피싱은 기업 및 개인 모두에게 중대한 위험을 안겨줍니다. 이것은 사회 공학 기술을 활용하여 사용자를 속여 개인 정보를 공유하게 만드는 사이버 공격의 한 형태입니다. 이 기사에서는 피싱의 개념을 설명하고, 그 과정을 설명하며, 피싱에 관련된 일반적인 사기 사례를 예를 들어 보겠습니다. 피싱이 무엇인지, 어떻게 작동하며 어떤 위협과 이를 인식하는 방법을 알고 있다면, 귀하의 회사와 본인을 피해로부터 보호할 수 있을 것입니다.
정확히 무엇이 피싱인가요?
피싱은 사기꾼이 로그인 암호나 신용 카드 번호 또는 개인 정보와 같은 민감한 정보를 훔치기 위해 다양한 기술을 사용하는 사이버 공격의 한 형태입니다. 그들은 심리적 조작과 사회 공학 기법을 활용하여 피해자를 속이려고 합니다. 일반적으로 은행이나 소셜 미디어 웹사이트, 또는 정부 기관과 같은 신뢰할 만한 출처인 척하며, 그들이 설득하려는 사람의 신뢰를 얻습니다. 피해자가 개인 정보를 제공하도록 조작되면 사기꾼은 이를 활용하여 금융 사기나 신분 도용과 같은 범죄를 저지를 수 있습니다.
피싱이란 무엇이며, 어떻게 작동하나요?
피싱 공격은 인간의 약점을 이용합니다. 그들은 피해자의 마음을 조작하여 개인 정보를 누설하게 만듭니다. 사기꾼은 일반적으로 이메일 사기, 사회 공학, 악성 소프트웨어와 같은 다양한 방법을 혼합하여 피싱 공격을 진행합니다.
이메일 스푸핑
이메일 스푸핑은 피싱을 포함한 사기에서 매우 인기 있는 기술입니다. 사기꾼은 실제로 왔다는 것처럼 가짜 이메일 주소를 생성할 수 있습니다. 은행이나 소셜 미디어 웹사이트와 같은 신뢰할 만한 소스인 것처럼 보입니다. 이메일에는 일반적으로 사용자를 정품과 유사한 가짜 웹 페이지로 이동시킬 링크가 포함되어 있습니다. 사용자가 로그인하면 계정에 액세스할 수 있습니다.
사회 공학
사회 공학은 피싱 사기에서 사용되는 다른 전술입니다. 사기꾼은 피해자의 신뢰를 얻기 위해 친근한 사람인 것처럼 위장합니다. 피해자에게 하이퍼링크를 클릭하거나 첨부 파일을 다운로드하도록 요청할 수 있으며, 이로 인해 컴퓨터에 악성 소프트웨어가 감염될 수 있습니다. 또는 개인 정보를 입력하도록 유도하는 가짜 웹 페이지로 이동시킬 수도 있습니다.
악성 소프트웨어 (맬웨어)
피싱 공격은 키로거 또는 랜섬웨어를 포함한 악성 소프트웨어의 사용도 가능합니다. 키로거는 사용자의 타이핑을 추적하는 프로그램으로, 로그인 자격 증명을 포함합니다. 반면 랜섬웨어는 피해자의 데이터를 잠그고 데이터 복구를 위해 지불을 요구합니다.
- 구글 문서 피싱 사기 – 2017년에 발생한 대규모 사기는 Gmail 사용자를 대상으로 피싱을 시도했습니다. 이는 사용자를 자신의 Gmail 계정 접근을 포기하게 하기 위해 가짜 구글 문서 초대를 사용했습니다. 피싱 이메일은 식별된 연락처에서 보내졌습니다. 사용자는 검토하도록 요청되는 구글 문서 문서로 연결하는 링크가 포함된 이메일을 받았습니다. 링크를 클릭하면 사용자는 가짜 구글 로그인 페이지로 리디렉션되어 비밀번호와 이메일 주소를 수집하는 페이지로 이동됩니다. 구글이 이 사기를 차단하기 전에 수백만 사용자에게 영향을 미쳤습니다.
- 넷플릭스 피싱 사기 – 2018년에 발견된 피싱 사기 넷플릭스 사용자를 대상으로 한 사기입니다. 이 사기는 사용자에게 자신의 결제 정보를 변경하도록 요청하는 넷플릭스로부터 온 것처럼 보이는 이메일을 보내는 것으로 이루어졌습니다. 이메일에는 가짜 넷플릭스 로그인 페이지로 이어지는 하이퍼링크가 포함되어 있었으며, 여기서 사용자가 계정 정보를 입력하도록 요청되었습니다. 이 사기는 많은 사람들을 속여 로그인 정보와 신용 카드 정보를 제공하게 만들었습니다.
- IRS 피싱 사기 – 2016년에 미국 전역의 납세자를 대상으로 한 피싱 사기로, IRS에서 직접 온 것처럼 보이는 가짜 이메일을 사용했습니다. 이 이메일에는 사용자에게 사회 보장 번호와 기타 개인 정보를 제공하도록 요청하는 가짜 IRS 웹사이트로 이어지는 하이퍼링크가 포함되어 있었습니다. 이 사기는 많은 사람들을 속여 기밀 정보를 제공하게 만들었으며, IRS는 이와 같은 사기에 대비해 납세자들에게 경고를 내려야 했습니다.
- 애플 피싱 사기 – 2020년에 애플 사용자를 대상으로 한 가짜 이메일 사기로, 애플 서포트에서 직접 온 것처럼 보이는 가짜 이메일을 사용했습니다. 이 이메일은 사용자의 애플 ID가 침해되었다는 내용을 알리며, 가짜 애플 로그인 페이지로 이어지는 링크가 포함되어 있었습니다. 사용자는 이 페이지에서 애플 계정 번호와 비밀번호를 입력하도록 요청받았습니다. 이 사기는 많은 사용자가 로그인 자격 증명을 공유하게 만들었습니다. 이 자격 증명은 후에 사용자의 애플 계정에 액세스하고 개인 데이터에 접근하는 데 사용될 수 있습니다.
- COVID-19 피싱 사기 – COVID-19 유행 기간에는 질병에 대한 사람들의 불안과 걱정을 통해 여러 사기가 피싱을 중점적으로 활용했습니다. 예를 들어 사기꾼들은 세계보건기구(who.int)로 보이는 메시지를 보내 기부를 요청하거나 바이러스와 관련된 정보를 제공했습니다. 사용자가 이메일 내의 링크를 클릭하면 피싱 사이트로 연결되어 피해자의 개인 정보를 수집했습니다. 이러한 유형의 사기는 유행이 지속되는 동안 계속해서 우려의 소지가 됩니다.
- 아마존 피싱 사기 – 이 피싱 사기에서 범죄자는 아마존에서 왔다는 듯한 이메일을 피해자에게 보냅니다. 피해자의 계정에 미해결된 결제나 수상한 활동과 같은 문제가 있는 것처럼 알립니다. 이 이메일에는 사용자를 가짜 아마존 계정 로그인 화면으로 이어지는 하이퍼링크도 포함되어 있으며, 여기서 사용자는 로그인 자격 증명을 입력하도록 요청받습니다. 공격자가 사용자 계정에 액세스 권한을 부여받으면 사기 품목을 구매하거나 개인 정보를 도용할 수 있습니다.
- 은행 피싱 사기 – 이 사기에서 범죄자는 피해자에게 피해자의 은행에서 온 것처럼 보이는 이메일을 보내 피해자의 계정에 문제가 있는지 또는 보안 침해가 있는지 알립니다. 이메일에는 사용자를 가짜 로그인 페이지로 이어지는 링크가 포함되어 있으며, 여기서 사용자는 로그인 자격 증명을 입력하도록 요청받습니다. 공격자가 사용자 계정에 액세스할 수 있게 되면 사기 거래를 진행하거나 개인 정보를 도용할 수 있습니다.
- 페이팔 피싱 사기 – 페이팔 사기는 사용자의 계정에 문제가 있음을 알리는 페이팔에서 온 것처럼 보이는 이메일을 보내는 사기입니다. 예를 들어 무단 거래나 보안 문제가 있음을 알립니다. 이메일에는 사용자를 가짜 페이팔 계정 로그인 화면으로 이어지는 링크가 포함되어 있으며, 여기서 사용자는 로그인 자격 증명을 입력하도록 요청받습니다. 공격자가 계정에 액세스할 수 있게 되면 사기 거래를 진행하거나 개인 정보를 도용할 수 있습니다.
- 소셜 미디어 피싱 사기 – 소셜 미디어에서 피싱 사기를 수행하는 경우, 공격자는 친구나 Facebook 및 LinkedIn과 같은 소셜 미디어 사이트를 통해 연결된 사람으로 보이는 이메일이나 메시지를 보냅니다. 게시물이나 메시지에는 사용자가 소셜 미디어 계정 자격 증명을 입력하도록 하는 정통한 로그인 페이지로 이어지는 링크가 포함되어 있습니다. 공격자가 사용자 계정에 액세스할 수 있게 되면 악성 또는 스팸 링크를 게시하거나 개인 정보에 액세스할 수 있습니다.
- 온라인 소매업자 피싱 사기 – 피싱을 포함한 사기에서 범죄자는 월마트나 Target과 같은 잘 알려진 온라인 소매업자로부터 온 것처럼 보이는 이메일을 보냅니다. 이 이메일은 구매에 문제가 있는지 또는 특별 거래를 제공하는지 알립니다. 이메일에는 사용자를 가짜 로그인 페이지로 이어지는 링크가 포함되어 있으며, 여기서 사용자는 로그인 자격 증명을 입력하도록 요청받습니다. 공격자가 사용자 계정에 액세스하고 액세스할 수 있는 경우, 사기적으로 구매하거나 개인 데이터를 도용할 수 있습니다.
일부 피싱 사기의 예시
피싱 사기의 종류
이메일 피싱 사기
이메일을 통한 사기는 가장 빈번한 피싱 사기 형태 중 하나입니다. 이 유형의 사기에서 범죄자는 은행이나 소셜 미디어 플랫폼과 같은 신뢰할 수 있는 출처에서 온 것처럼 보이는 이메일을 보냅니다. 이메일에는 일반적으로 수신자를 실제 사이트와 동일한 가짜 사이트로 이동시키는 하이퍼링크가 포함되어 있습니다. 사용자가 로그인한 후 링크를 클릭하면 사기꾼이 계정에 액세스할 수 있습니다. 예를 들어, 사기꾼은 대상의 계정에 수상한 활동이 감지되었다고 이메일을 보낼 수 있으며, 계정 상세 정보를 확인하려면 링크를 클릭하도록 요청할 수 있습니다.
스피어 피싱 사기
스피어 피싱은 표적된 피싱 공격의 한 종류입니다. 범죄자는 대상을 연구한 후, 동료나 관리자와 같은 신뢰할 수 있는 출처에서 온 것처럼 보이는 맞춤형 메시지를 작성합니다. 메시지에는 대상 개인에게 특정한 정보가 포함될 수 있으며, 이는 직무명칭이나 최근 프로젝트 이름과 같은 내용일 수 있습니다. 예를 들어, 사기꾼은 회계 부서의 직원에게 이메일 메시지를 보낼 수 있으며, 그는 자신의 매니저인 척하여 특정 계정으로 자금을 이체하도록 요청할 수 있습니다.
스미싱 사기
스미싱은 이메일 대신 문자 메시지나 SMS 메시지를 사용하는 피싱 사기의 한 유형입니다. 이 유형의 사기에서 범죄자는 대리인이나 은행과 같은 신뢰할 수 있는 출처에서 온 것처럼 보이는 SMS 메시지를 보냅니다. 일반적으로 문자 메시지에는 대상자가 다이얼하도록 지시되는 주소나 전화번호가 포함되어 있습니다. 피해자가 응답하거나 연락을 시작할 수 있는 경우, 계정의 로그인 자격 증명과 신용 카드 정보와 같은 민감한 데이터를 제공하도록 요청받을 수 있습니다. 예를 들어, 사기꾼은 은행의 계정이 침해되었다고 피해자에게 SMS 메시지를 보낼 수 있으며, 문제를 해결하기 위해 특정 번호를 다이얼하도록 요청할 수 있습니다.
CEO 사기
CEO 사기는 기업을 대상으로 하는 피싱 사기의 한 유형입니다. 이 사기에서 범죄자는 CEO와 같은 고위 경영진으로 위장하여 직원에게 특정 계정으로 돈을 이체하라는 이메일을 보냅니다. 일반적으로 이메일은 긴급한 내용을 포함하며, 직원에게 요청에 대해 익명으로 유지하도록 지시할 수도 있습니다. 예를 들어, 사기꾼은 재무 부서의 직원에게 CEO인 척하여 특정 프로젝트로 자금을 이체하도록 요청하는 이메일을 보낼 수 있습니다.
파밍 사기
파밍은 피해자의 동의 없이 가짜 사이트로 리디렉션하는 피싱 사기의 한 유형입니다. 범죄자는 피해자의 컴퓨터에 DNS 설정을 변경하는 악성 코드를 감염시켜 피해자를 속이는 것입니다. 피해자가 은행과 같은 실제 사이트에 연결하려고 시도하지만 실제 사이트와 동일한 가짜 웹 사이트로 리디렉션됩니다. 사용자가 로그인 자격 증명을 입력하면 사기꾼은 은행 계정에 액세스할 수 있습니다. 예를 들어, 사기꾼은 피해자의 컴퓨터를 악성 코드로 감염시켜 사용자를 가짜 사이트로 보낼 수 있으며, 이를 통해 온라인 은행 계정에 액세스합니다.
How to Protect Yourself From Phishing Scams
- 🔴 Click한 링크를 제공하거나 개인 정보를 입력하라는 내용의 텍스트 메시지에 주의하세요. 반드시 응답하기 전에 메시지의 출처를 확인하세요.
- 🔴 이동된 사이트의 URL을 반드시 확인하세요. 사기꾼들은 종종 정식 사이트와 유사한 URL을 사용한 가짜 웹사이트를 생성합니다. 철자 오류나 주소의 미세한 변경에 주의하세요.
- 🔴 가능한 경우 다중 인증을 사용하세요. 이는 계정의 추가적인 보안 층을 제공하며, 무단 액세스를 방지하는 데 도움이 됩니다.
- 🔴 운영 체제와 소프트웨어를 최신 상태로 유지하세요. 이는 사이버 공격, 악성 코드 및 기타 위협으로부터 계정과 컴퓨터를 보호할 수 있습니다.
- 🔴 자신과 직원에게 정보를 제공하세요. 기업 내 모든 사람들이 위험에 대해 인식하고 의심스러운 메시지를 인식할 수 있도록 해야 합니다.
피싱 이메일을 피하는 방법?
피싱 메일에 주의하세요. 이는 도전적일 수 있지만, 안전을 보장할 수 있는 방법이 있습니다. 다음은 정보 도용을 위해 피싱을 사용하는 사기로부터 피해 보는 데 도움이 될 제안 몇 가지입니다:
- ✔️ 수상한 또는 불특정한 이메일에 주의하세요: 알려지지 않은 송신자에게서 온 이메일이나 너무 실제 같아 보이지만 혼란스러운 정보를 포함한 이메일에 주의하세요.
- ✔️ 보낸 사람의 주소를 확인하세요: 보낸 사람의 이메일 주소를 항상 확인하여 조직을 대표하는 도메인과 일치하는지 확인하세요. 의심스러운 이메일이나 알려진 발신자가 아닌 이메일이라고 의심되는 경우에는 첨부 파일이나 링크를 클릭하지 않도록 하세요.
- ✔️ 하이퍼링크를 확인하세요: 알려지지 않거나 의심스러운 웹사이트로 연결하는 링크를 클릭하는 것에 주의하세요. 이들은 가짜 웹사이트일 수 있습니다.
- ✔️ 문법 및 철자 오류를 확인하세요: 피싱 이메일에는 일반적으로 문법 및 철자 오류 또는 불일치하는 구문이 포함됩니다. 신뢰할 수 있는 기업에서 보내는 정통한 이메일은 일반적으로 잘 작성되어 있으며 오류가 없습니다.
- ✔️ 개인 정보를 입력하지 마세요: 이메일에 응답할 때 로그인 자격 증명, 주민등록번호, 로그인 자격 증명 또는 신용 카드 번호와 같은 민감한 개인 정보를 제공하지 마세요. 합법적인 기업은 이메일을 통해 이 정보를 요청하지 않습니다.
- ✔️ 이중 인증을 사용하세요: 이중 인증은 무단 액세스로부터 계정을 보호할 수 있습니다. 이 기능을 지원하는 온라인 계정에 대해 가능한 경우 이를 활성화하는 것을 고려해 보세요.
- ✔️ 소프트웨어가 최신 상태인지 확인하세요: 시스템 운영 체제, 안티바이러스 소프트웨어 및 웹 브라우저를 가장 최신 패치와 보안 업데이트로 유지하는 것이 좋습니다.
- ✔️ 교육받기: 피싱의 가장 일반적인 방법을 알아보고 최신 위협에 대해 계속해서 업데이트하세요. 피싱을 포함한 사기를 인식하고 이러한 사기로부터 멀리 떨어질 수 있습니다.
이러한 지침을 따르고 메시지를 받거나 응답할 때 조심스럽게 행동하면 피싱 사기로부터 안전을 보장할 수 있습니다. 만약 받은 이메일이 의심스러울 경우, 어떤 링크나 개인 정보도 클릭하지 않는 것이 가장 좋습니다.
결론
피싱은 현재의 디지털 시대에서 중대한 문제입니다. 사기꾼들은 사람들과 기업들이 개인 정보를 노출시키도록 속이는 다양한 방법을 사용합니다. 피싱 사기의 특성과 이러한 위협을 어떻게 인식할 수 있는지 이해하면, 가능한 위험에서 비즈니스와 자신을 보호할 수 있습니다. 예기치 않은 이메일에 주의하고 민감한 정보를 요청하는 모든 요청의 소스를 확인하세요. 경계하며 안전하게 유지하세요.