피싱 공격은 개인 정보를 탈취하기 위한 사회 공학적 기법입니다. 사이버 범죄자들은 지속적으로 새로운 피싱 전략을 개발하여 더 많은 사용자를 속이려 합니다. 그중 하나가 빈 이미지 피싱 사기이며, 이를 식별하고 예방하는 방법을 알아보겠습니다.
빈 이미지 피싱 사기의 원리
빈 이미지 피싱 사기의 표적이 된 사람들은 내용이 비어 있는 .html 또는 .htm 확장자의 첨부 파일이 포함된 이메일을 받게 됩니다. 그러나 사용자가 해당 첨부 파일을 클릭하면 악성 웹사이트로 자동 연결됩니다.
첨부된 HTML 파일을 분석해 보면 Base64로 인코딩된 SVG 파일이 숨겨져 있습니다. 이 빈 이미지 내에 포함된 자바스크립트 코드가 사용자를 위험한 URL로 리디렉션시키는 역할을 합니다.
개인 정보나 중요 데이터를 입력하는 행위는 절대적으로 삼가야 합니다. 정보를 입력하는 순간, 해커에게 개인 정보를 넘겨주는 것과 같습니다.
빈 이미지 피싱 사기 방어 전략
아바난 연구진에 따르면, 이 사기 수법은 기존의 바이러스 백신 도구를 회피할 수 있다고 합니다. 즉, 이메일 서비스 제공업체나 회사의 보안 시스템만으로는 탐지하기가 어렵습니다.
또한, 이 사기는 정상적인 이메일 속에 악성 파일을 숨기는 방식으로 작동합니다. 예를 들어, 연구진이 발견한 사례 중에는 DocuSign에서 발송된 것처럼 위장한 이메일이 있었습니다. 첨부 파일의 이름은 ‘스캔된 송금 안내’와 같았습니다.
이메일 내용 중 “문서 보기” 링크를 클릭하면 정상적인 DocuSign 페이지로 이동하지만, 첨부 파일을 클릭하는 순간 문제가 발생합니다.
이러한 사례는 예상치 못한 이메일이나 첨부 파일이 아무리 정교하게 위장되어 있거나 호기심을 자극하더라도 절대적으로 주의해야 함을 보여줍니다. 피싱 사기는 피해자에게 막대한 피해를 입힐 수 있습니다. 은행 계좌 정보와 같은 민감한 정보를 해커에게 고스란히 넘겨줄 수 있습니다.
그렇다면 어떻게 대처해야 할까요? 회사 관리자는 이메일 설정을 변경하여 .html 첨부 파일을 차단할 수 있습니다. 이미 많은 기업에서 .exe 파일 첨부를 차단하여 이메일 시스템을 더욱 안전하게 만들고 있습니다.
권한을 가진 사람은 피싱 시뮬레이션을 실행하여 직원들의 대응 방식을 확인할 수도 있습니다. 이러한 시뮬레이션은 사이버 보안 교육이 더 필요한 직원을 파악하는 데 도움이 되며, 실제 공격에 대한 대비 태세를 강화할 수 있습니다.
일반적으로는 개인 정보를 요구하거나, 출처를 알 수 없거나, 완전히 신뢰할 수 없는 사람으로부터 온 첨부 파일을 다운로드하지 않는 것이 현명합니다. 의심스러운 이메일을 받은 경우, 다른 연락 채널을 통해 발신자에게 연락하여 링크나 첨부 파일의 진위를 확인하는 것이 중요합니다.
끊임없이 진화하는 피싱 공격
빈 이미지 피싱 사기는 해커들이 지속적으로 새로운 방법으로 피해자를 속이려 한다는 사실을 상기시켜 줍니다. 특히 이 공격의 가장 위험한 점은 겉으로 보기에 내용이 없는 빈 이메일처럼 보인다는 것입니다. 문법 오류나 이상한 이미지 등, 일반적인 피싱 공격에서 발견되는 단서가 전혀 없다는 것이 문제입니다.
합법적으로 보이는 이메일이라 할지라도 예상치 못한 이메일은 항상 경계해야 합니다.