목차
Threats

피싱 공격이란 무엇인가요?

목차

피싱은 공격자가 신뢰할 수 있는 조직으로 위장하여 사용자 이름, 암호, 신용카드 번호와 같은 민감한 정보를 제공하도록 사람들을 속이는 사이버 범죄입니다. 이러한 사기는 주로 이메일을 통해 발생하지만 전화, 웹사이트, 소셜 미디어를 통해서도 발생할 수 있습니다.

주요 목표는 신원 도용이며, 공격자가 개인 계정이나 회사 시스템에 액세스하여 금전적 손실이나 평판 손상을 초래할 수 있습니다. 피싱은 사람의 신뢰와 긴박함을 악용합니다. 사이버 보안의 발전에도 불구하고 사이버 보안은 여전히 위협이 되고 있으므로 항상 경각심을 갖고 주의하는 것이 중요합니다.

 

피싱의 진화

사회 공학의 한 형태인 피싱 공격은 1990년대 중반에 등장한 이후 표적 공격의 정교함이 증가하면서 크게 진화했습니다. 공격자들은 스피어 피싱이라고 알려진 방법으로 피해자에게 맞춤화된 메시지를 만들기 위해 세심한 연구를 수행합니다.

원래 피싱 사기는 비교적 정교하지 않았으며 의심하지 않는 사용자를 유인하여 비밀번호나 신용카드 정보와 같은 민감한 정보를 제공하도록 유도하는 이메일을 대량으로 배포하는 경우가 많았습니다.

인터넷 사용이 증가함에 따라 피싱 공격자들의 수법도 진화하여 이메일 스푸핑, 보이스 피싱(피싱), 심지어 SMS 피싱(스미싱)등 더욱 진화된 기술을 구축하고 있습니다. 이러한 수법은 피해자가 합법적이고 신뢰할 수 있는 출처와 소통하고 있다고 믿도록 속입니다.

이 작품은 기술 발전과 디지털 커뮤니케이션에서 인간의 취약점을 악용하려는 끊임없는 추구로 인한 사이버 범죄 활동의 역동적인 특성을 보여줍니다.

The Steps in a Phishing Attack | The image above describes the steps an attacker or bad actor will take to accomplish their specific phishing goals and objectives.

 

피싱은 어떻게 작동하나요?

피싱은 피해자를 속여 사용자 이름, 암호, 신용카드 번호 또는 기타 개인 정보와 같은 민감한 정보를 제공하도록 유도하는 방식으로 작동합니다. 공격자는 일반적으로 합법적인 것처럼 보이는 사기성 이메일, 메시지 또는 웹사이트를 사용합니다.

단계별 분석은 다음과 같습니다:

  1. 미끼 생성: 공격자는 은행, 소셜 미디어 사이트, 온라인 서비스 등 신뢰할 수 있는 기관을 모방한 그럴듯한 메시지나 웹사이트를 만듭니다.

  2. 배달: 피싱 미끼는 이메일, 문자 메시지, 소셜 미디어 또는 기타 커뮤니케이션 채널을 통해 잠재적 피해자에게 전달됩니다.

  3. 기만: 이 메시지에는 일반적으로 긴급하거나 유혹적인 내용이 포함되어 있어 수신자가 링크를 클릭하거나 첨부 파일을 다운로드하거나 개인 정보를 제공하도록 유도합니다.

  4. 착취: 피해자가 미끼를 물면 사기 웹사이트나 양식으로 이동하여 민감한 정보를 입력하게 됩니다.

  5. 데이터 수집: 공격자는 제출된 정보를 수집하여 신원 도용, 금융 사기 또는 추가 사이버 공격과 같은 악의적인 목적으로 사용합니다.

피싱 공격은 탐지 방법을 회피할 수 있기 때문에 가장 널리 퍼지고 효과적인 사이버 범죄 방법 중 하나가 되었습니다. 이러한 사기에 넘어가면 민감한 정보가 유출될 위험이 커지고 신원 도용, 데이터 손실 또는 멀웨어 감염의 가능성이 높아집니다.

저가의 피싱 키트가 출시되면서 피싱 키트의 구축이 더욱 쉬워졌습니다. 이러한 키트는 데이터를 수집하고 설득력 있는 웹사이트와 이메일을 만드는 데 활용할 수 있는 웹사이트 개발 소프트웨어, 코딩, 스팸 소프트웨어, 콘텐츠 등의 도구 모음입니다.

더욱 정교하고 미스터리한 피싱 기법이 추가되면서 초보 위협 행위자도 기존의 보안 방어 체계를 우회할 수 있게 되었습니다.

Types of Phishing Attacks | The image lists the ever-growing phishing attacks available to cybercriminals today.

 

비즈니스 이메일 침해(BEC) 대 피싱

비즈니스 이메일 침해(BEC)와 피싱은 서로 다른 대상을 대상으로 하며 뚜렷한 목표를 가진 기만적인 이메일 공격입니다. BEC는 금전적 동기가 있는 표적 공격인 반면 피싱은 개인 데이터에 더 광범위한 그물을 씌웁니다.

BEC는 임원이나 재무 담당자 등 조직 내 특정 개인이 금전적 이득을 위해 비즈니스 프로세스를 조작하는 데 초점을 맞춥니다. 공격자는 정보를 수집하여 승인되지 않은 거래 또는 민감한 정보 공개로 이어질 수 있는 그럴듯한 메시지를 작성합니다.

반면 피싱 공격은 광범위한 사용자에게 접근하여 암호나 신용카드 정보와 같은 개인 정보를 수집하는 것을 목표로 합니다. 이러한 이메일은 개인화되지 않고 한 번에 많은 사람을 속이기 때문에 피싱은 비즈니스 운영을 직접 조작하기보다는 데이터 수집에 더 중점을 둡니다.

 

피싱 공격의 유형

완전한 목록은 아니지만 공격자들이 가장 많이 사용하는 피싱 기법은 다음과 같습니다. 이러한 기법을 이해하면 개인과 조직이 피싱 공격을 더 잘 인식하고 방어하는 데 도움이 될 수 있습니다.

이메일 피싱

공격자는 평판이 좋은 출처에서 보낸 것처럼 보이는 사기성 이메일을 보냅니다. 수신자에게 링크를 클릭하거나 첨부 파일을 다운로드하거나 민감한 정보를 제공하도록 요청합니다. 공격자는 긴박감이나 공포감을 조성하는 등 다양한 전술을 사용하여 수신자가 자신의 요청에 따르도록 조종합니다. 링크는 사용자를 합법적인 위조 웹사이트로 리디렉션할 수 있으며, 첨부 파일에는 수신자의 기기를 감염시키는 멀웨어가 포함되어 있을 수 있습니다.

스피어 피싱

스피어 피싱은 공격자가 개인 정보를 사용하여 특정 개인이나 조직을 대상으로 그럴듯한 메시지를 작성하는 표적 사이버 범죄의 한 형태입니다. 다수의 수신자를 대상으로 하는 일반 피싱과 달리 스피어 피싱은 고도로 개인화된 피싱입니다.

공격자는 소셜 미디어나 회사 웹사이트와 같은 출처에서 세부 정보를 수집하여 메시지를 합법적이고 관련성이 있는 것처럼 보이게 합니다. 이렇게 하면 피해자가 콘텐츠에 참여하거나 민감한 정보를 공개하거나 악성 링크를 클릭할 가능성이 높아져 스피어 피싱이 광범위한 피싱 전략보다 더 효과적입니다.

사례 연구: 프리밀크 대화 탈취 스피어 피싱 캠페인

고래잡이

웨일링은 유명 기업 경영진을 대상으로 하는 피싱의 한 형태입니다. 고래잡이는 이메일 커뮤니케이션을 통해 극비 정보에 접근하는 것을 목표로 합니다. 이 메시지는 종종 수신자가 신속하게 행동하도록 설득하기 위해 긴급한 것처럼 보입니다. 이 경우 피해자는 미리 생각하지 않고 악성 링크를 클릭해 공격자가 로그인 자격 증명과 민감한 데이터를 훔치거나 멀웨어를 다운로드할 수 있습니다.

스미싱(SMS 피싱)

스미싱은 다른 피싱 공격과 비슷하게 작동하지만 SMS 메시지로 전송됩니다. 메시지에는 종종 사기성 첨부 파일이나 링크가 포함되어 있어 사용자가 모바일 디바이스에서 클릭하도록 유도하는 경우가 많습니다.

피싱(보이스 피싱)

'보이스 피싱'이라고도 하는 피싱은 공격자가 전화로 피해자를 표적으로 삼아 데이터에 액세스하는 것을 말합니다. 공격자는 합법적인 것처럼 보이기 위해 피해자의 은행이나 정부 기관에서 전화하는 것처럼 가장할 수 있습니다.

클론 피싱

클론 피싱은 공격자가 합법적인 이메일의 거의 동일한 사본을 만들어 링크나 첨부 파일을 악성 첨부 파일로 대체하는 정교한 접근 방식입니다. 복제된 이메일은 신뢰할 수 있는 출처에서 보낸 것처럼 보이므로 피해자가 메시지를 신뢰하고 지침을 따를 가능성이 높습니다.

파밍

공격자는 개인을 직접 속이는 대신 DNS 중독을 통해 사용자 모르게 합법적인 웹사이트 트래픽을 사기성 웹사이트로 리디렉션하는 경우가 많습니다. 많은 사이버 보안 조치가 이를 알아채지 못합니다.

HTTPS 피싱

HTTPS 피싱은 공격자가 보안 연결을 나타내는 프로토콜인 HTTPS를 사용하는 사기성 웹사이트를 만들어 합법적이고 신뢰할 수 있는 것처럼 보이게 하는 공격입니다. 공격자는 악성 사이트를 HTTPS 인증서로 보호함으로써 피해자가 해당 웹사이트가 안전하고 신뢰할 수 있다고 믿도록 속입니다.

자격증명 기반 공격

자격증명 기반 공격은 도난당하거나 손상된 로그인 자격증명(사용자 아이디와 비밀번호)을 사용하여 시스템, 네트워크 또는 계정에 무단으로 액세스하는 것입니다. 이러한 공격에는 종종 다음과 같은 전술이 수반됩니다:

  • 피싱: 사기성 이메일이나 메시지로 사용자를 속여 로그인 정보를 제공하도록 유도합니다.
  • 키 로깅: 키 입력을 기록하여 자격 증명을 입력할 때 캡처하는 멀웨어입니다.
  • 자격 증명 스터핑: 사람들이 여러 사이트에서 암호를 재사용하는 경우가 많다는 점을 악용하여 한 침해 사고에서 탈취한 인증 정보 목록을 사용하여 다른 시스템에 액세스합니다.
  • 무차별 대입 공격: 올바른 사용자 아이디와 비밀번호를 찾을 때까지 가능한 모든 조합을 체계적으로 시도합니다.
  • 중간자 공격: 사용자와 시스템 간의 통신을 가로채 자격 증명을 캡처합니다.
How to Spot and Protect Against Phishing | Organizations can protect themselves against phishing by using these top 3 identifiers to quickly identify and spot a phishing email.

 

피싱 기법을 인식하는 방법

사이버 범죄자들은 수년에 걸쳐 크게 진화해 왔습니다. 거의 모든 사람을 속일 수 있는 사기성 메시지와 첨부파일을 생성할 수 있습니다. 적절한 보안 프로토콜을 준수하는 잘 훈련된 개인은 종종 정교한 피싱 시도도 탐지할 수 있습니다. 아무리 노련한 사이버 보안 전문가라도 이를 탐지하기는 어렵습니다. 잠재적 표적은 피싱 메시지를 발견할 수 있는 일반적인 징후를 찾을 수 있습니다.

A Standard Phishing Attack | The diagram shows the steps a phishing attacker goes through to collect personal information from victims.

피싱의 일반적인 징후

피싱 공격으로부터 자신을 보호하는 가장 좋은 방법은 피싱 이메일의 일반적인 경품 제공 사항을 이해하고 식별하는 것입니다. 다음은 몇 가지 경품입니다:

  • 대부분의 사람들이 배송을 기대하는 연말연시에는 계좌, 은행 정보, 금융 거래, 배송 관련 문제를 자세히 설명하는 메시지가 많이 발송됩니다.
  • 언어가 부정확하고 메시지가 원어민처럼 유창하지 않은 것처럼 보입니다. 맞춤법 오류, 잘못된 문법, 사용법이 문제입니다.
  • 메시지는 신뢰할 수 있는 브랜드에서 보낸 것처럼 보이지만 색상, 형식 또는 글꼴이 적절하지 않은 등 익숙하지 않은 요소가 포함되어 있습니다.
  • 메시지는 전문적이지 않은 것처럼 보이지만 경영진이나 기타 영향력 있는 사람이 보낸 커뮤니케이션으로 표시됩니다.
  • 발신자가 미국 연방 정부 기관인 경우 이메일을 통해 개인 식별 정보(PII)를 제공하거나 .gov로 끝나지 않는 URL 링크를 따라가도록 요청합니다.
  • 발신자는 즉시 사회 보장 번호 또는 납세자 식별 번호를 요청합니다.
  • 발신자의 주소, 이름 또는 이메일 주소가 이상합니다.
  • 모르는 사람이 기프트 카드, 송금, 은행 또는 신용카드 정보를 요구하는 메시지입니다.
  • 메시지에 클릭할 링크나 다운로드할 첨부 파일이 포함되어 있지만 주소나 파일 이름이 비정상적으로 보입니다.
  • 예상치 못한 첨부파일이나 비정상적이거나 낯선 이름의 파일은 악성 파일이라는 신호입니다.
Why Protecting and Responding to Phishing is Hard | Discover three main reasons why protection from and response to phishing attacks is very difficult.

 

피싱 공격으로부터 보호하는 방법

피싱은 다방면에 걸친 위협이므로 종합적인 전략이 필요합니다. 피싱 문제를 극복하기 위해서는 사전 예방부터 사후 대응까지 통합된 엔드투엔드 프로세스가 필요합니다. 둘 중 하나만 있고 다른 하나는 없다면 위협에 대처할 준비가 되어 있지 않은 것입니다.

피싱 보안 스택

피싱은 이메일만의 문제가 아니라는 점을 인식하는 것이 중요합니다. 지능형 피싱과 침입형 피싱 공격에 대응할 수 있는 보안 스택을 갖추는 것이 필수적입니다. URL 데이터베이스와 웹 크롤러를 기반으로 하는 시스템을 사용하는 것은 효과가 없습니다. 인라인 머신 러닝과 같은 기술은 최종 사용자에게 전달되는 페이지 콘텐츠를 분석하여 피싱 위험을 방지하고 환자 제로를 방지하는 데 필요합니다.

보안 수명 주기 접근 방식

피싱의 위험을 줄이는 것은 단순히 하나의 기술을 구축하는 것이 아니라 전체 라이프사이클에 걸쳐 접근해야 합니다. 즉, 조직은 사전 대응 능력과 사후 대응 능력을 모두 갖춰야 합니다. 보안을 아무리 많이 구축하거나 투자하더라도 반드시 대비책을 세워야 합니다. 직원이 피싱을 당하여 자격 증명을 도난당한 경우 조직은 악의적인 액세스를 탐지하고 이에 대응할 수 있는 역량을 갖추고 있나요?

경영진은 조직의 팀과 협력하여 가능한 한 많은 인바운드 피싱 공격을 방지할 수 있는 기술, 인력 및 프로세스가 마련되어 있는지 확인해야 합니다.

다음은 몇 가지 추가적인 피싱 방어 전략입니다:

  • 스팸 필터를 사용하고 이메일 인증 프로토콜을 설정하면 사용자의 받은 편지함에 피싱 이메일이 도달할 위험을 크게 줄일 수 있습니다.
  • 소프트웨어와 시스템을 최신 패치로 정기적으로 업데이트하면 사이버 범죄자들이 자주 악용하는 보안 공백을 메우는 데 도움이 됩니다.
  • 다중 인증을 구현하면 암호 외에 추가 인증 양식을 요구하여 보안을 한층 더 강화할 수 있습니다.
  • 피싱 위협의 특성에 대해 사용자를 교육하는 것이 중요합니다. 정기적인 교육 세션과 업데이트를 통해 사람들이 의심스러운 이메일, 링크 또는 웹사이트를 인식할 수 있습니다.
  • 탄력적인 이메일 필터링 시스템을 구현하면 받은 편지함에 도달하는 피싱 이메일의 수를 크게 줄일 수 있습니다.
  • 잠재적인 피싱 공격을 차단하기 위해 방화벽과 최신 바이러스 백신 소프트웨어로 네트워크 보안을 유지하는 것이 중요합니다.
  • 브라우저 확장 프로그램 및 사이버 보안 소프트웨어와 같은 피싱 방지 도구와 전략을 도입하면 잠재적인 피싱 사이트를 사용자에게 경고하고 피해가 발생하기 전에 악성 콘텐츠를 차단하여 실시간으로 보호할 수 있습니다.

종합적인 플랫폼으로 위험 최소화

사람, 프로세스, 기술에 초점을 맞춘 Cortex XSIAM과같은 포괄적 보안 플랫폼은 피싱 공격의 성공을 최소화할 수 있습니다.

기술의 경우 샌드박싱과 같은 보안 도구가 알 수 없는 링크나 파일을 분석하여 악의적인 경우 접근을 차단하는 정책을 구현합니다. URL 필터링과 같은 다른 프로세스는 알려진 악성 웹사이트와 알려지지 않은 웹사이트를 차단하여 공격을 조기에 방지합니다. 위협 인텔리전스 클라우드에 액세스하면 전 세계 커뮤니티의 지식을 통합하여 이전에 유사한 공격을 받은 적이 있는 경우에도 보호할 수 있습니다.

이메일 게이트웨이 평판 기반 솔루션은 임베드된 URL의 평판이 좋지 않은 것으로 알려진 것을 기반으로 피싱 이메일을 탐지하고 분류할 수 있습니다. 그러나 손상된 합법적인 웹사이트의 URL이 포함된 잘 만들어진 피싱 메시지는 전달 시점에 평판이 나쁘지 않아 이러한 도구에서 놓칠 수 있습니다.

가장 효과적인 시스템은 비정상적인 트래픽 패턴과 같은 분석을 기반으로 의심스러운 이메일을 식별합니다. 그런 다음 임베드된 URL을 다시 작성하고 페이지 내 익스플로잇 및 다운로드가 있는지 지속적으로 확인합니다.

이러한 모니터링 도구는 의심스러운 이메일 메시지를 격리하여 관리자가 진행 중인 피싱 공격을 조사할 수 있도록 합니다. 피싱 이메일이 많이 탐지되면 관리자는 직원들에게 경고를 보내 표적 피싱 캠페인이 성공할 가능성을 줄일 수 있습니다.

 

피싱 공격 FAQ

피싱 이메일을 받으면 링크를 클릭하거나 첨부파일을 다운로드하지 마세요. 해당 이메일을 IT 부서 또는 이메일 제공업체에 신고하고 삭제하세요. 실수로 콘텐츠에 참여한 경우 즉시 비밀번호를 변경하고 비정상적인 활동이 있는지 계정을 모니터링하세요.
피싱 공격의 피해자가 되면 개인 또는 금융 정보 도용(신원 도용), 계정에 대한 무단 액세스, 경제적 손실, 추가 사이버 공격에 대한 노출, 데이터 보안 손상 등의 피해를 입을 수 있습니다. 피해를 줄이기 위해서는 신속한 대응과 보고가 중요합니다.
피싱 시도를 신고하려면 의심스러운 이메일을 이메일 제공업체의 악용 부서(예: abuse@domain.com)로 전달하거나, 업무와 관련된 경우 IT 부서에 알리거나, 피싱 방지 워킹 그룹(APWG) 신고 피싱 서비스와 같은 온라인 신고 도구를 사용할 수 있습니다. 또한 웹사이트를 통해 연방거래위원회(FTC)에 신고할 수도 있습니다.
예, 피싱 이메일에는 열거나 클릭하면 컴퓨터에 멀웨어를 다운로드하여 설치할 수 있는 첨부 파일이나 링크가 포함되어 있을 수 있습니다. 이러한 멀웨어는 민감한 정보를 훔치거나, 사용자의 활동을 모니터링하거나, 공격자에게 디바이스에 대한 원격 제어 권한을 부여할 수도 있습니다.

관련 콘텐츠

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2025 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353