마이크로소프트를 도용한 피싱 공격
43
%
자료 제목 :
쓰렛랩즈 2024 피싱 보고서
ThreatLabz 2024 Phishing Report
자료 출처 :
Zscaler
원본자료 다운로드
발행 날짜 :
2024년 05월 27일
보안

"딥페이크, QR코드, 캘린더까지 악용한다" 피싱의 9가지 유형과 특징

Joel Lee | PCWorld 2024.07.11
피싱은 사이버 범죄자가 사용자 계정에 침입해 데이터를 훔치고 랜섬웨어 같은 악성 소프트웨어에 감염시키는 데 가장 많이 사용하는 기법이다. 지스케일러 쓰렛랩즈(ThreatLabz)의 2024 피싱 보고서(2024 Phishing Report)에 따르면, 2023년에는 전 세계적으로 피싱 공격이 2022년보다 58.2% 더 많이 발생했다. 이는 피싱이 여전히 성행할 뿐 아니라 계속 성장하고 진화하고 있음을 의미한다. 
 
ⓒ Getty Images Bank

피싱은 사이버 범죄자가 사용자를 속여 로그인 정보, 신용 카드 정보와 같은 민감 데이터를 제공하도록 하거나 컴퓨터에 맬웨어를 설치하도록 유도하는 소셜엔지니어링(Social Engineering) 공격의 일종이다. 사이버 범죄자는 미끼로 사용자를 유인하고 사용자가 미끼를 물기를 바란다. 피싱(Phishing)은 미끼임을 인지하지 못하는 사람을 ‘낚아(fishing)’ ‘개인 정보(private data)’를 탈취한다는 의미의 합성어다. 

피싱 사기에는 여러 유형이 있다. 미끼와 낚시 바늘, ‘낚는’ 대상은 공격자마다 다를 수 있지만, 목적은 개인 정보를 탈취한다는 점에서 동일하다. 여기서는 다양한 피싱 사기 유형과 피싱에 당하지 않기 위해 주의해야 할 사항을 정리했다. 


이메일 피싱

이메일 피싱(Email Phishing)은 누군가가 공식 이메일과 매우 흡사한 가짜 이메일을 보내 메일에 포함된 링크나 버튼을 클릭하도록 속이는 수법이다. 일반적으로 가짜 이메일은 아마존, 구글, 링크드인, 페이팔처럼 사용자가 자주 사용하는 제품이나 서비스를 제공하는 유명 기업을 도용한다. 가장 흔하게 도용되는 기업은 마이크로소프트다. 가짜 이메일은 계정이 잠겼다거나 수천 달러가 청구됐다며 신속한 조치를 유도한다. 겁을 먹은 사용자는 아무런 의심 없이 이메일 속 링크를 눌러 피해를 당할 가능성이 높다. 


스피어 피싱

스피어 피싱(Spear Phising)은 특정 개인을 표적으로 삼는 이메일 피싱의 한 종류다. 공격 대상이 합법적인 이메일이라도 믿게 하기 위해 개인 정보를 내용에 포함한다. 예를 들어 스피어 피싱 공격자는 회사의 IT 부서 소속이라고 주장하며 로그인 정보를 확인하도록 요청하거나, 가짜 인보이스를 보내 대금 지불을 유도할 수도 있다. 회사 상사 행세를 하며 민감 정보를 요구하는 경우도 있다. 이메일에 회사 상사나 이전에 함께 일했던 고객 등 친숙한 정보를 포함함으로써 경계심을 낮추고, 메시지를 신뢰할 수 있도록 속인다. 


웨일링

웨일링(Whaling)은 유명 인사를 표적으로 삼아 거액의 금전을 갈취하는 특수한 유형의 스피어 피싱이다. 공격 대상은 특정 데이터베이스에 액세스할 권한이 있거나 거액의 자금을 이동할 수 있는 고위 임원, CFO, CEO가 대표적이다. 웨일링은 일반 피싱 공격보다 더 정교해야 하지만, 그 결과는 영업 비밀 도용, 수백만 달러의 재정적 손실, 심지어 보안 시스템 및 네트워크 액세스 접근 등 막대한 피해를 가져올 수 있다. 


캘린더 피싱

원치 않는 구글 캘린더 또는 아웃룩 이벤트에 초대받은 적이 있는가? 그렇다면 캘린더 피싱(Calendar Phishing)을 당한 것이다. 캘린더 피싱은 온라인 캘린더 초대를 이용해 사용자가 해당 초대 안에 포함된 악성 링크를 클릭하도록 속이는 기법이다. 이메일 피싱보다는 일반적이지 않지만, 캘린더 초대는 의심할 가능성이 낮기 때문에 위험하다. 캘린더에 초대를 자동으로 추가하는 캘린더 앱을 사용하는 경우 특히 위험하다. 원치 않는 캘린더 초대장 안의 링크를 클릭하지 말고, 자동 추가 기능은 비활성화하는 것이 좋다. 


큐싱(QR 코드 피싱)

길거리에서 QR 코드를 보면 어떤 반응을 보이는가? 스캔해서 어디로 연결되는지 확인하고 싶은 마음이 드는가? 미끼일 수 있으니 다시 생각하기를 바란다. QR 코드 피싱이라고 알려진 큐싱(Quishing)은 이런 사용자의 강박을 악용한 피싱의 한 종류다. QR 코드를 스캔하는 것은 기본적으로 링크를 클릭하는 것과 마찬가지로 위험하다. 

악성 QR 코드는 어디에나 있을 수 있다. 예를 들어, 주차 미터기에 부착된 QR 코드가 결제 정보 입력을 유도하는 사기 사이트로 연결될 수 있다. 무해해 보이는 QR 코드가 포함된 전단지를 우편으로 받았는데, 바이러스 사이트로 연결될 수도 있다. QR 코드는 일반 피싱 이메일에도 링크 대신 표시될 수 있는데 ‘마우스를 가져가서’ 어디로 연결되는지 확인할 수 없다는 단점이 있다. 이런 이유에서 큐싱은 해커 사이에서 점점 더 인기를 얻고 있다. 


스미싱(SMS 피싱)

피싱 시도 대부분은 이메일을 통해 발생하지만, 스미싱(Smishing) 혹은 SMS 피싱은 문자 메시지를 통해 발생한다. 스미싱 시도는 일반적으로 은행, 정부 기관, 유명 소매업체 등 신뢰할 수 있는 출처를 도용해 문자 메시지 속 링크를 클릭하도록 유도한다. 

가장 대표적인 스미싱 메시지는 USPS와 같은 택배 회사를 도용해 배송 관련 문제를 해결하기 위해 링크 클릭을 유도한다. 혹은 무료 제품 제공을 약속하거나 개인적인 문의를 하거나, 지금 당장 조치를 취하지 않으면 계정이 폐쇄된다는 경고가 포함된 문자도 대표적인 스미싱 시나리오다. 스미싱 미끼에 넘어가지 않으려면 모르는 번호로 온 문자 메시지를 무시하고, 아는 사람이 보낸 것이라도 문자 메시지에 포함된 링크는 클릭하지 않는 것이 바람직하다. 


비싱(보이스 피싱)

사기꾼은 자동화된 전화 통화를 사용해 피해자에게 피싱을 시도하기도 한다. 이런 기법이 바로 비싱(Vishing), 즉 보이스 피싱(Voice Phishing)이다. 비싱 시도가 발생하면 정상적인 번호처럼 보이는 번호로 전화가 걸려 온다. 전화를 건 사람은 법적 조치나 금전적 문제로 겁을 줄 수 있다. 일부 비싱 시도는 음성 메시지를 남기기도 한다. 

현재 가장 많이 사용되는 비싱 수법은 진행 중인 소송이 있는 로펌이라고 주장하며 최대한 빨리 전화하지 않으면 소송을 진행하겠다고 협박하는 시나리오다. 대부분의 보이스 피싱은 피해자에게 겁을 주어 수백 또는 수천 달러를 지불하도록 유도하지만, 신원을 도용하기 위해 개인 정보를 빼내려고 시도하는 경우도 있다. 


딥페이크 피싱

딥페이크는 동영상 속 인물의 모습이 다른 사람의 모습으로 바뀌도록 인위적으로 조작된 동영상이다. 간단히 말해, 딥페이크는 누군가가 실제로 하지 않은 일을 하는 것처럼 보이도록 조작된 영상이다. 매우 사실적인 딥페이크 동영상은 사용자를 속이고, 협박하고, 원치 않은 일을 하도록 강요하는 데 악용될 수 있다. 혹은 공개하고 싶지 않은 세부 정보를 공개하도록 강요한다. 이것이 딥페이크 피싱(Deepfake Phishing)이다. 

예를 들어, 상사가 새로운 계좌로 거액을 입금하라는 동영상을 보냈지만, 사실 동영상 속 ‘상사’는 딥페이크에 숨어 있는 해커일 수 있다. 어떤 해커는 실시간 딥페이크 기술을 사용해 줌 화상 통화를 걸어 사용자를 속이기도 하며, 친척 등 아는 사람의 목소리를 목제해 보이스 피싱을 시도할 수 있다. 


앵글러 피싱

소셜 미디어를 사용하는 경우, 누군가가 공식 소셜 미디어 계정을 사칭해 링크를 클릭하거나 민감 정보를 유출하도록 유도하는 앵글러 피싱(Angler Phishing)에 주의해야 한다. 예를 들어, X에서 아마존에 대해 불만을 제기하면 공격자가 아마존 지원팀을 도용해 문제 해결을 위해 비공개로 연락할 수 있다. 가짜 아마존 지원팀이 요구하는 것은 아마도 사용자의 개인 정보와 로그인 정보일 것이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.