세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

보안 위협

피싱

포스팅 뷰275

피싱의 정의

피싱(Phishing)은 Private data와 fishing의 합성어로서, 상대방을 속여서 중요 정보를 획득하려는 사회공학적 공격 방법이다.


이용 수단에 따라 피싱 메일(이메일), 피싱 사이트(웹사이트), 메신저 피싱(메신저), 보이스 피싱(전화), 스미싱(문자메시지)이 있다. 무차별한 스팸 메일을 통해 피싱이 이뤄지기도 하고, 코로나19와 같이 특정 시기에 다들 관심있을 만한 주제로 위장한 메일을 보내기도 한다.


피싱의 종류

  • 표적 피싱(Spear phishing): 특정한 대상을 표적으로 하여, 그 표적이 속을 수 있도록 발신자, 내용, 형식 등을 정교하게 꾸민 메일, 메시지 등을 보내는 공격 방법
    • 표적을 정하면 표적이 된 사람이 평소에 의심없이 메일을 열어보고 첨부한 위장 악성코드 파일을 실행할 수 있는 관계에 있는 사람의 메일 계정을 확보한 뒤 그 계정으로 정교하게 꾸민 메일을 보내므로 수신자가 속지 않기가 쉽지 않다. 표적이 된 사람이 관심 있어 하는 주제와 필요한 문서로 위장한 악성코드를 첨부하여 보내기도 한다. 지능형 표적(APT) 공격 중 상당수가 표적 피싱이 시발점이다. 악성 행위자가 표적 피싱을 통해 회사 내부로 침투하여 거점을 확보하는 경우가 많으므로 회사에서는 특히 이에 유의하여야 한다.


  • 피싱 사이트: 원본 사이트와 웹 주소(URL)도 비슷하고 페이지 모양도 비슷한 위조 사이트를 만들어 여기에 접속한 사용자가 속아서 비밀번호, 은행 보안카드 정보 등을 입력하도록 유도하는 것
    • 예를 들어 A은행의 사이트가 abc.co.kr이라고 하면 abcc.co.kr에 abc.co.kr과 겉모양이 거의 같은 웹 사이트를 만드는 것이다. 사용자가 URL을 실수로 입력해서 접속했다가 속을 수 있다.

정부나 언론에서는 일반 국민, 특히 피싱의 주요 피해 대상인 50대 이상의 국민이 이해하기 쉽도록 피싱이란 용어 대신 전화 금융 사기, 메신저 사기, 이메일 사기, 문자 사기 등 대중이 알기 쉬운 용어를 쓰는 것이 바람직하다.


피싱 피해 사례

제품을 수출하는 상황에서 판매자가 구매자에게 입금 계좌를 이메일로 전달했는데, 악성 행위자가 판매자의 이메일 계정을 해킹한 뒤 구매자에게 입금 계좌가 변경되었다고 하면서 악성 행위자의 계좌를 보냈고, 여기에 속은 구매자가 악성 행위자의 계좌로 입금한 사건이다. 이 범행에는 이메일 해킹과 표적 피싱이 활용됐다.


피싱 대응 방안

  • 피싱은 피싱 메일을 통해 많이 이뤄지므로, 회사에서는 피싱 메일 훈련을 통해 임직원의 경각심을 높이고, 본문에 포함된 링크나 첨부 파일을 클릭하지 않도록 한다. 또한 임직원이 피싱 메일을 발견하면 담당 팀에 신속하게 신고하고, 담당 팀이 후속조치를 취하는 것까지 훈련하는 것이 바람직하다.
  • 피싱 메일에는 보통 악성코드가 첨부되어 이를 클릭한 사용자 PC에 악성코드가 설치된다. 메일에 실행 파일이 첨부 되어 있는 경우는 내가 요청해서 받은 것이 아니라면 아무리 신뢰하는 사람이 보냈다 하더라도 첨부 파일을 클릭하지 말아야 한다.
  • 회사에서는 이메일 보안 솔루션을 도입하면 악성코드가 첨부된 대부분의 메일을 차단할 수 있다. 피싱 메일을 통해 악성코드가 많이 설치되므로 안티바이러스를 설치하고 설정 3종 세트를 반드시 설정한다. (보안백과사전 '악성코드' 참조)
  • 의심스러운 메일이라도 반드시 확인을 해야 한다면, PC보다는 악성 프로그램이 상대적으로 적은 스마트폰을 사용하는 것이 좋다. 하지만, 스마트폰을 사용하더라도 메일 본문에 있는 링크나 첨부 파일은 클릭하지 말아야 한다.