Phishing

form of social engineering and a scam where attackers deceive people into revealing sensitive information or installing malware such as viruses, worms, adware, or ransomware

오늘의 주제는 피싱이다. 뉴스나 공익광고 등에서도 흔히 볼 수 있는 주제인 피싱은 온전히 기술적인 문제만이 아닌, 인간 대 인간의 영역에서도 보안 침해가 발생할 수 있음을 알려주는, 정보보안의 중요한 주제라고 생각한다. 오늘은 이 녀석에 대해 알아보자.

---

1. 피싱의 개요

1.1 피싱의 정의와 기본 개념

피싱(Phishing) 은 사이버 범죄자가 신뢰할 수 있는 기관이나 개인을 사칭하여 사용자로부터 민감한 정보(로그인 자격 증명, 신용카드 정보, 개인정보 등)를 탈취하는 공격 기법이다. 피싱이라는 용어는 ‘Fishing(낚시)’에서 유래했으며, 공격자가 미끼를 던져 사용자가 걸려들기를 기다리는 방식과 유사하다. 피싱은 주로 이메일, SMS, 전화 통화 등을 통해 이루어지며, 사용자에게 악성 링크를 클릭하거나 가짜 웹사이트에 정보를 입력하도록 유도한다.

피싱의 기본 원리

피싱은 사회공학(Social Engineering) 기법을 활용해 사용자의 심리를 교묘하게 조작한다. 공격자는 다음과 같은 방식으로 사용자를 속인다.

1. 신뢰성 확보: 금융 기관, 대기업, 공공기관 등을 사칭해 사용자의 신뢰를 얻는다.
2. 긴박감 조성: 계정이 차단되거나 보안 위협이 감지되었다는 등의 문구를 사용하여 빠른 대응을 유도한다.
3. 미끼 제공: 보상을 제공하거나 긴급한 요청을 통해 사용자가 악성 링크를 클릭하도록 유도한다.

1.2 피싱의 역사와 발전 과정

피싱은 인터넷과 전자 커뮤니케이션의 발전과 함께 등장하여 점차 정교화되고 다양한 형태로 진화해왔다.

초기 피싱(1990년대 후반)

피싱은 1990년대 후반에 처음 등장했다. 당시 공격자들은 이메일을 통해 AOL(America Online) 사용자들의 로그인 정보를 탈취하려 했다. 공격자는 AOL 관리자나 고객센터를 사칭하여 "계정 확인이 필요하다"는 메시지를 보내고 사용자의 비밀번호를 입력하도록 유도했다.

2000년대: 대중화와 금융정보 탈취

2000년대 들어 온라인 뱅킹과 전자상거래가 발전하면서 피싱 공격은 금융 정보를 노리는 형태로 발전했다. 공격자들은 은행, 결제 서비스(PayPal)를 사칭한 가짜 이메일을 보내고, 사용자로 하여금 가짜 웹사이트에 로그인하도록 유도했다.

2010년대: 피싱 기법의 고도화

인터넷 사용량이 급증하고 소셜 미디어가 등장하면서 피싱 공격은 더욱 다양해졌다.

• 스피어 피싱(Spear Phishing): 특정 개인이나 조직을 목표로 맞춤형 피싱 공격을 수행했다.
• 스미싱(Smishing): SMS를 통해 악성 링크를 전달하는 방식이 등장했다.
• 비싱(Vishing): 전화 통화를 통해 사용자를 속여 정보를 탈취하는 기법이 유행했다.

현재: 기술과 AI의 결합

최근에는 인공지능(AI) 과 머신러닝을 활용한 정교한 피싱 공격이 나타나고 있다. 공격자는 실제 기업과 유사한 도메인을 사용하고, 피싱 사이트의 디자인을 정교화하여 일반 사용자가 구분하기 어렵도록 만든다. 또한, 피싱 메시지는 다국어 지원과 자동화된 전송을 통해 글로벌화되었다.

1.3 피싱 공격이 목표로 하는 주요 대상

피싱 공격은 주로 다음과 같은 개인 및 조직을 목표로 한다. 공격의 목적과 범위는 다양하지만, 공통적으로 금전적 이득 또는 민감한 데이터 탈취가 주된 목표이다.

1. 개인 사용자

일반 개인은 가장 흔한 피싱 대상이다. 공격자는 개인의 금융 정보나 개인정보를 노리고 다음과 같은 방법으로 공격을 수행한다.

• 금융 계좌 정보 탈취: 가짜 은행 웹사이트에 로그인을 유도해 계좌 정보를 탈취한다.
• 소셜 미디어 계정 노출: Facebook, Instagram 등의 계정 정보를 빼내어 추가적인 범죄에 활용한다.
• 악성 소프트웨어 설치: 첨부 파일이나 링크를 통해 악성코드를 설치하여 사용자의 기기를 감염시킨다.

2. 기업 및 조직

기업은 스피어 피싱과 같은 정교한 공격의 주요 목표가 된다. 공격자는 기업 내부의 네트워크에 접근하거나 민감한 데이터를 탈취하는 것을 목적으로 한다.

• 임직원 계정 탈취: 관리자 계정에 접근하여 기업 데이터베이스를 손상하거나 데이터를 유출한다.
• 랜섬웨어 유포: 악성 파일을 첨부하여 기업 네트워크에 랜섬웨어를 퍼뜨린다.
• 비즈니스 이메일 침해(BEC): 기업 경영진을 사칭해 자금 이체나 중요 파일 공유를 유도한다.

3. 정부 및 공공기관

공격자는 국가 기관이나 공공 인프라를 타깃으로 하는 APT 공격의 일환으로 피싱을 활용하기도 한다. 이러한 공격은 대개 정보 수집 또는 정치적 목적을 위해 수행된다.

• 정부 기관 사칭: 공무원을 속여 보안 시스템에 접근하거나 기밀 문서를 유출한다.
• 공공 인프라 마비: 전력망이나 교통 시스템과 같은 중요한 공공 시스템에 접근해 서비스 운영을 방해한다.

---

2. 피싱의 주요 유형

2.1 이메일 피싱 (Email Phishing)

이메일 피싱은 가장 널리 사용되는 피싱 공격 방법으로, 공격자가 이메일을 통해 사용자를 속여 민감한 정보를 입력하도록 유도하는 방식이다. 공격자는 금융 기관, 대기업, 공공기관 등 신뢰할 수 있는 기관을 사칭해 가짜 이메일을 발송한다.

특징 및 기법

• 가짜 링크 유도: 이메일에 포함된 링크를 클릭하면 사용자가 가짜 로그인 페이지로 이동하도록 한다.
• 악성 첨부파일: 이메일에 첨부된 파일(예: PDF, Word 문서)을 열면 악성 코드가 설치되거나 시스템이 감염된다.
• 긴박감 조성: 예를 들어, “귀하의 계정이 차단될 예정입니다. 즉시 로그인해 확인하세요”와 같은 문구로 빠른 행동을 유도한다.

예시

공격자가 은행을 사칭해 다음과 같은 이메일을 보낸다.

제목: 계정 비활성화 경고
내용: “보안 위협이 감지되어 귀하의 계정이 비활성화될 예정입니다. 아래 링크를 클릭하여 계정을 확인해주세요.”

사용자가 링크를 클릭하면 가짜 은행 페이지에 로그인 정보를 입력하게 되어, 공격자가 이를 탈취하게 된다.

2.2 스피어 피싱 (Spear Phishing)

스피어 피싱은 특정 개인이나 조직을 타겟으로 하는 맞춤형 피싱 공격이다. 공격자는 목표 대상의 정보를 사전에 수집하여, 해당 대상이 실제로 신뢰할 수밖에 없는 메시지를 만들어낸다.

특징 및 기법

• 맞춤형 메시지: 대상자의 이름, 직책, 취미 등을 포함해 신뢰성을 높인다.
• 특정 대상 목표: 일반적인 피싱과 달리, 불특정 다수가 아닌 특정 개인이나 그룹을 대상으로 한다.
• 기업 내부 침투: 임직원이나 관리자 계정을 타겟으로 하여 기업 내부 네트워크에 접근하는 것이 주된 목적이다.

예시

공격자가 기업의 직원에게 CEO를 사칭해 이메일을 보낸다.

제목: 긴급 요청 – 파일 검토 필요
내용: “안녕하세요, [직원 이름]님. 첨부된 파일을 확인한 후 피드백을 주세요. 기밀 문서이므로 외부 유출을 삼가해주세요.”

이 경우 직원이 첨부 파일을 열면 악성코드가 실행되어 기업 네트워크가 감염될 수 있다.

2.3 스미싱 (SMS 피싱)

스미싱(SMS Phishing)은 문자메시지(SMS)를 이용한 피싱 공격이다. 공격자는 메시지를 통해 악성 링크를 전송하고, 사용자가 이를 클릭하면 악성 웹사이트로 유도하거나 악성 앱을 설치하도록 유도한다.

특징 및 기법

• 단문 메시지: 짧고 간결한 메시지로 긴박감을 조성한다.
• 링크 포함: URL을 포함해 사용자가 무심코 클릭하도록 유도한다.
• 금전적 미끼: 배송 지연 알림, 이벤트 당첨, 결제 요청 등을 사칭해 사용자의 행동을 유도한다.

예시

공격자가 택배 회사를 사칭해 메시지를 보낸다.

내용: “배송이 지연되었습니다. 확인하려면 아래 링크를 클릭하세요. [악성 링크]”

링크를 클릭하면 가짜 웹사이트에 개인 정보 입력을 요구하거나 악성 앱 설치를 유도한다.

2.4 비싱 (Voice Phishing)

비싱(Voice Phishing)은 전화 통화를 통해 사용자를 속여 민감한 정보를 탈취하는 공격 방식이다. 주로 금융 기관, 정부 기관, 법률 사무소 등을 사칭하며 금전적 이득을 목표로 한다.

특징 및 기법

• 신뢰할 수 있는 기관 사칭: 은행, 경찰서, 세무서 등을 사칭하여 정보를 요구한다.
• 긴박감 조성: 예를 들어, “귀하의 계좌에서 불법 거래가 감지되었습니다”와 같은 문구로 당황하게 만든다.
• 금융 정보 요구: 비밀번호, 계좌번호, 보안 카드 번호 등을 제공하도록 유도한다.

예시

공격자가 금융 기관 직원을 사칭해 다음과 같은 전화를 한다.

전화 내용: “고객님의 계좌에서 비정상적인 거래가 감지되었습니다. 보안을 위해 본인 확인이 필요하니 계좌번호와 보안코드를 말씀해 주세요.”

사용자가 정보를 제공하면 공격자는 이를 악용해 계좌에서 자금을 이체하거나 금융 범죄를 저지른다.

2.5 클론 피싱 및 퀴드 프로 쿼 피싱

클론 피싱(Clone Phishing)

클론 피싱은 합법적인 이메일을 그대로 복제한 뒤, 악성 링크나 첨부 파일을 추가하여 보내는 피싱 공격이다. 공격자는 이미 수신된 정상 이메일을 변조해 사용자의 신뢰를 얻는다.

• 특징:
  • 기존의 신뢰할 수 있는 이메일을 복제하여 위장
  • 가짜 링크나 악성 첨부 파일만 변경
• 예시: 회사에서 받은 청구서 이메일을 복제한 뒤, 결제 링크를 악성 페이지로 변경해 재발송

퀴드 프로 쿼 피싱(Quid Pro Quo Phishing)

퀴드 프로 쿼 피싱은 "무언가를 제공하면 보상을 준다"는 형태로 사용자 정보를 탈취하는 공격이다.

• 특징:
  • 공격자가 기술 지원이나 보상을 약속하며 정보를 요구
  • 사용자는 보상을 기대하고 민감한 정보를 제공
• 예시:
  공격자가 IT 기술 지원팀을 사칭하며 사용자에게 전화한다.

전화 내용: “컴퓨터 문제를 해결해 드리겠습니다. 원격 접근을 허용해 주시면 바로 문제를 확인하겠습니다.”

사용자가 원격 접근을 허용하면 공격자는 시스템에 악성코드를 심거나 데이터를 탈취한다.

---

3. 피싱의 작동 원리와 기법

3.1 피싱 사이트와 링크 유도

피싱 공격에서 가장 기본적인 기법은 사용자를 가짜 웹사이트로 유도해 개인정보나 금융 정보를 입력하게 하는 것이다. 이러한 피싱 사이트는 실제 사이트와 매우 유사하게 디자인되어 사용자가 쉽게 속게 된다.

피싱 사이트의 생성과 유도 방식

1. 합법적 사이트의 복제: 공격자는 합법적인 웹사이트를 복제하여 시각적으로 동일한 인터페이스를 만든다. 도메인 이름만 약간 변경하거나 철자를 바꿔 사용한다.
   • 예시: www.paypa1.com (숫자 1 사용) 또는 www.bank-login-security.com 같은 가짜 도메인.
2. 악성 링크 유도: 이메일, 문자 메시지, 소셜 미디어를 통해 사용자가 피싱 사이트로 이동하도록 링크를 전달한다.
3. HTTPS 악용: 공격자는 가짜 사이트에 SSL 인증서를 적용해 HTTPS를 활성화함으로써 사용자에게 안전하다고 믿게 만든다.

작동 원리

1. 사용자가 링크를 클릭하면 피싱 사이트로 연결된다.
2. 가짜 로그인 페이지에 사용자의 계정 정보(이메일, 비밀번호 등)를 입력하도록 유도한다.
3. 입력된 정보는 공격자의 서버로 전송되고, 사용자는 이를 인식하지 못한 채 정보를 탈취당하게 된다.

3.2 사회공학 기법과 심리적 유인

사회공학(Social Engineering) 은 인간의 심리를 조작해 비밀 정보나 행동을 유도하는 기법이다. 피싱 공격은 주로 사회공학 기법을 사용하여 사용자를 속인다. 사회공학은 기술적 수단보다 인간의 실수를 유도하는 데 초점을 맞추므로, 교육과 인식 개선이 중요한 방어 수단이다.

주요 심리적 유인 방법

1. 긴급성 및 위기감 조성
   • 공격자는 "귀하의 계정이 차단될 예정입니다" 또는 "결제가 거부되었습니다"와 같은 문구를 사용해 사용자를 당황하게 만든다.
2. 신뢰성 확보
   • 공격자는 은행, 공공기관, 회사의 관리자 등 신뢰할 수 있는 기관을 사칭한다.
   • 예시: 가짜 이메일 발송 시 발신 주소를 실제 도메인과 유사하게 변조(support@bank-secure.com).
3. 보상과 이익 제공
   • 공격자는 이벤트 당첨, 할인 쿠폰, 무료 상품 등을 미끼로 사용자를 유인한다.
   • 예시: “이 링크를 클릭하면 무료 쿠폰을 드립니다!”

작동 원리

1. 사용자는 심리적 압박 또는 유인에 의해 메시지 내 링크를 클릭하거나 파일을 다운로드한다.
2. 가짜 페이지에 개인정보를 입력하거나 악성 소프트웨어를 실행하게 된다.
3. 공격자는 탈취한 정보를 활용해 추가 공격을 시도하거나 금전적 이득을 취한다.

3.3 악성 첨부파일과 페이로드 활용

피싱 공격은 단순히 링크를 유도하는 것뿐만 아니라, 악성 첨부파일을 포함해 악성코드나 페이로드를 실행하도록 유도하기도 한다.

악성 첨부파일의 유형

1. 문서 파일
   • PDF, Word, Excel 파일에 악성 매크로를 삽입해 실행 시 악성코드를 설치한다.
   • 예시: “급여 명세서 확인 요청” 이메일에 첨부된 문서가 악성 매크로를 포함.
2. 실행 파일
   • .exe 파일을 첨부하여 사용자가 실행하면 시스템에 악성코드를 설치한다.
3. 압축 파일
   • .zip 파일 등 압축 형태로 위장하여, 실행 시 내부에 포함된 악성코드가 작동한다.

페이로드의 작동 원리

1. 첨부파일 실행: 사용자가 첨부파일을 열거나 매크로를 활성화한다.
2. 악성코드 실행: 페이로드가 실행되면서 시스템에 백도어 설치, 데이터 탈취, 키로깅 등을 수행한다.
3. 원격 서버 연결: 공격자는 피해자의 시스템에 원격으로 접속하거나 추가 명령을 실행한다.

예시:
공격자가 기업 직원을 대상으로 다음과 같은 이메일을 보낸다.

“안녕하세요, [직원 이름]님. 첨부된 보고서를 검토해 주시기 바랍니다.”
첨부파일: report.docx (매크로 포함)

사용자가 문서를 열고 매크로를 실행하면, 시스템에 악성코드가 설치되어 공격자가 원격으로 제어할 수 있게 된다.

3.4 URL 변조 및 스푸핑 기법

URL 변조와 스푸핑은 사용자가 가짜 웹사이트를 진짜로 믿게 만드는 기법이다. URL의 외형을 교묘히 바꾸거나 신뢰할 수 있는 사이트처럼 위장하여 사용자를 속인다.

1. URL 변조

공격자는 합법적 URL과 유사한 URL을 만들어 사용자를 속인다.

• 철자 교체: www.paypa1.com (숫자 1 사용).
• 하위 도메인 사용: www.paypal.secure-login.com.
• 유니코드 사용: 유사한 문자(예: ρaypal.com – 그리스 문자 사용).

2. 스푸핑 기법

스푸핑은 실제 웹사이트의 디자인, 로고, URL 구조를 복제하여 신뢰성을 높이는 기법이다.

• 브라우저 주소창 위장: 브라우저의 주소창 디자인을 복제해 사용자가 URL을 오인하게 만든다.
• HTTPS 악용: 무료 SSL 인증서를 사용하여 가짜 사이트에도 HTTPS를 활성화한다.

작동 원리

1. 사용자가 이메일이나 메시지를 통해 가짜 링크를 클릭한다.
2. 공격자는 사용자를 피싱 사이트로 연결해 정보를 입력하게 한다.
3. 사용자가 아무런 의심 없이 정보를 입력하면, 공격자는 이를 탈취하여 악용한다.

예시:

링크 표시: https://secure-paypal.com
실제 URL: http://malicious-site.com/secure-paypal

이처럼 URL을 교묘히 변조하여 사용자가 진짜 사이트라고 믿게 만든다.

---

4. 피싱의 피해 사례와 영향

4.1 개인 사용자 피해 사례 (금융정보 탈취 등)

피싱 공격은 주로 개인 사용자를 대상으로 하며, 그 결과로 금융정보 탈취, 개인정보 유출, 금전적 손실이 발생한다. 공격자는 개인 사용자의 심리를 조작해 가짜 사이트에 정보를 입력하게 하거나, 악성 링크를 클릭하게 만들어 피해를 입힌다.

사례 1: 은행 계좌 정보 탈취

한 사용자는 은행을 사칭한 이메일을 받았다. 이메일에는 "귀하의 계좌에서 의심스러운 활동이 감지되었습니다. 확인하려면 로그인하세요"라는 내용과 함께 링크가 포함되어 있었다. 사용자가 링크를 클릭하자 가짜 은행 로그인 페이지로 연결되었고, 그곳에 계정 정보를 입력한 순간 공격자는 계좌에 접근하여 불법 이체를 진행했다.

사례 2: 신용카드 정보 유출

공격자는 온라인 쇼핑몰을 사칭한 이메일을 보내 "한정 할인 쿠폰을 제공한다"는 메시지와 함께 링크를 포함했다. 사용자가 링크를 클릭해 결제를 진행하면서 카드 정보를 입력하자, 공격자의 서버로 카드 정보가 전송되었다. 이후 카드가 불법 결제에 사용되었으며 피해자는 큰 금전적 손실을 입었다.

사례 3: 개인정보 유출과 추가 범죄

피싱 공격을 통해 개인정보(이름, 생년월일, 주소 등)가 유출된 경우, 추가적인 신분 도용 피해가 발생할 수 있다. 공격자는 유출된 정보를 활용해 다른 서비스에 접근하거나 대출 사기와 같은 추가 범죄를 저지른다.

개인 사용자의 경우 이러한 피해는 주로 금융적 손실로 이어지며, 신분 도용과 같은 장기적 피해로 확산될 수 있다.

4.2 기업 및 기관 대상의 피싱 공격 사례

기업 및 기관은 피싱 공격의 주요 목표 중 하나로, 정보 유출, 랜섬웨어 감염, 내부 시스템 침투와 같은 심각한 피해를 입을 수 있다. 특히 스피어 피싱과 비즈니스 이메일 침해(BEC) 공격이 기업을 대상으로 자주 사용된다.

사례 1: 비즈니스 이메일 침해(BEC) 사례

2019년, 일본의 한 대기업은 CEO를 사칭한 피싱 이메일을 통해 약 3천만 달러를 탈취당했다. 공격자는 CEO의 이메일을 복제한 후 회계 부서 직원에게 "긴급한 해외 송금이 필요하다"는 내용의 이메일을 보냈다. 직원은 이를 진짜로 믿고 자금을 이체했으며, 나중에야 공격임을 깨달았다.

사례 2: 랜섬웨어 감염 유도

미국의 한 병원 시스템은 피싱 이메일에 첨부된 악성 파일을 통해 랜섬웨어에 감염되었다. 공격자는 병원 직원에게 "업데이트된 환자 기록 파일을 확인하라"는 이메일을 보냈고, 첨부된 파일을 열자 랜섬웨어가 네트워크 전체로 확산되었다. 병원 시스템이 마비되었으며, 공격자는 데이터를 복구하는 대가로 거액의 비트코인을 요구했다.

사례 3: 기밀 데이터 유출

정부 기관이 피싱 공격의 표적이 된 경우, 기밀 데이터가 유출되기도 한다. 예를 들어, 공격자가 정부 기관의 직원을 대상으로 피싱 이메일을 발송하고, 내부 시스템에 접근해 국가 안보와 관련된 정보를 유출한 사례가 있다.

기업 및 기관의 피해는 단순한 금전적 손실을 넘어 평판 손상과 운영 마비로 이어질 수 있으며, 이러한 피해는 장기적으로 큰 영향을 미친다.

4.3 피싱의 경제적, 사회적 영향

피싱 공격은 개인과 기업뿐만 아니라 전체 사회와 경제에 부정적인 영향을 미친다. 특히 피싱 공격은 단순한 개인적 문제를 넘어 기업, 사회, 국가적 문제로 확대되며, 경제적 손실과 신뢰 저하라는 심각한 결과를 초래한다. 이에 따라 정부와 기업은 피싱 대응 전략을 강화해야 하며, 일반 사용자는 지속적인 보안 교육을 통해 위험을 인식하고 예방해야 할 것이다.

1. 경제적 영향

• 금전적 손실: 피싱으로 인한 직접적인 금전적 손실은 매년 수십억 달러에 달한다. 특히 기업의 비즈니스 이메일 침해(BEC)와 같은 공격은 막대한 자금 유출로 이어진다.
• 조직의 추가 비용: 피싱으로 인한 시스템 마비 및 데이터 유출로 기업은 보안 강화, 법적 대응, 고객 보상 등에 막대한 비용을 지출해야 한다.
• 생산성 저하: 랜섬웨어 감염이나 시스템 마비는 조직의 업무 중단을 초래하며, 생산성을 크게 저하시킨다.

2. 사회적 영향

• 신뢰 상실: 금융 기관, 정부 기관, 기업이 피싱 피해를 입을 경우 고객과 국민의 신뢰가 크게 훼손된다. 이는 경제 활동에도 부정적인 영향을 미친다.
• 사이버 범죄 확산: 피싱을 통한 불법 자금은 다른 범죄(마약 거래, 테러 지원 등)에 활용될 수 있다.
• 개인 정보 보호 문제: 피싱으로 인해 개인정보가 유출되면, 신분 도용, 사기 범죄 등 2차 피해가 발생할 수 있다.

피싱의 글로벌 비용

• 2022년 미국 FBI의 인터넷 범죄 보고서에 따르면, 피싱 공격으로 인한 전 세계적인 경제적 피해는 약 30억 달러에 이른다.
• 특히 팬데믹 이후 온라인 활동이 급증하면서 피싱 공격이 더욱 활발해졌고, 그로 인한 피해도 급격히 증가하고 있다.

---

5. 피싱 방어 및 대응 전략

5.1 사용자 교육과 인식 제고

피싱 공격의 상당수는 사용자의 실수와 심리적 조작을 기반으로 하기 때문에, 사용자 교육과 보안 인식 제고가 가장 중요한 방어 전략 중 하나이다.

1. 보안 인식 교육

• 피싱 메시지 식별: 사용자가 이메일, SMS, 전화 등을 통해 전달되는 피싱 시도를 인지할 수 있도록 구체적인 사례와 방법을 교육한다.
  • 예: 긴급성을 강조하는 메시지, 의심스러운 링크와 첨부파일 확인하기.
• 링크 및 URL 확인 방법:
  • 링크를 클릭하기 전에 마우스를 올려 URL을 확인하고, 철자나 형식이 올바른지 검토한다.
  • HTTPS를 사용하지만 의심스러운 도메인을 확인하는 습관을 기른다.

2. 실습 기반 교육

기업에서는 모의 피싱 이메일을 발송해 직원들의 반응을 분석하고 교육의 효과를 높인다. 예를 들어:

• 가짜 피싱 메일을 보내 반응률을 평가한 후, 훈련이 필요한 사용자에게 추가 교육을 제공한다.

3. 피싱 예방 팁

사용자 교육 자료에 다음과 같은 팁을 포함한다:

• 출처가 불분명한 링크나 첨부파일은 열지 않는다.
• 금융기관이나 공공기관은 비밀번호와 같은 정보를 이메일이나 문자로 요구하지 않는다는 점을 상기시킨다.
• 비밀번호는 재사용하지 말고 정기적으로 변경한다.

지속적인 교육과 훈련은 피싱 위험을 크게 줄이며, 사용자가 스스로 보안 위협을 인식하고 대응할 수 있도록 한다.

5.2 이메일 필터링 및 보안 솔루션

이메일은 피싱 공격에서 가장 많이 사용되는 경로이므로, 이를 방지하기 위해 이메일 필터링과 보안 솔루션을 도입하는 것이 필수적이다.

1. 이메일 필터링 기술

• 스팸 필터: 자동화된 필터링 시스템이 의심스러운 이메일을 스팸함으로 분류하거나 차단한다.
• DMARC, SPF, DKIM 설정:
  • SPF(Sender Policy Framework): 이메일 발송자의 도메인을 검증하여 스푸핑을 방지한다.
  • DKIM(DomainKeys Identified Mail): 메시지의 무결성을 확인하여 위조된 이메일을 탐지한다.
  • DMARC: SPF와 DKIM을 통합해 발송 도메인의 신뢰성을 검증하고 의심스러운 이메일을 차단한다.

2. 보안 이메일 게이트웨이 (SEG)

• SEG는 기업 네트워크에 유입되는 이메일을 분석하고, 피싱 메시지를 사전에 탐지·차단하는 역할을 한다.
• 기능: 첨부파일 검사, URL 리디렉션 확인, 의심스러운 행위 분석.

3. AI 기반 이메일 보안 솔루션

인공지능(AI)과 머신러닝 기술을 활용하여 이메일 내 악성 링크, 첨부파일, 이상 패턴을 실시간으로 분석한다.

• 예시: Proofpoint와 같은 솔루션은 AI 기반 분석을 통해 피싱 메일을 자동으로 분류한다.

5.3 다중 인증(MFA)과 안전한 로그인 절차

다중 인증(MFA)은 피싱으로 인해 계정 정보가 탈취되더라도 추가 인증 단계에서 공격을 차단하는 효과적인 보안 전략이다.

1. 다중 인증의 개념

MFA는 여러 요소를 결합해 사용자의 신원을 확인한다. 인증 요소는 다음과 같다:

• 사용자가 알고 있는 것: 비밀번호, PIN 코드.
• 사용자가 소유한 것: 스마트폰(OTP 앱), 보안 토큰, 이메일 인증 코드.
• 사용자의 고유 특성: 생체 인증(지문, 얼굴 인식).

2. MFA 적용 사례

• 은행 계정 로그인: 비밀번호 입력 후 SMS로 전송된 OTP(One-Time Password)를 추가로 입력.
• 기업 VPN 접근: 사용자 계정 정보와 함께 보안 토큰이나 앱을 통한 2차 인증 수행.
• 패스키와 결합: 패스키의 장점과 MFA를 결합해 피싱 시도에도 안전한 인증 환경 제공.

3. 안전한 로그인 절차

• 비밀번호 관리: 강력하고 예측 불가능한 비밀번호 사용.
• 비밀번호 없는 인증: 패스키, FIDO2와 같은 기술을 활용해 비밀번호 입력을 없애고 더 안전한 인증 환경 구축.

MFA는 보안성을 크게 높이지만 사용자 경험을 저하시키지 않도록 간편하고 직관적인 절차를 제공하는 것이 중요하다.

5.4 실시간 피싱 탐지 및 차단 기법

피싱 공격은 빠르게 진화하기 때문에 실시간 탐지와 차단 기술이 필수적이다.

1. AI와 머신러닝 기반 탐지

인공지능(AI)과 머신러닝 모델은 이메일과 웹사이트를 분석해 피싱을 탐지한다.

• 행위 기반 탐지: 의심스러운 링크 클릭이나 파일 다운로드와 같은 사용자의 행동 패턴을 분석한다.
• 패턴 분석: 이메일과 URL의 패턴을 학습하여 피싱 가능성이 높은 메시지를 사전에 탐지.

2. URL 및 도메인 검사

• 실시간 URL 분석: 보안 솔루션이 이메일이나 웹사이트의 링크를 분석하여 피싱 사이트인지 판별.
• 블랙리스트 활용: 이미 알려진 피싱 사이트와 도메인을 차단한다.

3. 브라우저 및 보안 플러그인

브라우저는 의심스러운 웹사이트를 탐지하고 경고 메시지를 표시한다.

• Google Safe Browsing: 사용자가 피싱 사이트에 접근하려고 하면 경고창을 띄워 차단.
• 보안 플러그인: 브라우저 확장 프로그램을 통해 링크와 웹사이트의 안전성을 실시간으로 검사한다.

4. 보안 솔루션 통합

• SIEM(Security Information and Event Management): 시스템 전반의 로그 데이터를 수집하고, 이상 징후를 탐지해 실시간 대응.
• EDR(Endpoint Detection and Response): 엔드포인트 기기에서 악성 활동을 탐지하고 자동으로 차단한다.

---

6. 피싱과 보안 기술의 발전

6.1 AI와 머신러닝을 활용한 피싱 탐지

AI(인공지능)와 머신러닝은 피싱 탐지 기술을 획기적으로 발전시키며, 정교화되는 피싱 공격에 대응하는 강력한 도구로 자리 잡고 있다.

AI 기반 피싱 탐지의 원리

AI는 대량의 데이터를 학습하고 분석하여 피싱 패턴을 찾아낸다. 머신러닝 모델은 피싱 이메일과 정상 이메일 간의 차이점을 학습한 뒤, 새로운 메시지가 들어오면 피싱 여부를 실시간으로 판별한다.

• 텍스트 분석: 이메일이나 웹사이트에 포함된 텍스트를 분석해 의심스러운 단어와 문장 구조를 탐지한다.
• 링크와 URL 분석: URL의 길이, 도메인 구조, 리다이렉션 여부 등을 검사해 악성 링크를 판별한다.
• 행동 기반 탐지: 사용자의 행동 패턴과 비교해 평소와 다른 행동이 감지되면 위험을 경고한다.

사례와 적용

• Google의 Gmail: AI와 머신러닝을 통해 매일 수십억 개의 이메일을 분석해 피싱과 스팸을 자동으로 필터링한다.
• 보안 솔루션: Symantec, Proofpoint 등 보안 기업은 AI를 활용해 피싱 탐지 정확도를 높이고 있다.

장점

• 실시간 탐지: 기존의 패턴 매칭 방식보다 빠르게 새로운 피싱 시도를 탐지.
• 지속적인 학습: AI 모델은 새로운 피싱 기법이 등장하면 이를 학습해 대응 능력을 강화.

AI와 머신러닝은 기존 시그니처 기반 보안의 한계를 보완하며, 정교화되는 피싱 공격에 대한 핵심 대응책으로 자리 잡고 있다.

6.2 브라우저 보안과 HTTPS 인증서의 역할

브라우저 보안과 HTTPS 인증서는 사용자가 피싱 웹사이트에 접근하는 것을 방지하는 중요한 역할을 한다.

1. 브라우저 보안 기능

브라우저는 사용자가 의심스러운 웹사이트에 접속하면 경고 메시지를 통해 피싱 위험을 알린다.

• Google Safe Browsing: Google Chrome은 알려진 피싱 사이트 목록과 비교해 사용자의 접근을 차단하고 경고창을 띄운다.
• Microsoft SmartScreen: Microsoft Edge와 Windows는 의심스러운 웹사이트와 파일 다운로드를 감지해 차단한다.

2. HTTPS 인증서의 역할

HTTPS(HTTP Secure)는 웹사이트와 사용자의 브라우저 간 데이터를 암호화하는 프로토콜이다. SSL/TLS 인증서를 통해 데이터를 보호하며, 피싱 사이트 탐지를 돕는다.

• 보안 신호: 브라우저 주소창에 자물쇠 아이콘이 표시되면 HTTPS 연결이 안전하게 설정되었음을 의미한다.
• 피싱 사이트의 HTTPS 악용:
  최근 공격자들은 무료 SSL 인증서를 사용해 HTTPS를 활성화한 피싱 사이트를 만들기도 한다.
  • 대응 방안: 사용자는 HTTPS 유무만 믿지 말고, 도메인과 URL 구조를 세심하게 확인해야 한다.

브라우저 플러그인과 확장 프로그램

• 보안 플러그인(예: uBlock Origin, Avast Online Security)은 사용자의 브라우징 활동을 모니터링하고 의심스러운 사이트를 차단한다.

6.3 피싱 공격 사례를 활용한 위협 인텔리전스

위협 인텔리전스(Threat Intelligence)는 피싱 공격 사례와 관련 데이터를 수집하고 분석해 미래의 위협에 대응하는 보안 전략이다.

1. 위협 인텔리전스의 정의

위협 인텔리전스는 실시간 위협 정보와 분석을 통해 피싱과 같은 사이버 공격을 사전에 탐지하고 대응하는 체계적 접근 방식이다. 주요 정보는 다음과 같다:

• 공격자 정보: 공격자의 IP 주소, 도메인 정보.
• 공격 패턴: 이메일 구조, 피싱 URL 패턴, 악성코드 전파 방식.
• 취약점 정보: 공격자가 활용한 소프트웨어나 시스템 취약점.

2. 위협 인텔리전스의 활용 방식

• 피싱 도메인 블랙리스트 구축: 보안 솔루션은 위협 정보를 바탕으로 피싱 도메인 목록을 업데이트해 사용자가 접근하지 못하도록 차단한다.
• 행동 분석 및 예측: 공격자의 행동 패턴을 분석해 새로운 피싱 시도를 예측하고 방어한다.

사례

• 보안 기업인 FireEye와 Palo Alto Networks는 전 세계 피싱 데이터를 수집해 위협 인텔리전스 보고서를 제공하며, 기업이 이에 대응할 수 있도록 지원한다.

위협 인텔리전스는 단순 방어를 넘어 공격을 예측하고 선제적 대응을 가능하게 한다는 점에서 중요한 보안 전략이다.

6.4 차세대 인증 기술 (FIDO, 패스키 등)과 피싱 방지

차세대 인증 기술은 비밀번호 없는 인증을 통해 피싱 공격을 근본적으로 방지한다. 비밀번호는 피싱 공격의 주요 목표이기 때문에 이를 없애는 방식이 가장 효과적이다.

1. FIDO2와 WebAuthn

FIDO2는 비밀번호 대신 공개 키 암호화를 활용해 사용자를 인증한다.

• 작동 원리:
  • 공개 키는 서버에 저장되고, 개인 키는 사용자 장치에 안전하게 저장된다.
  • 사용자는 생체 인증(지문, 얼굴 인식) 또는 보안 키를 통해 인증 절차를 수행한다.
• 피싱 방지:
  • 공개 키는 특정 사이트와 연결되므로, 가짜 사이트에서는 인증이 실패한다.

2. 패스키(Passkeys)

패스키는 FIDO2 기술을 기반으로 한 인증 방법으로, 사용자 경험을 개선하면서 피싱 공격을 방지한다.

• 장점: 비밀번호가 없으므로 공격자가 가짜 사이트를 통해 탈취할 수 없다.
• 플랫폼 지원: Apple, Google, Microsoft가 패스키를 지원하고 있다.

3. 다중 인증(MFA)과의 결합

FIDO2, 패스키와 같은 차세대 인증 기술은 다중 인증(MFA)과 결합해 더 강력한 보안을 제공한다. 예를 들어:

• 패스키를 1차 인증으로 사용하고, 하드웨어 보안 키나 OTP를 2차 인증으로 활용

---

7. 마무리

기술적 측면에서도, 정보보안을 바라보는 관점의 측면에서도 정말 배울 게 많은 주제였다. 그동안 Daily CS에서 다뤄 왔던 반가운 주제들도 간간이 등장해서 더 반가웠던 거 같다.