미국 연방수사국(FBI)이 운영하는 인터넷범죄센터(IC3) 발표에 따르면, 기업 이메일을 악용한 공격(BEC)은 사건 당 피해 금액이 큰 공격 유형 중 하나입니다. 특히 BEC의 90% 이상이 피싱(Phishing)에 의해 발생했습니다. 피싱은 무엇이고, 어떻게 막을 수 있을지 살펴보겠습니다.
피싱(Phishing)이란 개인정보(Private)를 낚는(Fishing)다는 의미의 합성어입니다. 미끼로 물고기를 낚는 것처럼, 그럴듯한 가짜 이메일이나 링크를 이용해 개인정보를 빼가는 공격 방법을 의미합니다.
대표적으로, 사용자가 인터넷뱅킹 서비스를 이용하기 위해 포털 검색으로 은행 사이트에 접속했으나, 사용자 컴퓨터가 악성코드에 감염된 경우 실제 사이트와 주소가 유사한 피싱 사이트로 접속될 수 있습니다. 사용자가 피싱 사이트에서 금융 정보를 입력하면, 이 정보를 해커가 탈취하는 식입니다. 이 뿐만 아니라 전화요금 미납 등을 미끼로 개인정보를 요구하고 돈을 빼가는 등 다양한 방법으로 피싱 공격이 이루어집니다.
피싱공격의 유형
1. Man-in-the-middle(MITM) 공격
MITM 공격은 사용자와 응용프로그램 또는 접속 사이트 사이에서 트래픽을 가로채거나 통신 내용을 도청하는 등 네트워크 통신을 조작하는 방식입니다. 일반 사용자는 정상적인 통신을 하고 있다고 생각하지만, 사실은 해커가 중간에서 정보를 가로채고 반대쪽에 조작된 정보를 전달하기도 합니다.
2. 파밍(Pharming)
공격자가 교묘하게 URL을 바꾸거나 헷갈리게 설정해 사용자를 비정상적인 사이트로 유인하는 방법입니다. 도메인이 다르다는 것을 인지하지 못한 사용자는 개인정보를 탈취당할 수 있습니다.
3. XSS(Cross-site scripting)
웹 애플리케이션 취약점을 이용한 피싱 공격 중 하나입니다. 해커가 웹페이지나 이메일에 악성 스크립트 코드를 포함해 사용자에게 전달했을 때, 이를 실행하면 악성 스크립트 코드가 사용자 컴퓨터에 실행됩니다. 이때 해커는 사용자 권한을 탈취해 계정에 로그인하거나 활동을 제어할 수 있게 됩니다.
그 외에도 문자메시지(SMS)와 피싱의 합성어인 스미싱(Smishing), 보이스피싱, 메신저피싱, QR코드를 활용한 큐싱(Qshing) 등이 대표적인 피싱 공격입니다.
피싱 공격은 큰 비용을 들이지 않고 해커들이 할 수 있는 아주 간단하고 쉬운 공격 유형입니다. 그만큼 우리 주위에서 쉽게 찾아볼 수 있는 공격입니다. 만약 피싱으로 의심되는 사이트를 발견했거나 피해를 보았을 경우 최대한 빠르게 관련 기관에 신고해야 합니다. 한국인터넷진흥원(국번 없이 '118')과 '보호나라' 웹사이트에서 피싱 사이트 신고가 가능합니다.
피싱 공격에 당하지 않는 방법
피싱 공격에 당하지 않기 위해서 개인은 출처가 분명하지 않은 이메일, 문자 등에 접근할 때는 주의가 필요합니다. 또한 개인정보를 입력하거나 금융사 홈페이지를 이용할 때는 홈페이지의 주소가 정확한지 한 번 더 확인하고 암호화 설정이 된 'HTTPS'로 연결됐는지 살펴봐야 합니다. 또 외부 네트워크를 활용할 때는 통신사 및 지자체에서 제공하는 안전한 와이파이를 이용하고, 보안 설정 없는 무선랜에서는 금융 거래, 업무 등을 지양해야 합니다.
기업 차원에서는 이중인증(2FA)이나 다중인증(MFA) 솔루션 도입을 통해 구성원의 계정을 보호해야 합니다. 이러한 인증 솔루션은 '일회용 비밀번호(One Time Password, OTP)', 생체 인증 등의 방식을 활용함으로써 비정상적인 접근을 막는데 효과적인 방법입니다.
편집자 주. 블록체인 기술이 실생활에 스며들어 다양한 IT 기술과 결합하고 있습니다. 새로 시작하는 보안업체 펜타시큐리티의 연재 기고 '쉽게 만나는 IT'는 이같은 현실을 풀어서 설명해 드립니다.
제보, 보도자료는 contact@coindeskkorea.com