2019.08.14

스미싱 및 비싱 공격의 실체와 이를 방지하는 방법

Michelle Drolet | CSO
스미싱(Smishing)과 비싱(Vishing)은 SMS 메시지와 음성 통화를 통해 피해자를 유혹하는 피싱 공격 유형이다. 이 사이버 공격은 둘 다 전통적 피싱 사기에 나타나는 것과 동일한 감정적 호소를 이용하고 피해자의 긴급한 행위를 유도하도록 설계된다. 차이는 전달 매체이다. 

노우비포(KnowBe4) CEO이자 보안 인식 리더인 스튜 슈베르만은 “사이버 절도범은 여러 커뮤니케이션 형식에 조작 기법을 적용할 수 있다. 근본 원리는 변함이 없기 때문이다. 희생자를 미끼로 유혹한 뒤 낚시 바늘로 잡는 것이다"고 설명했다. 
 
ⓒ Getty Images Bank 


스미싱이란 무엇인가 

스미싱(SMS phishing)은 휴대폰 상에서 SMS를 이용해 실행되는 피싱 공격 유형이다. 

이메일 피싱 사기와 마찬가지로 스미싱 메시지는 대개 링크를 클릭하거나 전화 번호로 통화해 민감한 정보를 넘겨주도록 위협하거나 유혹한다. 간혹 일정 보안 소프트웨어를 설치하도록 유도하지만, 이는 악성코드로 드러난다.
  
- 스미싱 예시: 전형적인 스미싱 문자 메시지는 “당신의 ABC 은행 계좌가 정지되었습니다. 계좌 정지를 풀려면 여기를 탭하세요: https://bit.ly/2LPLdaU”와 같은 형식으로 이뤄지고, 제공된 링크는 악성코드를 휴대폰으로 다운로드한다. 스캐머는 자신이 사용하는 매체를 노련하게 조절한다. 따라서 다음과 같은 문자 메시지를 받을 수도 있다. “이게 당신의 사진이 맞습니까? https://bit.ly/2LPLdaU” 그리고 링크를 탭하면 이번에도 역시 악성코드를 다운로드하게 된다. 


비싱이란 무엇인가 

비싱(Voice Phishing)이란 전화를 통해 실행되는 피싱 공격 유형이고 대개 스카이프 같은 VoIP 서비스 이용자를 표적으로 한다(국내에서는 보이스 피싱이라 부른다. 편집자 주). 

발신자 정보를 위조하는 것은 스캐머에게 쉬운 일이다. 따라서 이들은 지역 번호로부터, 또는 심지어 피해자가 알고 있는 조직으로부터 전화하는 것처럼 꾸밀 수 있다. 전화를 받지 않는 경우, 회신 전화를 해달라고 요청하는 음성 메일 메시지를 남긴다. 간혹 이런 종류의 사기는 범죄가 자행되고 있다는 사실을 모르는 응답 서비스나 심지어 콜 센터를 악용한다.  

다시 한번, 목표는 신용카드 정보, 생년월일, 계정 정보를 얻는 것이고, 때때로 단순히 연락처 앱으로부터 전화번호만 수집할 수도 있다. 이에 응답해 전화를 건다면 정보를 넘겨달라고 촉구하는 자동 음성 메시지가 나올 것이고, 많은 사람들은 이를 의심하지 않는다. 자동 전화 시스템은 이제 일상적인 삶의 일부가 되었기 때문이다. 


스미싱과 비싱을 방지하는 법 

요즘 이메일에 대해서는 한층 경계하는 편이다. 스팸을 받는데 익숙해졌고, 사기 행위가 극성이기 때문이다. 그러나 문자 메시지와 통화는 아직도 많은 사람에게 더 유효하다. 휴대폰을 통해 온라인으로 쇼핑을 하고 은행 일을 보고, 여타 행위를 많이 하게 됨에 따라 스캐머의 기회는 확산된다. 피해자가 되지 않으려면 멈춰서 생각을 해야 한다. 

슈베르만은 “상식은 일반적인 최상의 관행이고, 온라인 또는 전화 사기에 대한 개인의 1차 방어선이어야 한다”고 말했다. 

피싱 사기에 걸리지 않는 법에 관한 조언은 이메일 사기를 염두에 두고 쓰여졌지만, 새로운 피싱 형태에도 마찬가지로 적용된다. 근본적으로, 아무도 신뢰하지 않는 것이 적절한 출발점이다. 

메시지 안의 링크를 절대로 탭 하거나 클릭하지 않는다. 전화번호나 웹사이트 주소를 보고 이를 직접 입력한다. 통화자가 정당한 사람인지 확신할 수 없다면 어떤 정보도 제공하지 않는다. 언제든지 이들에게 다시 전화를 걸 수 있다. 

후회하기보다 조심하는 것이 더 낫다. 위험을 감수하거나 실수를 저지르지 말고, 항상 특별한 주의를 하는 것이 중요하다. 어떤 조직도 전화를 끊고 이들에게 전화를 직접 거는 것을 비난하지 않는다(번호를 스스로 확인해야 한다). 그래서 이들이 정말로 정당한 사람이 맞는지 확인해야 한다. 


보안 인식 교육을 최신으로 유지한다

경계를 유지하는 것은 일상 생활 속의 개인을 위한 확실한 조언이지만, 직장에서 근무하는 사람들은 흔히 부주의하다. 산만해질 수 있고, 압박 하에 있을 수 있고, 업무에 집중하려 할 수 있다. 그리고 사기는 악마처럼 교묘할 수 있다. SMS가 CEO로부터 온 것처럼 보이거나, 통화가 인사부서의 누군가로부터 온 것처럼 보인다면 어떻게 할 것인가?
 
모든 기업에는 의무적이고 정기적인 보안 인식 훈련 프로그램이 배치되어 있어야 한다. 이는 일반적 안전을 위한 베스트 프랙티스, 의심스러운 무언가가 발생할 경우 누구에게 연락할 것인지와 같은 정책의 정의, 또는 특정한 기밀을 요하는 커뮤니케이션을 어떻게 취급할 것인가에 관한 규칙 등을 포함할 수 있다. 이는 사기 행위의 시도를 훨씬 더 쉽게 파악할 수 있게 해준다.
 
피싱 공격으로부터 고통받았다면, 다시는 이런 일이 일어나지 않도록 변화하라. 이는 보안 교육에도 포함되어야 한다. 
 
기업에서 대다수의 스미싱과 비싱 공격은 보고되지 않은 채 넘어간다. 사이버 범죄자는 이 허점을 놓치지 않는다. 최근의 의심스러운 SMS나 통화를 무시할 정도로 현명한 사람도 있겠지만, 누군가는 피해자가 될 것이다. 시도된 공격을 보고하는 시스템이 마련되어 있다면, 심지어 이에 대해 소소한 보상을 제공한다면, 이는 다른 사람에게 경고를 주는 기회가 된다. 

피싱은 계속 진화하고 새 공격 수법이 출현하기 때문에 항상 경계해야 하고 대응 전략을 계속해서 최신으로 유지해야 한다. editor@itworld.co.kr    



2019.08.14

스미싱 및 비싱 공격의 실체와 이를 방지하는 방법

Michelle Drolet | CSO
스미싱(Smishing)과 비싱(Vishing)은 SMS 메시지와 음성 통화를 통해 피해자를 유혹하는 피싱 공격 유형이다. 이 사이버 공격은 둘 다 전통적 피싱 사기에 나타나는 것과 동일한 감정적 호소를 이용하고 피해자의 긴급한 행위를 유도하도록 설계된다. 차이는 전달 매체이다. 

노우비포(KnowBe4) CEO이자 보안 인식 리더인 스튜 슈베르만은 “사이버 절도범은 여러 커뮤니케이션 형식에 조작 기법을 적용할 수 있다. 근본 원리는 변함이 없기 때문이다. 희생자를 미끼로 유혹한 뒤 낚시 바늘로 잡는 것이다"고 설명했다. 
 
ⓒ Getty Images Bank 


스미싱이란 무엇인가 

스미싱(SMS phishing)은 휴대폰 상에서 SMS를 이용해 실행되는 피싱 공격 유형이다. 

이메일 피싱 사기와 마찬가지로 스미싱 메시지는 대개 링크를 클릭하거나 전화 번호로 통화해 민감한 정보를 넘겨주도록 위협하거나 유혹한다. 간혹 일정 보안 소프트웨어를 설치하도록 유도하지만, 이는 악성코드로 드러난다.
  
- 스미싱 예시: 전형적인 스미싱 문자 메시지는 “당신의 ABC 은행 계좌가 정지되었습니다. 계좌 정지를 풀려면 여기를 탭하세요: https://bit.ly/2LPLdaU”와 같은 형식으로 이뤄지고, 제공된 링크는 악성코드를 휴대폰으로 다운로드한다. 스캐머는 자신이 사용하는 매체를 노련하게 조절한다. 따라서 다음과 같은 문자 메시지를 받을 수도 있다. “이게 당신의 사진이 맞습니까? https://bit.ly/2LPLdaU” 그리고 링크를 탭하면 이번에도 역시 악성코드를 다운로드하게 된다. 


비싱이란 무엇인가 

비싱(Voice Phishing)이란 전화를 통해 실행되는 피싱 공격 유형이고 대개 스카이프 같은 VoIP 서비스 이용자를 표적으로 한다(국내에서는 보이스 피싱이라 부른다. 편집자 주). 

발신자 정보를 위조하는 것은 스캐머에게 쉬운 일이다. 따라서 이들은 지역 번호로부터, 또는 심지어 피해자가 알고 있는 조직으로부터 전화하는 것처럼 꾸밀 수 있다. 전화를 받지 않는 경우, 회신 전화를 해달라고 요청하는 음성 메일 메시지를 남긴다. 간혹 이런 종류의 사기는 범죄가 자행되고 있다는 사실을 모르는 응답 서비스나 심지어 콜 센터를 악용한다.  

다시 한번, 목표는 신용카드 정보, 생년월일, 계정 정보를 얻는 것이고, 때때로 단순히 연락처 앱으로부터 전화번호만 수집할 수도 있다. 이에 응답해 전화를 건다면 정보를 넘겨달라고 촉구하는 자동 음성 메시지가 나올 것이고, 많은 사람들은 이를 의심하지 않는다. 자동 전화 시스템은 이제 일상적인 삶의 일부가 되었기 때문이다. 


스미싱과 비싱을 방지하는 법 

요즘 이메일에 대해서는 한층 경계하는 편이다. 스팸을 받는데 익숙해졌고, 사기 행위가 극성이기 때문이다. 그러나 문자 메시지와 통화는 아직도 많은 사람에게 더 유효하다. 휴대폰을 통해 온라인으로 쇼핑을 하고 은행 일을 보고, 여타 행위를 많이 하게 됨에 따라 스캐머의 기회는 확산된다. 피해자가 되지 않으려면 멈춰서 생각을 해야 한다. 

슈베르만은 “상식은 일반적인 최상의 관행이고, 온라인 또는 전화 사기에 대한 개인의 1차 방어선이어야 한다”고 말했다. 

피싱 사기에 걸리지 않는 법에 관한 조언은 이메일 사기를 염두에 두고 쓰여졌지만, 새로운 피싱 형태에도 마찬가지로 적용된다. 근본적으로, 아무도 신뢰하지 않는 것이 적절한 출발점이다. 

메시지 안의 링크를 절대로 탭 하거나 클릭하지 않는다. 전화번호나 웹사이트 주소를 보고 이를 직접 입력한다. 통화자가 정당한 사람인지 확신할 수 없다면 어떤 정보도 제공하지 않는다. 언제든지 이들에게 다시 전화를 걸 수 있다. 

후회하기보다 조심하는 것이 더 낫다. 위험을 감수하거나 실수를 저지르지 말고, 항상 특별한 주의를 하는 것이 중요하다. 어떤 조직도 전화를 끊고 이들에게 전화를 직접 거는 것을 비난하지 않는다(번호를 스스로 확인해야 한다). 그래서 이들이 정말로 정당한 사람이 맞는지 확인해야 한다. 


보안 인식 교육을 최신으로 유지한다

경계를 유지하는 것은 일상 생활 속의 개인을 위한 확실한 조언이지만, 직장에서 근무하는 사람들은 흔히 부주의하다. 산만해질 수 있고, 압박 하에 있을 수 있고, 업무에 집중하려 할 수 있다. 그리고 사기는 악마처럼 교묘할 수 있다. SMS가 CEO로부터 온 것처럼 보이거나, 통화가 인사부서의 누군가로부터 온 것처럼 보인다면 어떻게 할 것인가?
 
모든 기업에는 의무적이고 정기적인 보안 인식 훈련 프로그램이 배치되어 있어야 한다. 이는 일반적 안전을 위한 베스트 프랙티스, 의심스러운 무언가가 발생할 경우 누구에게 연락할 것인지와 같은 정책의 정의, 또는 특정한 기밀을 요하는 커뮤니케이션을 어떻게 취급할 것인가에 관한 규칙 등을 포함할 수 있다. 이는 사기 행위의 시도를 훨씬 더 쉽게 파악할 수 있게 해준다.
 
피싱 공격으로부터 고통받았다면, 다시는 이런 일이 일어나지 않도록 변화하라. 이는 보안 교육에도 포함되어야 한다. 
 
기업에서 대다수의 스미싱과 비싱 공격은 보고되지 않은 채 넘어간다. 사이버 범죄자는 이 허점을 놓치지 않는다. 최근의 의심스러운 SMS나 통화를 무시할 정도로 현명한 사람도 있겠지만, 누군가는 피해자가 될 것이다. 시도된 공격을 보고하는 시스템이 마련되어 있다면, 심지어 이에 대해 소소한 보상을 제공한다면, 이는 다른 사람에게 경고를 주는 기회가 된다. 

피싱은 계속 진화하고 새 공격 수법이 출현하기 때문에 항상 경계해야 하고 대응 전략을 계속해서 최신으로 유지해야 한다. editor@itworld.co.kr    

X