매일 업데이트
2022-08-24 00:58 10 min
기술 뉴스

그것은 무엇이며 그것을 감지하고 완화하는 방법은 무엇입니까?

스피어 피싱은 개인과 조직 모두에게 심각한 위협이 되는 사이버 공격으로, 민감한 정보 유출, 금전적 손실, 그리고 평판 하락을 초래할 수 있습니다.

미국 연방수사국(FBI) 보고에 따르면, 스피어 피싱으로 인해 조직들이 약 50억 달러에 달하는 피해를 입었습니다. 이는 스피어 피싱이 얼마나 파괴적인지 보여주는 단적인 예입니다.

흔히 "아이폰 12 당첨!"과 같은 이메일이나 문자 메시지를 받아본 경험이 있을 것입니다. 이러한 메시지는 링크 클릭을 유도하며, 이것이 바로 피싱 사기의 일반적인 수법입니다. 스피어 피싱은 이보다 훨씬 더 정교합니다.

스피어 피싱 공격자들은 신뢰할 수 있는 발신자로 위장하여 개인화된 이메일을 보내, 수신자가 기밀 정보를 유출하거나 돈을 보내도록 속입니다. 이러한 공격으로부터 자신을 보호하고 탐지하는 방법이 매우 중요합니다.

이 글에서는 스피어 피싱의 정의, 작동 방식, 그리고 효과적인 예방 및 탐지 전략에 대해 자세히 알아보겠습니다.

계속해서 읽어보시기 바랍니다!

피싱이란 무엇인가?

피싱은 공격자가 이메일, 문자 메시지, 또는 전화를 통해 합법적인 것처럼 위장하여 피해자와 소통을 시도하는 사이버 공격입니다. 주요 목적은 로그인 정보, 신용카드 정보, 비밀번호 등 중요한 개인 정보나 기업 정보를 훔치는 것입니다.

공격자들은 악성 링크를 클릭하도록 유도하거나, 악성 첨부 파일을 다운로드하게 만들어 기기에 악성 코드를 설치합니다. 이를 통해 개인 데이터 및 온라인 계정 접근 권한을 얻고, 데이터를 변경하거나 시스템을 손상시킵니다.

해커들은 훔친 신용카드 정보나 개인 정보를 이용해 금전적 이득을 취하거나, 시스템, 네트워크, 데이터 복구를 조건으로 금전을 요구할 수 있습니다. 또한, 직원을 속여 기업 정보를 탈취하는 경우도 발생합니다.

피싱 캠페인의 주요 특징은 다음과 같습니다.

  • 수신자의 관심을 끄는 매력적인 메시지 (예: "복권 당첨!", "아이폰 신청 가능!")
  • 긴급성을 강조하여 신속한 대응을 유도 (예: 제한 시간 내 거래, 정보 업데이트 요구)
  • 비정상적인 발신자로부터 오거나, 예상치 못한 메시지
  • 인기 있는 사이트를 가장한 의심스럽거나 철자가 잘못된 링크
  • 예상치 못하거나 이해하기 어려운 첨부 파일

스피어 피싱이란 무엇인가?

스피어 피싱은 특정 조직이나 개인을 목표로 맞춤화된 이메일과 첨부 파일을 사용하는 피싱 공격의 한 형태입니다.

공격자는 신뢰할 수 있는 개인이나 단체로 위장하여 피해자가 민감한 정보를 제공하거나, 악성 프로그램을 다운로드하거나, 돈을 보내도록 속입니다.

스피어 피싱은 사회 공학적 기법을 활용하여 피해자가 인지하지 못하는 사이에 조직 네트워크에 민감한 정보를 노출시키거나 악성 프로그램을 설치하도록 유도합니다.

스피어 피싱의 주요 목표는 고위 공직자, 기밀 정보를 가진 사람, 군 관계자, 보안 관리자 등의 계정에 접근하는 것입니다.

예를 들어, 2015년에는 구글과 페이스북이 리투아니아 이메일 사기로 인해 약 1억 달러의 손실을 입었습니다.

피싱과 스피어 피싱의 차이점

1. 유형: 피싱은 광범위한 용어이며, 스피어 피싱은 피싱의 한 종류입니다. 둘 다 이메일과 메시지를 통해 기밀 정보를 탈취하는 것을 목적으로 하지만, 공격 대상에서 차이가 있습니다.

2. 대상: 일반적인 피싱 공격은 대규모로 진행되며, 수천 명의 사람들에게 동일한 악성 이메일을 보내는 방식으로 이루어집니다. 공격자는 광범위한 대상을 대상으로 정보를 획득하거나 금전을 탈취하려고 합니다.

반면, 스피어 피싱은 기업 정보, 개인 정보, 군사 정보, 신용카드 정보, 은행 비밀번호, 계정 자격 증명 등 특정 정보에 집중합니다.

피싱 vs 스피어 피싱

3. 이메일 유형: 일반 피싱 이메일은 사람들을 유인하여 민감한 정보를 공개하거나 돈을 보내도록 속이기 위해 광범위한 정보를 포함합니다.

스피어 피싱은 특정 개인이나 그룹을 대상으로 맞춤형 이메일을 사용하므로, 합법적인 출처와 구별하기가 더욱 어렵습니다. 공격자는 대상의 이름, 직위 등을 포함시켜 신뢰도를 높이려고 합니다.

4. 예시: 일반 피싱 캠페인의 예로 "아이폰 XI 당첨" 메시지를 들 수 있습니다. 이는 불특정 다수를 대상으로 하며, 제공된 링크를 클릭하여 "상"을 청구하는 사람들을 노립니다. 반면, 스피어 피싱 캠페인은 조직 내에서 개인의 이름이나 직책을 포함하여 실제 출처나 아는 사람이 보낸 것처럼 위장된 이메일을 사용합니다.

사이버 범죄자들은 목표에 따라 피싱과 스피어 피싱 모두를 활용합니다. 피싱은 양적 접근 방식을 통해 성공 가능성을 높이려고 하고, 스피어 피싱은 특정 조직 내에서 성공률을 높이려고 하지만 질적 접근 방식을 취합니다.

스피어 피싱의 종류

스피어 피싱에는 다음과 같은 다양한 유형이 있습니다.

클론 피싱

클론 피싱은 공격자가 실제 이메일을 "업데이트" 버전으로 위장하여 사용자를 속이는 방식입니다. 이 새로운 이메일에는 악성 첨부 파일이나 링크가 포함되어 있습니다. 수신자는 속아서 중요한 정보를 공개하게 됩니다.

악성 첨부 파일

이 유형의 스피어 피싱은 흔하며, 공격자는 악성 첨부 파일 및 링크가 포함된 이메일을 보내 조직의 특정 개인이나 그룹을 공격합니다. 훔친 정보를 활용하거나 랜섬웨어를 요구하기도 합니다.

받은 편지함에서 의심스러운 이메일을 발견하면 링크나 첨부 파일을 클릭하지 마십시오. 이메일이 합법적이라고 생각되더라도 링크 위에 마우스를 올려 전체 주소를 확인하여 링크의 진위를 확인하는 것이 좋습니다. 악성 링크에는 주의하지 않으면 간과할 수 있는 맞춤법 오류나 불규칙성이 있을 수 있습니다. 첨부 파일을 다운로드하거나 링크를 클릭하기 전에 링크의 출처를 확인하는 것이 가장 안전합니다.

가장 기법 (인격화)

사기꾼은 이메일에서 평판이 좋은 브랜드를 가장하여 사용자들이 브랜드에서 일반적으로 받는 이메일 워크플로를 복제할 수 있습니다. 공격자는 원래 링크를 악성 링크로 교체하여 계정 정보를 훔치려고 합니다. 은행, 스트리밍 서비스 등이 자주 사칭됩니다.

CEO 및 BEC 사기

사이버 범죄자들은 CEO나 다른 고위 관리자를 사칭하여 조직의 재무 또는 회계 부서 직원을 목표로 삼을 수 있습니다. 직원들은 고위 관리자의 지시를 거부하기 어렵다는 점을 이용합니다. BEC(Business Email Compromise) 사기를 통해 공격자는 직원을 속여 기밀 데이터를 제공하거나 돈을 송금하도록 유도합니다.

스피어 피싱의 작동 방식

스피어 피싱 공격은 대상에 대해 수집한 정보를 바탕으로 신중하게 설계됩니다.

대상 선택

공격자는 먼저 조직 내 특정 개인 또는 그룹을 선택하고, 이후 조사를 통해 정보를 수집합니다.

대상 선택은 개인이 접근할 수 있는 정보 유형과 공격자가 수집할 수 있는 데이터를 기준으로 이루어집니다. 공격자들은 조사하기 쉬운 데이터를 가진 사람들을 선택하는 경향이 있습니다.

스피어 피싱은 고위 관리자나 임원을 목표로 하기보다는 조작하기 쉬운 경험이나 지식이 부족한 사람을 대상으로 합니다. 또한 신규 직원이나 하위 직원은 조직의 보안 정책을 잘 알지 못하여 실수를 할 가능성이 더 높습니다.

대상 정보 수집

공격자는 소셜 미디어, 링크드인, 페이스북, 트위터 등 공개적으로 사용 가능한 소스에서 대상의 정보를 수집합니다. 또한, 지리적 위치, 소셜 네트워크, 이메일 주소 등에 대한 정보를 수집할 수 있습니다.

악성 이메일 생성

공격자는 수집한 정보를 바탕으로 대상의 이름, 직위, 선호도 등에 맞춰 개인화된 이메일을 생성합니다. 이메일에 악성 첨부 파일이나 링크를 삽입하여 보냅니다.

스피어 피싱 공격은 이메일뿐만 아니라 소셜 미디어나 문자 메시지를 통해 이루어질 수 있습니다. 공격자는 관대한 제안이나 긴급한 조치를 요구하는 메시지를 보낼 수 있습니다.

사기 행위

피해자가 이메일이나 문자 메시지를 합법적이라고 믿고 요청에 응하면 사기를 당하는 것입니다. 공격자가 보낸 악성 링크나 첨부 파일을 클릭하면 민감한 정보가 노출되거나 결제를 하거나 악성 프로그램이 설치되어 시스템이 손상될 수 있습니다. 이는 개인이나 조직에 심각한 피해를 초래하며, 금전적 손실, 평판 하락, 그리고 데이터 유출을 야기합니다. 또한, 공격자는 훔친 정보를 복구하는 대가로 금전을 요구할 수 있습니다.

스피어 피싱 탐지 방법

스피어 피싱 공격은 매우 정교하지만, 다음과 같은 방법으로 공격을 식별하고 예방할 수 있습니다.

발신자 식별

유명 브랜드와 유사한 도메인 이름으로 이메일을 보내는 것은 스피어 피싱에 흔히 사용되는 방법입니다.

예를 들어, "amazon"이 아닌 "arnazon"에서 이메일이 올 수 있습니다. "r"과 "n"은 "m" 대신 사용되었지만, 주의하지 않으면 구별하기 어렵습니다. 따라서 예상치 못한 이메일을 받았을 때 발신자를 주의 깊게 확인하고, 도메인 이름의 철자를 꼼꼼하게 확인해야 합니다.

제목 평가

스피어 피싱 이메일 제목은 두려움이나 긴급함을 유발하여 즉각적인 조치를 요구하는 경우가 많습니다. "긴급", "중요"와 같은 키워드를 사용하거나 "Fwd:", "요청"과 같은 표현을 사용하여 신뢰를 쌓고 관심을 끌려고 시도합니다.

또한, 고급 스피어 피싱 전술은 사용자와 관계를 구축하고 정보를 훔치거나 돈을 갈취하는 장기적인 전략을 포함할 수 있습니다. 제목 줄에서 이러한 위험 신호를 확인하고, 이메일 내용을 주의 깊게 읽어야 합니다. 의심스러운 이메일은 무시하는 것이 좋습니다.

내용, 첨부 파일, 링크 검토

이메일이나 문자 메시지 내용 전체를 주의 깊게 검토하십시오. 소셜 미디어 계정에서 개인 정보를 제공한 경우, 공격자는 이를 악용하여 이메일에 사용할 수 있습니다. 따라서 이름과 같은 개인 정보가 포함되어 있다고 해서 이메일을 무조건 신뢰해서는 안 됩니다.

요청 확인

이메일에서 위에 언급한 요소를 확인했더라도 여전히 의심이 간다면, 결론을 내리기 전에 확인해야 합니다. 이메일을 보낸 사람이 특정 데이터나 금전을 요구하는 경우, 해당 사람에게 직접 전화하거나 연락하여 확인하는 것이 좋습니다.

예를 들어 은행 계좌에 문제가 발생하여 직불 카드 정보나 OTP가 즉시 필요하다는 이메일을 받았다고 가정해 봅시다. 정보를 공개하는 대신 은행에 전화하여 정말로 필요한지 확인해야 합니다. 은행은 이메일이나 전화를 통해 이러한 중요한 정보를 요구하지 않습니다.

스피어 피싱으로부터 자신을 보호하는 방법

보안 사고를 완전히 피할 수는 없지만, 다음 전략을 통해 안전을 지킬 수 있습니다. 다음은 스피어 피싱을 예방하는 몇 가지 방법입니다.

엄격한 보안 정책 시행

조직 전체에 엄격한 보안 정책을 시행하는 것은 스피어 피싱과 같은 사이버 위협을 완화하는 첫 번째 단계입니다. 모든 직원은 데이터 공유, 결제, 고객 정보 저장 등 모든 활동에서 정책을 준수해야 합니다. 또한 모든 직원에게 다음과 같은 강력한 비밀번호 정책을 요구해야 합니다.

  • 고유하고 강력하며 복잡한 비밀번호 사용
  • 여러 계정, 응용 프로그램 또는 장치에 동일한 비밀번호 사용 금지
  • 비밀번호를 누구와도 공유하지 않기
  • 비밀번호를 신중하게 관리하기

MFA 사용

다중 요소 인증(MFA)은 위험을 줄이는 데 도움이 되는 보안 기술입니다. 사용자가 계정이나 애플리케이션에 액세스할 때 둘 이상의 신원 증명을 생성해야 합니다. MFA는 추가 보안 계층을 제공하여 공격 가능성을 낮춥니다.

하나의 비밀번호가 유출되더라도 다른 계층이 보안을 강화하고 공격을 어렵게 만들며, 계정 도용 전에 이상을 감지하고 수정할 시간을 벌어줍니다.

보안 인식 교육

기술이 발전함에 따라 사이버 공격과 기술 또한 발전하고 있습니다. 따라서 최신 위협을 이해하고, 탐지하고 예방하는 방법을 알아야 합니다. 직원을 교육하여 현재 상황을 인식하도록 만들고, 공격으로 이어질 수 있는 실수를 하지 않도록 해야 합니다.

이메일 보안 시스템 사용

대부분의 스피어 피싱 사기는 이메일을 통해 발생하므로, 이메일 보안 시스템이나 소프트웨어를 사용하여 이메일을 보호하는 것이 도움이 될 수 있습니다. 이 시스템은 의심스러운 이메일을 찾아 차단하거나 위협을 수정하여 받은 편지함을 깨끗하게 유지합니다. Proofpoint, Mimecast, Avanan 등의 이메일 보안 소프트웨어를 사용할 수 있습니다.

패치 및 백업

시스템, 소프트웨어, 응용 프로그램을 정기적으로 패치하고 업데이트하여 취약점을 제거해야 합니다. 또한, 주기적으로 데이터 백업을 생성하여 데이터를 안전하게 유지해야 합니다. 공격이나 자연재해가 발생하더라도 데이터 손실을 최소화할 수 있습니다.

만약 이미 악성 링크를 클릭했거나 유해한 첨부 파일을 다운로드했다면 다음 단계를 따르십시오.

  • 데이터를 제공하지 않기
  • 비밀번호를 즉시 변경하기
  • IT 보안 부서에 알리기
  • 웹 연결 끊기
  • 바이러스 백신 소프트웨어로 시스템을 철저히 검사하기

결론

사이버 보안 공격은 지속적으로 발전하고 있습니다. 스피어 피싱은 개인과 기업 모두에게 큰 피해를 줄 수 있는 공격 중 하나입니다. 따라서 스피어 피싱과 같은 사이버 범죄에 대한 지식을 습득하고, 이를 식별하고 예방하는 것이 중요합니다.

저자
박지훈
Korea

기술 트렌드와 실용적인 팁을 전하는 लेखक입니다.

관련 기사
2025-12-26
2026년 클라우드 보안 - 모든 기업이 반드시 바로잡아야 할 것들
휴대폰 알림 소리와 함께 시작되는 악몽이 있습니다. 노출된 AWS S3 버킷에서 고객 데이터가 유출되어 규제 당국의 조사를 받고, 올해 초 중견 소매업체에 480만 달러의 벌금이 부과되었습니다. 급하게 배포하느라 공개 액세스를 켜둔 단순한 실수에서...
2025-11-25
2025년 최고의 guest posting sites & guest post marketplace 랭킹 가이드
해외 SEO, 링크 빌딩, 브랜드 인지도를 동시에 키우고 싶다면 개별 블로그에 하나씩 연락하는 방식만으로는 한계가 있습니다. 대신 전 세계 퍼블리셔와 광고주가 한 곳에 모여 거래하는 guest posting sites 와 guest post...
2025-11-11
한국시장에서존재감강화, 지역채택급증속성장가속화
대한민국, 서울 — 2025 년 10 월 . 한국의 디지털 자산 시장이 놀라운 깊이와 속도로 성장하고 있다. 최근 규제 기관의 공시 자료에 따르면, 대한민국 내 약 1 만 800 명 이상이 10 억 원 ( 약 74 만 달러 ) 이상의 디지털 자산을...
2025-10-19
노벨상 수상자 양젠닝, 103세로 별세…물리학계 큰 별 지다
## 천닝 양, 103세로 별세… 현대 물리학 발전에 지대한 공헌 20세기 물리학의 거장 천닝 양(Chen Ning Yang)이 베이징에서 103세의 나이로 별세했다. 양의 획기적인 연구, 특히 소립자 이해에 대한 그의 공헌은 기초 물리학 을...
이전 기사
2022년 경력 향상을 위한 7가지 전문 SQL 인증
다음 기사
스토리텔링이 판매 성사에 도움이 되는 방법