Offcanvas

AI / CSO / 보안 / 소비자IT / 악성코드

“소셜 엔지니어링을 역으로 이용하라”··· '피싱 공격' 혼쭐내는 법

2022.10.25 Dipti Parmar  |  CIO
연말연시 성수기를 손꼽아 기다리는 건 소매업체, 유통업체뿐만 아니다. 사기꾼도 마찬가지다. 이 시기에는… 사람들이 신뢰하는 곳(예: 기관, 회사, 브랜드 등)을 사칭하여 (소비자에게) 쿠폰, 할인 혜택 정보 등을 보내고 심지어는 직원에게 상품권을 보내느라 사기꾼도 바쁘다. 
 
ⓒGetty Images Bank

실제로 <CIO 닷컴>에서는 윤리적 해커와의 인터뷰를 인용해 스스로 보호받고 있으며 안전하다고 여기는 기업(그리고 이러한 기업의 관리형 서비스 업체)을 대상으로 노련한 해커가 소셜 엔지니어링 공격을 준비하는 데 단 몇 분밖에 걸리지 않는다고 보도한 바 있다
 
민감한 정보를 (심지어는 돈까지) 공유하도록 속이거나 수신자의 시스템에 악성 소프트웨어를 주입하도록 설계된 이메일 피싱은 가장 오래된 수법 가운데 하나지만, 혹스헌트(Hoxhunt)의 연구 결과에 따르면 이메일 사이버 공격은 오늘날에도 전체 데이터 침해 사건의 90%를 차지한다. 

이메일 사이버 공격이 전 세계 경제에 끼치는 피해를 모두 합하면 미화 6조 달러에 달한다. 수년 동안 이러한 이메일 사이버 공격에 관한 소비자와 개인의 인식이 높아지긴 했지만(‘피싱(phishing)’이라는 용어는 몰라도) 여전히 놀라울 정도로 흔하고 효과적인 공격이라고 할 수 있다.

그렇다면 오늘날 만연하는 피싱 공격에는 어떤 것이 있으며, 공격의 영향을 최소화하기 위해 사이버 보안 전문가가 사용하는 방법은 무엇인가? 또 기업들이 끈질긴 피싱 공격을 예방하려면 어떻게 해야 할까? 심도 있게 살펴보자.

피싱 공격 이해하기
피싱 공격자(Phisher)는 거의 모든 커뮤니케이션 포맷과 연결을 통한 소셜 엔지니어링 전술을 사용하여 피싱 공격을 감행한다. 피싱에는 이메일뿐만 아니라 다음과 같은 다양한 종류가 있다.
 
이메일 피싱(Email phishing): 공격자는 맬웨어가 담긴 첨부파일이나 링크를 포함한 이메일을 보낸다. (피해자가) 첨부파일을 열면 악성코드가 시스템에 주입되고, 링크를 클릭하면 민감한 정보를 입력하도록 유도하는 가짜 사이트로 연결된다.

스피어 피싱(Spear phishing): 공격자는 필요한 정보를 알고 있는 것으로 파악된 구체적인 표적, 예를 들면 영업 또는 IT 부서 전원에게 이메일을 보낸다.

웨일링(Whaling): 표적 사기의 일환으로 CEO나 CFO 등 고위 경영진에게 보내는 이메일이다.

스미싱(Smishing): 문자(SMS) 메시지를 통한 피싱이다. 

비싱(Vishing): 음성 인터넷 프로토콜(VoIP)과 일반 전화 서비스(POTS)도 피싱 공격에 취약하다. 공격자는 음성 합성 소프트웨어와 자동 통화로 피해자를 속여 은행 계좌 정보와 로그인 정보를 대도록 한다.

SNS 피싱(Social media phishing): 인스타그램, 트위터, 페이스북, 링크드인 등 SNS 플랫폼을 통해 실행되는 공격으로, 사용자 계정을 탈취하거나 메시지를 게시할 목적으로 설계된다.

파밍(Pharming): 공격자는 DNS 캐시 오염(정상적인 캐시된 IP주소를 악성 IP주소로 대체하는 수법)을 통해 그럴듯해 보이는 가짜 사이트로 피해자를 유도하여 로그인 정보를 탈취한다.

피싱 시도를 알아챌 수 있도록 ‘직원 교육’을 실시하라
거물급 사이버 범죄자는 대부분 개인 고객을 넘어, 훨씬 더 민감한 정보를 훨씬 더 큰 규모로 빼낼 수 있는 기업 직원을 노린다. 시큐리티 인 뎁스(Security In Depth)의 CEO 마이크 코노리는 “일례로 은행이 있다. (공격자는) 은행 고객을 노리지 않는다. 은행 고객을 타깃으로 삼는 방식은 어리석고 느리다. 그 대신 은행 자체를 노린다”라고 말했다.

피싱 공격은 압도적으로 ‘인적 요소’를 노리기 때문에, 최선의 방어책은 (기업) 직원들을 대상으로 보안 인식 교육을 제공하는 것이라고 사이버 보안 전문가들은 입을 모았다. 이는 공격을 조기에 식별하고, 전반적인 보안 위생을 향상시키는 데 도움이 된다. 모든 부서에서 직원들이 취해야 할 기본적인 예방 조치는 아래와 같다.

- 이메일과 웹사이트 계정(기기 포함)은 가능하면 개인용과 업무용을 분리한다.

- 정상적인 회사라면 절대 비밀번호, 개인정보, 재무정보, 기업정보를 요구하지 않는다. 가능하면 해당 기관이나 조직에 따로 직접 확인한다. 

- 이메일에서 링크를 복사해 붙여넣기는 금물이다. 출처를 신뢰하지 않는 이상 단축 URL은 절대 클릭해서는 안 된다.

- 발신자의 이메일 주소를 확인한다. 알 수 없는 주소라면 이메일을 열지 않도록 한다.

- 로그인하여 민감한 정보를 공유, 접근, 생성하는 모든 사이트의 URL 일체를 면밀하게 확인한다.

- 피싱 공격자가 보내는 대부분의 메시지와 이메일은 교정을 거치지 않기 때문에 오타와 문법적 오류가 있다.

- 강압적이거나 위협적인 메시지 및 전화는 주의해야 한다. 정상적인 기관이라면 법적 분쟁이 있지 않은 한 그런 식으로 소통하지 않는다. 반드시 재확인해야 한다.

- 신뢰하지 않는 와이파이 네트워크에 로그인해서는 안 된다.


이런 간단한 조치라도 제대로 취한다면 직원들은 기업 네트워크를 철통처럼 방어할 수 있다. 퍼포맨타(Performanta)의 글로벌 컨설팅 책임자 리안 노데는 “사람들이 보안 취약점이라는 말을 자주 듣는다. 이 말은 매우 냉소적이며, 기업의 직원들을 1차 방어선으로 활용하는 장점을 감안하지 않는다”라고 지적했다.

이어 그는 “직원들이 힘들이지 않고 가시적인 성과를 내는 신고 절차를 따를 수 있다면 상당수의 위협 이메일을 잡아낼 수 있다”라면서, “이는 피싱 사건의 신고 비율이 현재 겨우 3%에 머물고 있기 때문에 중요하다”라고 덧붙였다. 

AI 기반 소프트웨어를 활용한 피싱 방지 
AI 기반 피싱 인식 플랫폼의 확산으로 사내 사이버 보안 교육에는 더 이상 시간과 기술이 집중적으로 소요되지 않는다. 오늘날에는 머신러닝을 통해 각 개인의 현재 인식 수준, 조직 내 위치, 브라우징 습관 등을 바탕으로 개인화 및 게임화된 보안 교육 프로그램이 가능하다.

또 AI는 사이버 보안 전문가가 활용할 수 있는 강력한 무기다. 일상적인 위협 탐지 절차를 개선하고 자동화해 보안 정책의 효과와 효율성을 높일 수 있어서다. AI 기반의 자동화는 다음과 같은 피싱 방지 조치를 마련하는 데 도움이 된다.

▲ 안티맬웨어, 안티바이러스, 안티스팸 도구를 배포하고, 핵심 애플리케이션의 패치 및 업데이트를 유지한다. 

▲ 기업 이메일 서버에 이메일 인증 표준을 배포하여 인바운드 이메일을 점검한다. DMARC(Domain-based Message Authentication Reporting and Conformance) 등의 프로토콜은 관리자와 사용자가 원치 않는 이메일을 효과적으로 차단하는 데 유용하다.

▲ 직원들을 대상으로 한 정기적인 보안 및 피싱 교육 일정과 테스트 불합격자를 대상으로 한 구제 조치 일정을 수립한다. 

▲ 일반 사용자의 예측 가능한 행동, 여러 엔터티 간의 상호작용 패턴 분석, 메시지 컨텍스트 분석을 기반으로 기업 내 정상적인 커뮤니케이션을 모델링하고, 이메일에 동적 보안 점수(이상 임곗값 포함)를 할당한다. 

▲ 클라우드 이메일 서비스와 통합해 기존 플랫폼 네이티브 보안을 통과하는 악성 이메일을 차단한다. 

▲ 직원들에게 수상한 이메일을 신고하고, 아울러 이러한 이메일의 분류, 분석, 관리를 자동화할 수 있는 원클릭 경로를 제공한다. 

인간 중심의 피싱 방어
모든 보안 조치의 효과는 사람, 프로세스, 기술에 따라 다르지만 피싱의 효과적인 전술인 소셜 엔지니어링을 역으로 이용하면 피싱을 물리칠 수 있다. 사람들이 더 스마트해지고, 더 인식하게 되며, 더 대응할 수 있도록 지원하는 솔루션은 아무리 진보된 피싱 공격이라도 이겨낸다. 이런 솔루션으로 팀을 무장하지 않을 이유가 없다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.