겪고 있습니다. 피싱 공격의 대부분은 이메일을 통해 이루어지지만, 일부는 악성 웹사이트 형태로 발생합니다.
인터넷 사용자 100명당 매일 16.5건의 이메일이 유출되며, 해킹된 데이터베이스가 다크 웹에서 거래되는 사례도 있습니다. 사이버 범죄자들은 이러한 데이터베이스를 판매하거나 온라인 경매에 부치거나, 더 정교한 피싱 사기를 실행하기 위해 추가 정보를 수집하는 데 사용할 수 있습니다. 기업들은 특히 금융, 법률, 전자상거래 등 규제가 엄격한 산업 분야에서 사이버 보안을 심각하게 받아들여야 합니다.2024년 기준 가장 흔한 도메인 이름은 .com, .org, .top, .net, .eu입니다. 단일 데이터 유출 사고로 조직은 1천만 건 이상의 기록을 잃을 수 있으며, 이는 무려 488만 달러 이상의 재정적 손실로 이어집니다! 피싱은 대중을 대상으로 하지만, 스피어 피싱은 피해자를 프로파일링하여 선별적으로 공격합니다.
이러한 위협을 인지하지 못하면 방어할 수 없습니다. 그 작동 방식을 이해해야 합니다.
본 가이드에서는 스피어 피싱과 일반 피싱의 차이점을 논의하고, 그 위험성, 예방 전략, 사례 등을 집중 조명합니다.
피싱이란 무엇인가?
&피싱은 본질적으로 일반적인 이메일 기반의 고전적인 공격 방식입니다. 피싱이 어떻게 작동하는지 설명하는 가장 좋은 방법은 모든 사람에게 발송된 이메일이라고 생각하는 것입니다. 이 이메일은 특정 개인을 대상으로 하지 않고 조직의 모든 구성원을 대상으로 합니다.
예를 들어, 한 회사가 이번 주에 행사를 개최할 예정이라고 가정해 보십시오. 모든 팀원들은 공지 이메일을 기다립니다. 장소, 날짜, 시간 등 세부 정보를 확인하기 위해서죠. 공격자는 회사를 사칭하여 가짜 도메인으로 이메일을 발송해 모든 사람을 오도할 수 있습니다. 참석 확인을 위해 이메일 내 링크를 클릭하도록 유도할 수 있습니다. 아무도 의심하지 않을 것입니다.
전형적인 피싱 이메일에는 악성 첨부 파일, 가짜 로그인 페이지, 웹 양식 등이 포함될 수 있습니다. 일부 이메일은 긴급함을 강조하며 즉각적인 응답을 요구하고, 다른 이메일은 사용자에게 민감한 정보를 신속히 공유하도록 유도합니다.
스피어 피싱이란 무엇인가?
스피어 피싱은 매우 구체적이며, 공격자는 피해자에 대한 많은 세부 정보를 알고 있습니다. 스피어 피싱은 조직의 일반 구성원을 대상으로 하지 않습니다. 공격자는 수개월에 걸쳐 피해자를 프로파일링하고 연구합니다. 그들은 고도로 개인화된 이메일을 작성하고, 이메일 내에서 제시하는 사실들을 교차 검증할 수 있는 세부 사항을 포함시킵니다. 따라서 피해자는 이메일이 진정성 있는 출처에서 왔다고 확신하게 되어 결국 이메일에 반응하게 됩니다.
스피어 피싱이 왜 그렇게 무서운가요? 이는 일반적인 인간 특성, 예를 들어 도움을 주고자 하는 의지 등을 악용할 수 있습니다; 스피어 피싱 이메일은 긍정적인 어조로 작성되거나 수신자에게 어떤 식으로든 이익이 되는 행동을 유도할 수 있습니다. 수신자의 호기심을 자극해 추가 자료를 탐색하게 만들기도 합니다. 공격 방식은 교묘하며, 수신자는 여러 단계의 정교한 과정을 거쳐 유도됩니다. 스피어 피싱의 주요 목표는 공격자가 외부인으로서의 신원을 확신시킨 후 피해자로부터 민감한 정보를 공유하도록 하는 것입니다. 따라서 스피어 피싱은 평범한 이메일이 아닙니다.갑자기 식별할 수 없습니다. 이 이메일들은 매우 정교하게 제작되어, 이를 예상하기 어렵습니다.
피싱과 스피어 피싱의 위험성 비교
피싱과 스피어 피싱의 위험성은 다음과 같습니다:
피싱 위험성
피싱 공격으로 조직이 노출되는 위험은 다음과 같습니다:
- 사기꾼이 신용카드 정보를 탈취하여 POS 단말기에서 결제할 수 있음
- 본사 정식 이메일이 공격자의 수신함에 도달할 수 있음
- 조직의 이름이 금융 사기 사건에 연루될 수 있음
- 공격자는 사회 보장 번호를 탈취하여 이를 이용해 사기 계좌를 개설할 수 있습니다. 또한 은행, 정부, 의료 서비스에 대한 무단 접근 권한을 획득할 수도 있습니다.
- 피싱 이메일은 수신자에게 랜섬웨어를 전달할 수 있습니다. 수신자가 첨부 파일을 열고 설치하면 랜섬웨어 공격의 피해자가 됩니다.
- 피싱 캠페인을 실행하는 개인은 시스템에서 피해자의 활동을 모니터링하기 위해 스파이웨어나 키로거를 삽입할 수 있습니다. 이들은 시간이 지남에 따라 추가 데이터를 훔칠 수 있으며, 기업의 평판이나 고객 신뢰를 훼손하는 피해를 초래할 수 있습니다.
스피어 피싱의 위험성
스피어 피싱 공격은 정교하게 제작되었으며, 기존 피싱 공격보다 한 단계 더 세밀한 세부 사항을 갖추고 있습니다. 공격자는 사전에 철저한 준비를 거쳐 피해자를 속이는 방법을 정확히 알고 있습니다. 다음은 일반적인 위험 요소입니다.
- 스피어 피싱 이메일은 회사 직원만을 대상으로 하지 않습니다. 친구, 동료, 직장 동료까지 노릴 수 있습니다. 이러한 이메일은 신뢰할 수 있는 출처에서 온 것처럼 보이기 때문에 피해자는 전혀 의심하지 않습니다.
- 스피어 피싱 이메일은 민감한 데이터를 공개하도록 유인책을 제시할 수 있습니다. 비밀번호, 은행 계좌 정보, 신용카드 번호 및 기타 금융 데이터를 요구합니다. 이러한 이메일에는 공포를 조장하는 내용도 포함될 수 있습니다. 예를 들어, 전형적인 스피어 피싱 이메일은 해당 정보를 공유하고 즉시 잠금을 해제하지 않으면 계정에서 잠겨 버린다고 경고할 수 있습니다. 또한 비즈니스 운영에 차질이 생기고, 장기간의 다운타임을 경험하며, 운영 중단에 직면할 수도 있습니다. 평균적인 스피어 피싱 공격은 중요한 데이터를 잠그거나, 파일을 손상시키거나, 심지어 하드웨어를 파괴할 수도 있습니다.
- 스피어 피싱 공격을 당하면 고객과 동료들이 귀사의 보안 관행을 의심할 수 있습니다. 이는 일반적이지 않고 예측 불가능하며 고도로 개인화된 공격이기 때문입니다. 이로 인한 기업 평판 손상은 극심하며, 매출 성장과 향후 비즈니스 기회에 직접적인 영향을 미칠 수 있습니다. 고객의 신뢰를 한 번 잃으면, 그 신뢰를 회복하는 데 수년 또는 수십 년이 걸릴 수도 있습니다.
- 스피어 피싱이 무서운 이유는 공격자가 당신에 대해 철저히 조사하기 때문입니다. 공격자는 피해자의 직책, 직장 내 관계, 취미, 기타 생활 습관 등에 대한 정보를 활용할 수 있습니다. 피해자는 발신자가 공격자임을 간파하지 못하는 경우가 많습니다. 결국 피해자는 스피어 피싱 사기에 걸려들게 되며, 이는 결국 본격적인 금융 사기나 기업 스파이 활동으로 이어질 수 있습니다.
- 스피어 피싱 공격은 기업이 규정 준수를 위반하게 하여 규정 미준수 혐의에 직면하게 할 수 있습니다. 또한 민감한 소비자 데이터를 적절히 처리하지 못해 법적 문제에 직면할 수 있으며, 이로 인해 벌금 및 고액의 소송이 발생할 수 있습니다.
위협 인텔리전스 강화스피어 피싱 vs 피싱: 예시
스피어 피싱은 일반적으로 비즈니스 이메일 침해(BEC) 공격 형태로 나타납니다. 가장 예상치 못한 곳에서 발생합니다. 공격자는 알려진 공급업체, 개인 또는 신뢰받는 조직 구성원인 척합니다. 피싱은 더 일반적이며 집단이나 대량으로 발송됩니다. 다음 스피어 피싱 및 피싱 이메일 사례를 확인해 보세요:
피싱 전술 1: 대량 공격
은행에서 보낸 것처럼 보이는 이메일을 받게 됩니다. 계정에 문제가 발생했으니 "신원 확인"을 해야 한다고 안내합니다. 이메일에는 은행 로그인 페이지처럼 보이는 사이트 링크가 포함되어 있지만, 실제로는 로그인 정보를 탈취하기 위해 설계된 가짜 사이트입니다.
작동 방식:
- 이메일은 수천 명에게 동시에 발송됩니다.
- 메시지는 개인 정보가 포함되지 않은 일반적인 내용입니다.
- 공격자는 대량 발송에 의존하며 누군가 속아 넘어가길 기대합니다.
- 당신이나 당신의 직업에 대한 구체적인 정보는 사용되지 않습니다—단순한 일반적인 사기 수법입니다.
스피어 피싱 전술 1: 임원 대상 표적 공격
귀하는 유명 사이버 보안 회사의 최고재무책임자(CFO)입니다. 공격자는 귀사 웹사이트에 접근할 수 있으며 귀하의 LinkedIn 프로필을 검토했습니다. 어느 날, 귀하는 중요한 사이버 보안 보고서를 검토해 달라는 이메일을 받습니다. 이메일에는 클릭 시 악성코드로 기기를 감염시키는 링크가 포함되어 있습니다.
작동 방식:
- 공격자는 귀하와 귀하의 회사를 조사했습니다.
- 이메일은 특정 역할, 이름, 회사 세부 정보를 언급하는 등 매우 개인화되어 있습니다.
- 이 메시지는 귀사의 CEO로부터 온 것처럼 보이기 때문에 진정성 있게 느껴집니다.
- 합법적으로 보이기 때문에 의심할 가능성이 낮아져 성공 확률이 높아집니다.
피싱 수법 2: 가짜 구독 서비스:
유명 온라인 스트리밍 서비스에서 보낸 것처럼 보이는 이메일을 받습니다. 결제 문제로 인해 구독이 중단되었다고 합니다. 접속을 복구하려면 첨부된 링크를 통해 결제 정보를 업데이트하라는 지시를 받습니다.
작동 방식:
- 일반적인 이메일 템플릿을 사용하여 광범위한 대상에게 이메일이 발송됩니다.
- URL은 의심스럽지만 "계정"이나 "업데이트"와 같은 흔한 단어가 포함되어 있습니다.</li>
- 이는 누군가가 생각 없이 클릭하기를 바라는, 빠르고 수고가 적은 공격 방식입니다.
스피어 피싱 전술 2: 공급업체 결제 사기
이 스피어 피싱 시도는 기업의 CFO를 표적으로 합니다. 공격자는 제3자 공급업체와의 진행 중인 비즈니스 관계에 대한 정보를 입수했는데, 이는 온라인에서 공개적으로 확인할 수 있는 정보입니다. 공급업체 재무부서를 사칭한 이메일이 새로운 계좌번호로 긴급 송금을 요청합니다.
작동 방식:
- 이메일에는 송장 번호나 이전 결제 내역 등 공급업체별 세부 정보가 포함되어 개인화됩니다. 공격자는 공개 데이터를 활용해 요청이 합법적으로 보이도록 위장합니다.
- CFO는 일상적인 절차라고 생각하며 결제를 승인하게 되고, 자금은 공격자가 통제하는 계좌로 이체되어 재정적 손실을 초래합니다.
피싱 수법 3: 가짜 채용 공고
피싱 이메일이 수신함에 도착하여 훌륭한 신규 취업 기회를 약속합니다. 지원 절차를 진행하기 위해 개인 정보와 이력서 사본을 요청합니다. 제출된 데이터는 다른 계정에 접근하거나 신원 도용을 저지르는 데 사용됩니다.
작동 방식:
- 이메일은 다수의 사람들에게 발송됩니다. 가짜 회사 로고나 평판이 좋은 이름을 사용하여 구직자의 관심을 끌도록 설계되었습니다.
- 수신자에 대한 실제 조사는 이루어지지 않았습니다. 단지 대량 공격일 뿐입니다.
스피어 피싱 전술 4: 내부자 위협 시뮬레이션
공격자는 내부 직원인 척하며 금융 기관의 IT 관리자에게 이메일을 보냅니다. 이 이메일은 긴급한 비밀번호 재설정에 대해 언급하며 회사 내부 시스템 접근 권한을 요청합니다. IT 시스템 링크와 직원 정보를 포함한 표준 내부 절차를 모방하여 합법적으로 보입니다./p>
작동 방식:
- 내부 회사 업무 흐름을 분석하여 IT 관리자를 명시적으로 표적으로 삼습니다.
- 내부 회사 언어를 사용하여 제작되어 신뢰할 수 있는 출처에서 온 것처럼 보이게 합니다.
피싱 전술 4: 무료 소프트웨어 다운로드
사용 중인 인기 도구의 최신 버전으로 "무료 업그레이드"를 제공한다는 소프트웨어 회사로부터의 이메일이라고 주장하는 이메일을 받습니다. 다운로드 링크가 포함되어 있습니다. 클릭하면 자동으로 활성화되는 악성 코드가 포함되어 있습니다.
작동 방식:
- 이는 한 번에 다수의 사용자에게 발송되는 단순한 자동화 공격입니다.
- 제안이 지나치게 매력적으로 보여 클릭할 가능성이 높아집니다.
- 개인화된 정보는 사용되지 않습니다.
스피어 피싱 전술 4: 클라우드 계정 탈취
공격자는 클라우드 제공업체 지원팀을 사칭하여 기업의 클라우드 관리자에게 이메일을 보냅니다. 이 이메일은 해당 기업이 최근 겪고 있는 클라우드 서비스 문제를 언급하며, 사용자 인증 정보의 즉각적인 확인을 요청합니다. 클라우드 시스템 관리자로서 이메일을 클릭하고 응답할 가능성이 높습니다. 이메일에서 언급된 문제가 현재 직면한 상황과 일치하기 때문에 의심하지 않을 것입니다.
해킹 당하는 과정:
- 이메일은 클라우드 환경과 공급자에 대한 정확한 세부 정보를 사용합니다.
- 인증 정보 요청은 긴급하게 느껴지며, 관리자가 망설임 없이 신속하게 행동하도록 유도합니다.
- 이메일은 회사의 중요한 클라우드 리소스와 민감한 데이터에 대한 접근 권한을 탈취하고 획득합니다.
피싱과 스피어 피싱: 한눈에 보기
스피어 피싱과 피싱은 정보를 훔치기 위해 피해자에게 접근하는 방식이 다릅니다. 다음은 두 기법의 유사점과 차이점을 한눈에 볼 수 있는 정보입니다.
1. 대상
피싱 이메일은 회사 전체를 대상으로 합니다. 세부적이거나 표적화되지 않습니다. 스피어 피싱은 더 세부적이며 피해자에 대한 깊은 이해가 필요합니다. 피싱은 모든 사람을 대상으로 합니다. 반면 스피어 피싱은 특정 개인으로 제한됩니다.
2. 내용과 노력
피싱 이메일은 적은 노력으로 작성되며 문법 오류가 있을 수 있습니다. 철자 오류나 누락된 구두점이 있을 수 있으며, 정보가 제대로 정리되지 않았다는 뚜렷한 흔적을 발견할 수 있습니다. 이러한 이메일은 쉽게 알아볼 수 있습니다.
그러나 스피어 피싱은 다릅니다. 스피어 피싱 이메일을 만드는 데는 피해자 프로파일링에 몇 주 또는 몇 달이 걸립니다. 일반적인 정보만으로는 충분하지 않습니다. 더 많은 노력이 필요하며, 그래서 철저한 조사가 이루어집니다. 공격자는 이메일을 작성하기 전에 피해자에 대해 매우 잘 알고 있을 것입니다.
3. 사회공학적 기법
공격자가 스피어 피싱과 일반 피싱 공격에서 당신을 프로파일링하는 방식도 다릅니다. 일반 피싱 이메일의 경우 회사에 대한 일반적인 정보를 수집합니다. 하지만 스피어 피싱에서는 당신에 관한 모든 것을 알아내려 할 것입니다.
피싱 이메일의 제목도 "귀하의 계정이 정지되었습니다", "곧 서비스를 종료합니다", "축하합니다! 여기를 클릭하여 상품을 받으세요!"와 같습니다. 그들은 공포, 긴급함 또는 탐욕을 불러일으켜 수신자의 감정적 반응이나 행동을 유도하기를 바랍니다. 스피어 피싱에서는 공격자가 당신의 경계를 늦추고 편안하거나 자신감을 느끼게 하려고 합니다. 그들은 서서히 당신의 신뢰를 얻고, 단계적으로 충분한 정보를 수집한 후 결국 당신의 시스템을 침해합니다.
스피어 피싱 대 피싱: 주요 차이점
피싱과 스피어 피싱의 핵심 차이점은 다음과 같습니다.
| 특징 | 스피어 피싱 | 피싱 |
|---|---|---|
| 목표 | 민감한 정보에 대한 무단 접근을 얻기 위함이며, 주로 금전적 또는 정치적 이득을 목적으로 함. | 인증 정보, 개인 데이터 도용 또는 악성코드 설치. |
| 피해자 | 경영진이나 특정 부서처럼 고도로 표적화된 개인 또는 집단. | 무작위 개인 또는 광범위하고 일반화된 대상. |
| 공격 기법 | 공격자는 검증된 출처에서 온 것처럼 보이는 이메일이나 메시지를 개인화합니다. 공격자는 검증된 계정을 탈취하여 이러한 위협을 실행할 수 있습니다.& | 광범위한 대상에게 발송되는 일반적인 이메일이나 메시지로, 종종 긴급한 조치를 요구합니다. 일반적으로 스팸 수신함에 도착합니다. |
| 일반적인 전략 | 개인 동료 사칭 또는 최근 내부 커뮤니케이션 악용에는 소셜 미디어 데이터 및 기타 출처의 정보가 활용될 수 있습니다. | 유명 기업이나 기관을 모방한 가짜 웹사이트나 이메일을 대량 배포합니다. 가짜 계정 인증, 무료 상품, 복권 등 흔히 사용되는 수법을 활용합니다. |
결론
스피어 피싱 및 피싱에 맞서 싸우는 최선의 방법은 그 세부 수준을 인지하는 것입니다. 어떤 메시지도 당연하게 여기지 말고, 클릭하거나 상호작용하기 전에 내용을 꼼꼼히 살펴보세요. 직원과 팀원들에게 이러한 위협에 대한 경각심을 갖도록 교육하십시오. 정기적으로 피싱 및 스피어 피싱 테스트를 실시하여 평가할 수 있습니다.
"FAQs
피싱 공격은 피해자가 개인 정보를 공유하도록 유도하거나 악성 콘텐츠를 다운로드하게 하는 것을 목표로 합니다.
"다단계 인증을 활성화하고, 의심스러운 링크를 클릭하지 않으며, 항상 경계하십시오. 또한 자신과 팀원들이 일반적인 피싱 징후를 인식할 수 있도록 훈련하십시오.
"스피어 피싱 이메일은 일반적으로 수신자를 개인적으로 호칭하며, 직무나 직장 같은 세부 정보를 언급할 수 있습니다.
"링크를 클릭하지 마십시오. 해당 이메일을 IT 팀에 신고하거나 사용 가능한 도구를 통해 피싱으로 표시하십시오.
"