사이버위협에 대해서 알아보기 (피싱, 2/3) Top 3 Cyberthreats Facing Business Phishing

  오늘은 지난 시간에 이어서 비즈니스에서 직면하고 있는 Top 3 중 하나인 피싱과 몇 가지 실행 가능한 권장 사항을 간략하게 살펴보겠습니다.

 

  피싱(Phishing)은 사이버 범죄의 한 형태로 종종 사회 공학적 요소와 결합되어 가장 널리 퍼져 있고, 입증된 공격 형태 중 하나로 지속되고 있습니다. 통제를 통해 100% 예방을 달성할 수는 없으므로 피싱 공격을 막는 것은 사람의 판단에 달려 있는 경우가 많습니다. 불행히도 피싱 전술은 주의가 산만하거나 멀티태스킹에 바쁜 의심하지 않는 사용자를 포착할 만큼 충분히 설득력이 있기 때문에 효과적이며 Verizon의 2023년 데이터 침해 조사 보고서에 따르면 침해의 74%가 인적 요소와 관련되어 있습니다. 금융 부문은 가장 표적이 되는 부문 중 하나로 보입니다. APWG의 피싱 활동 동향 보고서에 따르면 2022년은 470만 건의 피싱 공격이 발생해 역대 최고 기록을 세웠으며, 그 중 27.7%가 특히 금융 부문을 표적으로 삼았습니다. 피싱 공격의 양이 계속 증가하는 동시에 탐지를 회피하는 능력도 증가하고 있습니다.

 

  이러한 피싱 공격의 주요 특징은 다음과 같습니다

 

1.사회 공학적 기법

  피싱 공격은 사회 공학적 기법을 사용하여 사람들의 신뢰를 노립니다. 공격자는 이메일 제목, 내용, 보내는 사람의 주소 등을 조작하여 공식적인 조직, 은행, 온라인 서비스와 같은 척하거나 긴급한 상황을 만들어냅니다.

 

2.위장된 URL

  피싱 공격자들은 원래의 사이트와 유사한 URL을 사용하여 피해자를 유인합니다. 피해자는 이러한 위장된 링크를 클릭하면, 실제와 같은 로그인 페이지나 양식 페이지로 이동한다고 착각하게 됩니다.

 

3.데이터 도용

  피싱 공격의 목표는 주로 로그인 자격증명, 금융 정보, 신용 카드 번호, 개인정보 등을 획득하는 것입니다. 이를 통해 공격자는 피해자의 계정을 해킹하거나 돈을 훔칠 수 있습니다.

 

4.스피어 피싱 (Spear Phishing)

  개인이나 조직을 대상으로 한 특수한 형태의 피싱으로, 피해자에 대한 상세한 정보를 수집하여 맞춤형으로 공격합니다. 이는 더욱 속이기 쉽게 만듭니다.

 

5.와이어 트랜스퍼 사기

  피싱 공격자는 종종 사업체의 재무 담당자에게 위장한 이메일을 보내 긴급한 상황을 조장하며 금융 정보를 요구합니다. 이를 통해 사기성 계좌로 자금 이체를 유도합니다.

 

 

  또한 피싱 공격으로부터 보호하려면 다음과 같은 조치를 취할 수 있습니다

1.심사숙고

  이메일이나 메시지를 받았을 때 무작정 링크를 클릭하지 말고, 발신자의 이메일 주소와 URL을 검토하여 진짜인지 확인하세요.

 

2.정보 확인

  이메일이나 메시지에 담긴 정보를 본다고 믿지 말고, 공식 웹사이트나 고객 서비스를 통해 직접 확인하세요. 이중 인증: 가능하다면 이중 인증을 사용하여 계정 보안을 강화하세요.

 

3.보안 교육

  조직 내에서 직원들에게 피싱 공격에 대한 교육을 제공하여 대처 방법을 익히도록 하세요.

 

 

  오늘은 이와 같이 피싱에 대해서 알아보았습니다. 반복적으로 강조하지만 피싱은 지능적이고 교묘한 공격 기법이므로 항상 조심하고 방어 조치를 유지하는 것이 중요합니다.