2022. 11. 14. 15:31ㆍIT 트렌드가 한눈에!
서울 용산 이태원사고 대처상황(06시).docx
OOO Talk Update.zip
위와 같은 파일명의 첨부 파일, 클릭하지 않을 자신 있나요?
최근 있었던 안타까운 사고와 메신저 장애 사태를 악용한 피싱(Phishing) 공격에 실제로 사용된 파일명입니다. 클릭할 경우, 악성 코드가 유입돼 개인정보가 탈취되거나 개인 PC가 원격 조종을 당하는 등의 피해를 입게 되죠.
이런 피싱 공격은 대부분 이메일을 통해 이뤄지는데요. 이메일을 통한 피싱 공격의 위험성과 예방의 중요성은 파수가 여러 번 포스팅에서 다루기도 했죠.
오늘은 사회 혼란을 틈타 이를 악용한 피싱 공격 수법들에 대해 말씀드려보고자 합니다.
이상한 변호사 우영우 마지막 에피소드의 재구성 - 스피어피싱 뜻, 개인정보 유출과 암호화
2022년 최고의 화제 드라마, <이상한 변호사 우영우>가 자체 최고 시청률을 경신하며 17.5%로 막을 ...
blog.naver.com
이젠 많이들 아시겠지만, 피싱 공격은 기본적으로 사람의 심리를 이용한 ‘낚시’ 공격입니다. 피싱(Phishing)이라는 단어부터 개인정보(Personally Identifiable Information)와 낚시(Fishing)를 합성한 단어라고 볼 수 있죠.
낚시에서 고기가 물어줄 미끼가 필요하듯, 피싱 공격 또한 사람들이 눌러볼 법한 주제가 필요합니다. 그렇기에 피싱 공격의 주제는 공격 대상의 관심사를 반영하기 마련입니다.
여기서 악질적으로 사용되는 미끼 중 하나가 ‘사회 혼란’입니다. 전국적인, 혹은 전세계적인 관심이 몰리는 만큼 매우 효과적인 미끼가 되는 거죠.
최근에 있었던 이태원 참사나 메신저 장애로 인한 사회 혼란 또한 미끼로 악용됐습니다. 앞서 말씀드린 파일들이 첨부된 피싱 메일을 유포해 클릭을 유도한 것입니다. 파일명에서도 알 수 있듯, 국민들의 걱정과 불편함을 교묘하게 이용한 사례입니다.
심지어 메신저 장애와 관련된 피싱 메일의 경우 발신자 주소까지 해당 업체의 이메일을 사칭해 더 오해하고 당하기 쉽도록 설계했죠.
이렇게 사회 혼란을 악용한 피싱 메일 공격은 그 동안 지속적으로 시도돼 왔는데요. ‘코로나 확진자 및 동거인 안내문’, ‘울진 산불 피해 기부금 영수증’ 등의 텍스트를 사용해 크게 이슈가 되는 사회 혼란 현상을 미끼로 끼워 그럴듯한 내용으로 의심을 피하는 수법을 사용하기도 했습니다.
만약 본인 혹은 가족이 코로나에 감염된 상태라면?
실제로 울진 산불 피해를 돕고자 기부했다면?
웬만한 보안 의식을 가진 분이 아니라면, 피하기 어려운 상황임이 분명해 보입니다. 매우 먹음직스러운 미끼가 되는 것이죠.
여러 포스팅에서 말씀드렸 듯, 피싱 메일 공격의 가장 무서운 점은 사람의 실수를 유도하는 공격이라는 점입니다. 사람이 자진해서 악성 코드가 포함된 파일이나 링크를 클릭하게 유도하기 때문에, 안타깝게도 어떤 솔루션으로 완벽하게 방어하는 것이 불가능하죠.
그렇기에, 피싱 메일 공격의 가장 효과적인 대응책은 보안 의식을 강화해 정보 유출의 위협을 줄이는 방법입니다. 어떤 환경 혹은 상황에서, 어떤 피싱을 당할 수 있는지 인지하고 대비하는 것이죠. 즉, 피싱 메일 공격에 대비해 상시로 훈련을 진행하고 실제 피싱 메일 공격에도 당하지 않을 수 있는, 낚이지 않을 수 있는 상태로 준비돼야 하는 것입니다.
이 훈련에는 시나리오가 가장 중요합니다. 훈련을 실전처럼 하는 것이죠. 본인들이 처한 환경에서 당하기 쉬운 시나리오를 구성해 반복적으로 훈련에 임해야 합니다.
업무적으로 많이 접하는 비즈니스 메일부터 시기에 맞춘 임금 혹은 휴가철 관련 메일, 앞서 말씀드린 사회 혼란 관련 메일 등 다양한 시나리오를 설계하고 이를 반복적으로 훈련하는 방법이 필요합니다.
반복적인 훈련으로 보안 의식을 강화한다면, 자진해서 악성 코드가 포함된 파일이나 링크를 클릭할 확률을 분명하게 감소시킬 수 있고, 이를 통한 피해까지 최소화 할 수 있을 것입니다.
누군가에게는 아픔이 되고 걱정거리가 되는 사회 혼란 현상이지만, 누군가는 이를 악용해 사이버 공격을 시도하고 있습니다. 또 실제로 이 공격으로 인해 추가적인 피해자들이 발생하기도 합니다. 안타깝지만 피하지 못할 공격이라면, 우리가 준비하고 있어야 합니다.
‘백문불여일견’이라는 고사성어, 다들 들어보셨죠? 직접 경험해야 분명하게 알 수 있다는 뜻입니다. 피싱 메일 공격 또한 이와 같습니다. 구체적인 시나리오를 직접 경험하며 반복적으로 훈련한다면, 추가적인 피해를 최소화할 수 있습니다!
악성메일 모의훈련 서비스
악성메일 모의훈련 서비스, 전문 컨설턴트가 훈련 전 과정에 참여, 다양한 악성메일 템플릿 보유 및 고객사 맞춤형 시나리오 제공, 훈련 진행 상황 공유 및 관리자 인사이트 제공, 감염자 및 미
www.fasoo.com
'IT 트렌드가 한눈에!' 카테고리의 다른 글
| 2023 IT 트렌드, 멀티 클라우드 환경에서의 데이터 보안 방법은? (0) | 2022.12.02 |
|---|---|
| 바둑 승부와 보안 플랫폼의 공통점 (0) | 2022.11.21 |
| 문서보안, 문서중앙화, DLP, DRM 고민 (0) | 2022.11.08 |
| 모바일 메신저 장애 사태로 보는 DR시스템 구축의 중요성 (0) | 2022.10.31 |
| 해커 타겟 1순위는 개발자? 혹시 우리 조직에도 개발자가 있다면 (0) | 2022.10.20 |