이러한 공격은 얼마나 다른가요?
피싱은 사회 공학적 공격 중 가장 흔하고 인기 있는 수법 중 하나입니다.
인간 심리를 악용한 사이버 공격인 피싱은 과거에도 여러 중소기업을 성공적으로 공격했습니다. 한 설문조사에 따르면, 80% 이상의 기업이 2020년에 최소 한 번 이상 피싱 공격에 성공적으로 노출된 경험이 있습니다.
더욱이, 피싱 활동 동향 보고서에 따르면, 피싱 공격은 2019년에서 2022년 사이에 150%나 증가하여 2022년에는 470만 건이라는 기록적인 수치를 기록했습니다.
피싱은 광범위한 사이버 공격 범주에 속하지만, 비싱, 이메일 피싱, 스피어 피싱, 클론 피싱 등 다양한 유형으로 나뉩니다.
특히 스피어 피싱은 가장 흔하고 정교한 사이버 공격 중 하나로, 많은 사이버 공격의 91%가 스피어 피싱으로 시작됩니다.
그렇다면 피싱과 스피어 피싱은 어떻게 다를까요? 이 두 사이버 공격을 구별하는 핵심 요소는 무엇이며, 조직은 어떻게 이를 예방할 수 있을까요?
본 글에서는 피싱과 스피어 피싱에 대해 자세히 알아보고, 이 둘을 구별하는 주요 특징들을 살펴보겠습니다.
자, 시작해 볼까요!
피싱이란 무엇인가?
피싱 공격은 문자 메시지(스미싱), 이메일(이메일 피싱), 전화 통화(비싱) 등 다양한 경로를 통해 불특정 다수에게 사기성 메시지를 보내는 사이버 공격의 일종입니다.
공격자들은 수많은 피싱 시도 중 최소한 몇 건은 성공할 것이라고 기대하며, 중요한 사용자 정보와 기업 정보를 얻기 위해 대량으로 피싱 이메일을 발송합니다.
최근의 피싱 공격자들은 이러한 이메일과 메시지를 매우 정교하게 조작하여 기업이나 은행과 같은 권위 있는 기관에서 보낸 합법적인 메시지처럼 보이게 만듭니다. 해커들은 무작위로 사용자에게 이러한 이메일을 보내, 사용자를 속여 이메일 내의 악성 링크나 문서를 클릭하거나 추가적인 공격을 유발하는 특정 행동을 하도록 유도합니다.
피싱 공격에서 공격자들은 다급한 어조로 수신자에게 불안감을 조성하고, 악성 문서 다운로드나 링크 클릭을 유도하여 은행 정보나 로그인 자격과 같은 개인 정보를 탈취합니다.
결론적으로, 이름에서 알 수 있듯이 피싱은 무고한 사용자나 이메일 수신자를 대상으로 기밀 데이터를 탈취하는 무작위적이고 광범위한 이메일 기반 사이버 공격을 의미합니다.
다양한 매체나 전략을 활용하는 여러 종류의 사이버 공격이 피싱에 포함됩니다. 피싱 공격의 다양한 작동 방식은 다음과 같습니다.
- 스미싱: SMS 피싱이라고도 불리는 스미싱은 SMS 문자 메시지를 통해 사용자의 휴대폰이나 모바일 기기를 악성코드로 감염시키는 공격입니다.
- 비싱: 비싱은 전화 통화나 VoIP(인터넷 전화)와 같은 인터넷 프로토콜을 통해 이루어지는 피싱 사이버 공격입니다.
- 팝업 피싱: 이 공격은 사용자 화면에 기기 보안 관련 긴급 팝업 메시지를 띄워 진행됩니다.
- 팩스 피싱: 공격자가 이메일 첨부 파일로 팩스를 수신했다는 내용의 피싱 이메일을 보내, 사용자를 가짜 웹사이트로 유도하여 로그인 자격을 입력하도록 속이는 방식입니다.
- 전신 송금 피싱: 이 공격은 사기 행위를 위해 은행 송금을 이용합니다.
위와 같이 다양한 피싱 공격이 있다면, 스피어 피싱은 무엇이고 앞서 언급한 공격과 어떻게 다를까요?
스피어 피싱이란 무엇인가?
스피어 피싱은 불특정 다수를 대상으로 하는 피싱 공격과 달리, 특정 개인, 조직, 또는 대상을 겨냥하는 더욱 발전되고 정교한 형태의 피싱 공격입니다.
일반적으로 스피어 피싱 공격은 특정 집단을 대상으로 하기보다는, 주로 스푸핑된 이메일과 같은 사회 공학적 기술을 사용하여 특정 기업이나 조직을 목표로 합니다.
스피어 피싱에서 공격자들은 종종 조직의 직원, 동료, 비즈니스 관계자를 사칭하여 조직의 기밀 정보를 탈취합니다. 목표는 단순한 개인 정보 탈취를 넘어 회사 서버를 해킹하고 침입하여 표적화된 악성 활동을 수행하는 것일 수 있습니다.
사이버 범죄자들은 스푸핑된 이메일과 같은 사회 공학 기술을 사용하여 피해자의 소셜 미디어 프로필을 통해 이름, 회사 등의 개인 정보를 수집한 후 피해자에게 맞춤화된 이메일을 보냅니다. 이를 통해 스푸핑된 이메일이 더욱 진짜처럼 보이고 신뢰도를 높입니다.
이러한 방식으로 사이버 범죄자들은 피해자와 신뢰를 쌓고, 이메일 수신자가 공격자가 원하는 행동을 할 가능성을 높입니다. 이메일 스푸핑 외에도 공격자들은 동적 URL과 드라이브 바이 다운로드를 사용하여 기업의 보안 시스템을 무력화하고 스피어 피싱 공격을 수행할 수 있습니다.
사이버 범죄자들은 스피어 피싱을 수행할 때 주로 두 가지 유형의 공격을 사용합니다.
- 웨일링: 이 스피어 피싱 공격은 주로 회사의 기밀 정보 접근 권한이 있는 고위 임원을 대상으로 합니다. 공격자는 이러한 개인을 타겟팅하여 민감한 데이터에 접근하고, 자금 이체를 시작하거나 데이터 침해를 유발할 수 있습니다.
- CEO 사기: 웨일링 공격이 고위 직원을 대상으로 하는 반면, CEO 사기 피싱 공격은 주로 회사의 CEO와 같은 고위 임원을 사칭하여 하급 직원을 대상으로 합니다. 공격자는 하급 직원을 쉽게 설득하거나 압박하여 승인되지 않은 행동을 하도록 만들 수 있습니다. 이 공격은 BEC(비즈니스 이메일 침해) 공격이라고도 합니다.
이제 피싱과 스피어 피싱의 기본 정의와 개념을 이해했으므로, 이 두 공격이 주요 차이점을 통해 어떻게 다른지 자세히 살펴보겠습니다.
피싱과 스피어 피싱: 한눈에 보기
| 요소 | 피싱 | 스피어 피싱 |
| 공격 스타일 | 더욱 광범위하고 무작위적인 개인 그룹을 대상으로 하는 대규모 공격 | 사회 공학적 전술을 통해 특정 조직이나 개인을 공격 |
| 개인화 수준 | 자주 발생하며 시간 소모가 적음 | 공격자가 대상 피해자의 이름, 조직, 직업 등 심층 조사를 수행하여 고도로 개인화됨 |
| 긴급성 수준 | 피해자가 즉시 조치를 취하도록 설득하는 긴급한 어조 | 긴급성이 낮거나 없음, 피해자의 신뢰를 얻는 데 집중 |
| 주요 목표 | 로그인 자격과 같은 피해자의 민감한 데이터 탈취 | 데이터 탈취 시도뿐만 아니라, 회사 기밀 정보 유출 등 더 큰 목표 추구 |
| 노력 수준 | 낮음, 일반적인 템플릿 사용 | 높음, 메시지를 세심하게 작성 및 개인화 |
| 메시지 내용 어조 | 일반적이고 형식적(피해자에게 익숙하지 않을 수 있음) | 친숙하고 개인화됨 (인사말에 피해자 이름 포함) |
| 예시 | 은행에서 비밀번호 업데이트를 요청하는 일반적인 이메일 | 프로젝트 관련 송금을 요청하는 고위직 직원 |
| 예방 조치 | 이메일 필터링 및 기본적인 사이버 보안 교육 | 고급 방화벽, 이메일 필터링, 지속적인 사이버 보안 교육 |
피싱과 스피어 피싱: 기능 비교
피싱과 스피어 피싱은 유사한 특징을 공유할 수 있지만, 주요 대상, 공격 전술, 방법, 보안 조치 등 다양한 측면에서 차이가 있습니다.
각 내용을 자세히 살펴보겠습니다.
#1. 공격 벡터
표준 피싱 공격은 대량 이메일, 악성 웹사이트, SMS 메시지와 같은 사회 공학 공격을 통해 광범위한 공격을 시도합니다. 따라서 여러 공격 벡터를 활용하여 많은 잠재적 피해자에게 접근하려고 합니다.
반면 스피어 피싱 공격은 더욱 표적화되고 구체적이며 개인화되어 특정 조직이나 개인 그룹을 대상으로 합니다. 스피어 피싱은 스푸핑된 이메일을 공격 벡터로 사용하는 경우가 많지만, 소셜 미디어, 전화 통화, 또는 직접적인 상호 작용을 통해 특정 개인을 공격할 수도 있습니다.
#2. 기만적인 전술
피싱 공격은 합법적인 조직이나 서비스를 사칭하여 일반적이고 잘못 작성된 이메일이나 메시지를 대량으로 사용하고 전송합니다. 공격자들은 겁을 주거나 메시지 내에 긴박감을 조성하여 피해자가 로그인 자격 정보나 은행 계좌 정보와 같은 민감한 데이터를 쉽게 넘겨주도록 속입니다.
일반적으로 피싱 공격자들은 일반적인 이메일 템플릿을 사용하여 사용자를 속이고, 악성 링크, 가짜 웹사이트, 악성코드 첨부 파일 등을 활용하여 피해자가 장치나 계정 보안을 위해 필요한 행동을 하도록 공포심을 유발합니다.
피싱은 일반적인 사기 전술을 사용하는 반면, 스피어 피싱은 대상 피해자에 대한 철저한 조사를 바탕으로 개인화되고 신뢰할 수 있는 메시지를 작성하여 설득력을 높입니다. 이름, 회사, 직위 등 피해자에 대한 구체적인 정보를 포함하여 합법적인 비즈니스 이메일처럼 보이게 하여 일반적인 피싱 이메일과 차별화됩니다.
#3. 타겟팅
피싱 공격은 여러 개인을 동시에 공격하여 기회주의적인 접근 방식을 취합니다. 특정 사람이나 조직을 대상으로 하기보다는 대량으로 이메일을 보내, 그중 일부가 사기 전술에 걸려들기를 기대합니다.
반대로 스피어 피싱은 단순한 행운에 의존하지 않고 표적 사회 공학을 활용합니다. 공격자는 대상 피해자에 대해 매우 명확하고 집중적인 조사를 통해 특정 개인에게 개인화된 이메일을 보냅니다.
이들은 조직의 민감한 비즈니스 데이터 접근을 위해 높은 가치가 있는 임원이나 고위 직원을 선택하거나 집중 공격합니다. 공격 대상이 되는 임원의 직급이 높을수록 잠재적인 피해 규모가 커집니다.
따라서 스피어 피싱 공격에서 대상 피해자는 조직 자체를 침해하기 위한 수단으로 간주될 수 있습니다.
#4. 목표
피싱 공격의 주요 목적은 광범위한 개인을 대상으로 기밀 및 민감한 정보를 대량으로 수집하는 것입니다. 이 정보에는 신용카드 번호, 로그인 자격 증명, 은행 계좌 비밀번호 또는 가능한 많은 대상의 개인 데이터가 포함될 수 있습니다.
반면 스피어 피싱 공격의 목적은 더 구체적이며, 공격자의 최종 목표에 따라 크게 달라질 수 있습니다. 이 공격은 특정 비즈니스 계정 접근, 기밀 정보 유출, 독점 자산 또는 데이터 도난, 조직 내 내부 사이버 공격 시작 또는 표적 기업에 대한 스파이 행위 등이 목적일 수 있습니다.
#5. 탐지 문제
조직은 도메인 블랙리스트, 이메일 필터링, 방화벽, 바이러스 백신 소프트웨어를 통해 피싱 공격을 탐지할 수 있습니다. 그러나 권위 있는 개인을 사칭하거나 가짜 웹사이트에서 HTTPS를 사용하고, URL 난독화, 파밍 등 인간 심리를 악용한 정교한 사회 공학 공격으로 인해 일부 피싱 이메일을 탐지하기 어려울 수 있습니다.
한편, 스피어 피싱 공격은 피싱 공격에 비해 더욱 맞춤화된 방식으로 설계되어 탐지가 훨씬 더 어려울 수 있습니다. 기존의 방화벽과 같은 보안 시스템으로는 이러한 공격을 탐지하지 못하는 경우가 많습니다.
따라서 스피어 피싱을 탐지하려면 사용자 교육, 인식 개선, 이메일 내의 미묘하고 기만적인 징후를 식별하는 예리한 능력에 크게 의존해야 합니다.
#6. 예방 조치
직원과 조직은 방화벽, 바이러스 백신 소프트웨어, 이메일 및 웹 필터링, 정기적인 비밀번호 업데이트, 보안 패치 설치 등을 통해 피싱 공격을 예방할 수 있습니다.
직원들이 피싱 시도를 쉽게 인지하도록 경각심을 고취시키기 위한 사이버 보안 교육과 직원 교육을 실시하는 것도 중요합니다.
스피어 피싱 예방에는 다층적인 접근 방식이 필요하며 강력한 이메일 보안 솔루션과 사용자 교육을 병행해야 합니다. 여기에는 엄격한 액세스 제어, 2단계 인증(2FA), 직원 교육 및 인식 개선, 의심스러운 이메일 패턴을 식별하는 강력한 이메일 보안 솔루션, 위협 인텔리전스 등이 포함될 수 있습니다.
#7. 실제 사례
PayPal이나 소셜 미디어 프로필과 같은 유명 조직 및 은행을 사칭하는 가짜 이메일은 일반적인 피싱 공격의 예입니다.
- 스펙트럼 건강 시스템은 2020년 9월에 환자와 직원으로 가장한 사람들의 전화 공격을 보고했습니다. 공격자들은 직원으로 위장하여 회원 ID와 계정 관련 정보와 같은 개인 데이터를 탈취했습니다. 공격자들은 위협과 아첨을 통해 피해자들에게 원하는 데이터, 개인 장치 접근 권한, 또는 금전을 요구했습니다.
- 또 다른 실제 피싱 공격 사례로, Tripwire에서 보도한 스미싱 공격이 있습니다. 공격자들은 미국 우체국(USPS)으로 위장하여 피해자에게 SMS 메시지를 보냈습니다. 이 메시지는 피해자에게 곧 배달될 USPS 배송 관련 세부 정보를 확인하려면 링크를 클릭하도록 유도했으며, 이로 인해 구글 계정 자격 증명을 탈취하려는 가짜 웹사이트로 연결되었습니다.
마찬가지로, 스피어 피싱 공격의 실제 사례 두 가지는 다음과 같습니다.
- 가장 유명한 스피어 피싱 공격 중 하나는 구글과 페이스북이 속아서 1억 2천 2백만 달러를 지불한 사건입니다. 2013년부터 2015년까지 진행된 대규모 BEC 스피어 피싱 공격 캠페인으로 발생했습니다. 공격자들은 두 회사의 공통 공급업체인 콴타를 사칭하여 구글과 페이스북에 허위 청구서가 포함된 이메일을 보냈습니다. 하지만 두 회사는 나중에 도난당한 금액 중 4천 9백 7십만 달러를 회수할 수 있었습니다.
- 또 다른 스피어 피싱 공격 사례는 프랑스 대표 영화 그룹 파테가 CEO 사기로 1920만 유로를 손실한 사건입니다. 공격자는 마크 라칸 CEO를 사칭하여 네덜란드 지사에 두바이의 타워링 스타스 제너럴 트레이딩 LLC로 4건의 자금을 이체하도록 요청하는 여러 통의 이메일을 보냈습니다.
#8. 성공률
피싱 공격의 성공률은 크게 다르지만, 일반적으로 광범위하게 목표를 설정하기 때문에 스피어 피싱 공격에 비해 상대적으로 낮습니다.
피싱 공격의 성공률은 주로 메시지에 사용된 기만 전술의 수준, 피해자의 사이버 보안 인식 수준, 스푸핑 메시지를 탐지하는 능력에 따라 달라집니다.
반면에 스피어 피싱 공격은 더 설득력 있고 개인화되어 있기 때문에 성공률이 더 높습니다. 이메일 수신자는 스푸핑된 이메일을 신뢰하고, 스피어 피싱 시도에 속을 가능성이 더 높습니다. 왜냐하면 이메일이 더 신뢰성 있고 관련성이 높은 정보를 포함하고 있기 때문입니다.
피싱 및 스피어 피싱으로부터 자신을 보호하는 방법
피싱 및 스피어 피싱 공격의 위험과 잠재적 영향은 더 크고 현실적이며 복잡하여 조직에 막대한 비용을 초래할 수 있습니다.
따라서 이러한 피싱 공격의 위험을 억제하거나 최소화하기 위해 중요한 예방 조치를 취하는 것이 필수적입니다. 다음은 정교한 피싱 및 스피어 피싱 공격의 피해자가 되지 않도록 자신과 조직을 보호할 수 있는 몇 가지 방법입니다.
- 데이터 암호화를 통해 컴퓨터와 모바일 기기의 기밀 데이터와 정보를 암호화하여 공격자가 올바른 암호 없이는 이 데이터에 접근할 수 없도록 해야 합니다.
- 가짜 피싱 이메일은 공격자가 로그인 자격 증명을 훔치는 주요 수단입니다. 따라서 SPF, DMARC, DKIM 설정과 같은 방법을 통해 이메일 주소를 인증해야 합니다.
- 다중 요소 인증(MFA)을 사용하면 로그인 자격 증명이나 비밀번호가 손상된 경우에도 기밀 비즈니스 계정 접근을 보호할 수 있습니다. MFA를 사용하면 공격자가 계정을 해킹하는 것이 훨씬 어려워집니다.
- 최신 보안 패치, 맬웨어 방지, 바이러스 백신 및 스팸 방지 소프트웨어를 설치하여 모든 내부 소프트웨어, 애플리케이션, 운영 체제 및 네트워킹 도구를 최신 상태로 안전하게 유지해야 합니다.
- 직원을 교육하고 피싱 공격의 부정적 영향, 탐지 방법, 예방 방법을 알려주는 사이버 보안 교육을 실시하고 모범 사례를 따르도록 장려하여 위험을 최소화해야 합니다.
- 정기적인 사이버 보안 교육 프로그램과 피싱 시뮬레이션을 실시하여 직원들이 최신 사이버 보안 트렌드와 위협을 인지하고 사기 이메일과 악성 이메일을 식별하고 보고하는 능력을 테스트해야 합니다.
이러한 방식으로 사이버 보안 중심의 조직 문화를 조성하고 최상의 절차와 관행을 통합하면 피싱 및 스피어 피싱 공격의 잠재적 영향을 줄이는 데 크게 도움이 될 수 있습니다.
마지막 말
피싱과 스피어 피싱 공격 캠페인은 오늘날 디지털 세계에서 피할 수 없는 현실입니다. 사이버 범죄자들은 정교한 전술을 사용하여 개인과 조직을 공격하여 막대한 재정적 손실과 평판 손실을 초래하고 있습니다.
두 공격 모두 조직의 신뢰성을 손상시킬 수 있지만, 최신 사이버 보안 동향을 파악하고 최고의 보안 관행을 통합하면 예방할 수 있습니다. 이는 공격을 이해하고 연구하는 데서 시작됩니다.
본 글에서는 피싱과 스피어 피싱의 차이점을 이해하고, 기본 목표, 대상, 영향, 성공률, 전술, 공격 벡터 및 예방 방법 측면에서 차이점을 살펴보았습니다.
따라서 위에서 언급한 최고의 보안 관행을 준수하여 여러분과 여러분의 회사가 악의적인 피싱 및 스피어 피싱 공격의 희생양이 되지 않도록 하십시오.
다음으로, 스팸, 스푸핑, 피싱 공격으로부터 사용자를 보호하는 이메일 보안 솔루션을 확인해 보십시오.