상세 컨텐츠

본문 제목

스피어 피싱: 가장 위험한 피싱 사기 유형

서프샤크 VPN

by 서프샤크 2024. 4. 29. 14:39

본문

지금까지 저희 서프샤크 팀은 피싱과 해킹, 그리고 사기에 대해서 많이 알려드렸어요. 인터넷 활동이 증가함에 따라 사이버 범죄도 더욱 정교해지고 다양화되고 있는데요. 그 중에서도 스피어 피싱은 가장 위험한 피싱 사기 유형 중 하나로 꼽힙니다. 일반적인 피싱에서는 일반적인 수법으로 대량의 인터넷 사용자를 겨냥하지만, 스피어 피싱은 개별적인 대상에게 특화된 공격을 가하는 공격 방식이에요. 이번 포스팅에서는 스피어 피싱이 뭔지, 어떻게 작동하는지, 그리고 이 피싱을 미리 방어할 수 있는 방법에 대해 알려드릴게요!

스피어 피싱이란?

스피어 피싱은 특정 개인 및 기관에 악의적인 의도를 가지고 접근하기 위해 이메일, 전화 또는 SMS를 사용하는 피싱입니다.

피싱은 해커가 누군가를 속여 로그인 정보, 신용 카드 정보 또는 다른 개인 데이터를 공유하도록 유도하는 해킹 방식입니다. 보통 가짜 이메일, 문자 (스미싱), 또는 전화를 통해 이루어지죠. 경찰청에서 내가 고소를 당했으니 법원에 나오셔야 한다고 하는 전화나, 병원에서 남편이 교통사고를 당해서 수술을 해야하니 돈을 보내라는 등의 내용으로 오는 전화예요.

스피어 피싱은 피싱의 한 종류예요. 단지, 피해자의 개인 정보를 사용해서 사기를 치는 게 더 진짜 같게 보이는 수법입니다.

스피어 피싱 공격 예시

스피어 피싱 공격의 가상 예시를 살펴볼게요!

지민이는 Spotify에서 음악을 즐겨들어요. 어느 날 지민이는 자기가 즐겨듣는 노래를 스샷을 찍어 트위터에 올리기로 마음을 먹어요. "이 노래 너무 좋아" 라고 캡션을 달구요. 만약 해커가 트위터를 보다가 이 게시물을 발견하고, 페이스북에서 지민의 프로필을 찾아본다고 쳐볼게요.

해커는 지민의 프로필을 찾아서 지민의 이메일 주소, 다니는 대학교, 그리고 지금까지 다닌 여행 사진들을 다 볼 수 있게 돼요. 해커가 Spotify 계정을 가장해 계정에 재로그인을 해야한다고 이메일을 보내고 지민이 만약 계정을 재설정하거나 한다면, 해커는 이제 지민의 이름, 주소, 신용 카드 정보까지 다 알 수 있게 되는 거예요. 해커는 이 데이터를 다크 웹에서 판매하거나, 지민의 카드의 복제본을 만들어 쇼핑을 하는 데 사용할 수가 있답니다.

 

Symantec의 2019년 보고서에 따르면, 사이버 범죄 단체 중 65%가 정보 수집을 위해 스피어 피싱을 사용한다고 합니다. 개인 뿐만 아니라, 기업 네트워크가 당하는 사이버 범죄 중 95%가 스피어 피싱이구요.

스피어 피싱 공격에 이렇게 많은 사람들이 넘어가는 이유를 알려드릴게요. 스피어 피싱 이메일들은 실제처럼 보여요. 일반적인 업무 관련 이메일인 것처럼 진짜 업무에 관련된 사람이 보낸 거로 보입니다. 업무 관련 스피어 피싱 이메일은 일부러 업무 시간에 전송이 됩니다. 회사 내에서 일하는 사람이 보낸 것처럼 비즈니스 이메일 위조를 하는 거죠. 스팸처럼 보이지 않게 하는 수법입니다.

 

스피어 피싱 예방 방법

스피어 피싱을 당하지 않을 수 있는 방법엔 뭐가 있을까요? 처음부터 애초에 스피어 피싱을 당하지 않는 방법을 알려드릴게요!

개인 차원에서 예방하기

1. 피싱에 대해 충분히 공부하기

2. 인터넷과 SNS에 개인 정보를 남기지 않기

3. 이메일이나 문자를 통해 민감한 정보를 공유하지 않기

직장 차원에서 예방하기

1. 직원들의 이메일 주소를 공개적으로 나열하지 않기

2. 직원들에게 피싱을 식별하는 교육 실시하기

3. 유출된 이메일이나 로그인 정보를 정기적으로 검사하기

4. 이메일이나 문자를 통해 민감한 정보를 공유하지 않기

웨일링 피싱

웨일링(Whaling)은 최고 경영진인 CEO, CMO, COO 등을 대상으로 하는 스피어 피싱이에요. 웨일링은 보통 해커들이 특정 회사의 전체 시스템에 접근하기 위해 이용하는 수법입니다. 고위 경영진의 신분을 이용하여 기업 내부 정보나 재정 정보에 접근하거나 기업을 속여 자금을 획득하는 걸 목표로 합니다. 사기꾼들은 고위 경영진에게 이메일, 메시지, 혹은 전화를 통해 접근을 해요. 기업의 업무 환경, 그리고 조직 내부를 정교하게 조사하고, 이 정보들을 활용하여 고위 경영진을 속이려고 합니다.

웨일링 피싱은 기업에 상당한 피해를 입힐 수 있으며, 이에 대비하기 위해서는 주의 깊은 보안 교육 및 훈련, 고위 경영진 및 직원들 간의 효과적인 의사 소통, 안전한 인증 수단의 도입 등이 필요합니다.

 

피싱을 당하지 않는 방법은 사실 간단해요. 모르는 사람한테서 온 메일이나 아는 사람한테서 온 수상한 모든 걸 클릭하지 않는 겁니다. 이상한 걸 클릭만 안하면 문제가 없어요.

사이버 범죄자와 다양한 해킹 유형으로부터 나 자신을 보호할 줄 알아야 해요. 귀찮다고 비밀번호를 약하게 설정하거나 보안에 신경을 안 쓰면 언제든 해커가 해킹을 할 수 있습니다. 매일 VPN과 백신 소프트웨어를 사용하시는 걸 권장드려요. Surfshark VPN은 안티바이러스 소프트웨어도 제공해준답니다! 그리고 시간이 나시면 저희 Surfshark Team과 같은 사이버 보안 블로그나 뉴스 기사를 읽어보세요. 최대한 많이 해킹에 관해 정보를 알고 있는 게 중요하니까요 ㅎㅎ

해킹을 당한 것 같으면 곧바로 조치를 취하는 게 제일 중요해요. 지금부터 Surfshark VPN 사용해 스마트폰과 기타 기기, 그리고 온라인 활동을 모두 안전하게 보호하세요!

 

출처: 서프샤크 VPN

 

관련글 더보기