2025. 1. 22. 17:26ㆍIT 트렌드가 한눈에!
[국세청] 세무조사 출석요구 안내통지문
연말정산 환급금 지급 안내
[XX택배] 주소 입력 오류 수정 요청
이와 비슷한 제목의 메일 혹은 문자를 받아보신 적 있나요?
절대 함부로 클릭하시면 안됩니다! 시의성을 반영한 스미싱 (Smishing)과 피싱 (Phishing) 공격일 가능성이 매우 높기 때문입니다.
문자나 메일을 통한 사이버 공격은 이렇게 ‘특별한 시즌’을 공략하곤 합니다. 연말정산이나 명절 연휴와 같은 시기는 누구나 바쁜 일상 속에서 중요한 정보를 빠르게 처리하려는 마음이 커지기 때문이죠. 무엇보다 비슷한 맥락의 연락이 충분히 올 수 있는, 합리적인 시기이기도 합니다.
이런 심리를 악용해 사이버 범죄자들은 국세청, 택배사, 금융기관 등을 사칭한 메일이나 문자로 개인정보를 탈취하거나 금전적인 이득을 얻기 위해 시도합니다. 연말정산 기간에는 ‘환급금 지급’이나 ‘정보 수정 요청’, 선물이 많은 설 연휴 기간에는 ‘택배 주소 입력 수정’과 같은 문구를 사용해 사람들의 관심을 끌고, 클릭을 유도하죠. 이 클릭 한 번으로 악성 코드가 설치되거나 개인 정보가 유출되는 피해가 발생할 수 있습니다.
이처럼 정교하게 설계된 스미싱 및 피싱 공격은 수신자가 실제로 사용하는 서비스로 위장하기 때문에, 의심 없이 클릭하거나 정보를 입력하게 되는 경우가 많은데요. 문제는 뚜렷한 대응 방법이 없다는 점입니다. 사람의 심리와 상황을 교묘하게 이용해 스스로 공격에 당해주도록(?) 설계된 방식이기 때문입니다. 해커들은 외부와 철저하게 단절된 내부망, 견고하게 설계된 보안 시스템을 뚫을 필요가 없는 거죠.
현재 알려진 스미싱, 피싱 공격을 구분 및 예방할 수 있는 방법이 몇 가지 있습니다.
1. 발신자 확인
가장 먼저 발신자를 확인해야 합니다. 국세청, 택배사, 금융기관 등 공식 기관의 경우 정해진 형식의 이메일 주소나 전화번호를 사용하는데요. 메일 주소가 공식 도메인처럼 보이더라도, 철자가 다르진 않은지, 특수문자가 포함되지 않았는지 확인해야 하고, ‘050’과 같이 일반적이지 않은 번호를 사용하는 경우에도 의심이 필요합니다. 수신한 메일 주소나 번호를 그대로 복사해 검색해보시길 추천 드립니다!
2. 링크 클릭, 다운로드 주의
문자나 이메일에 포함된 링크나 첨부 파일을 클릭하기 전, 미리 확인이 필요합니다. 의심스러울 경우 직접 발신 기관 혹은 기업의 공식 홈페이지를 방문해 처리하는 것이 안전합니다.
3. 개인 정보 요구 확인
공식 기관이나 회사는 대부분 문자나 이메일을 통해 주민등록번호, 계좌번호, 비밀번호와 같은 민감한 정보를 요구하지 않습니다. 입력이 필요한 경우, 2번에서와 마찬가지로 공식 홈페이지를 통해 처리하거나, 해당 기관에 문의해 볼 필요가 있습니다.
위 방법들을 살펴보면, 공통점이 존재합니다. 지금 받은 메일이나 문자가 피싱일 수 있다는 사실을 사전에 인지하고, 대비하고 있어야 한다는 점입니다. 흔히 말하는 ‘정신 무장’이 해법인 셈이죠. 항상 의심하고, 또 의심하는 보안 의식을 갖춰야 한다는 뜻입니다.
개인을 대상으로 하는 피싱 공격 외에도, 더 큰 규모의 해킹을 위해 기업이나 기관을 대상으로 하는 공격 또한 성행하고 있습니다. 공격 방식은 동일하지만, 임직원의 PC, 연결된 네트워크, 사내 서버 등에 침투해 막대한 규모의 피해를 입히죠. 마찬가지로, 대응 방법은 ‘정신 무장’뿐입니다. 임직원들의 보안 의식을 제고해 조직을 겨냥한 사이버 공격에 당해주지 않도록 대비해야 하죠.
이를 위해 반드시 필요한 과정이 반복적인 훈련과 교육입니다. 자전거를 처음 탈 때, 젓가락질을 배울 때와 같이 제대로 배우고, 반복적으로 연습하다 보면 자연스럽게 보안 의식을 갖추게 됩니다.
Fasoo의 마인드셋 (Mind-SAT)이 대표적인 악성메일 훈련 서비스입니다. 임직원들을 대상으로 모의훈련, 실전훈련, 교육을 제공합니다. 악성메일 전문 컨설턴트가 시기와 사내 환경을 고려해 시나리오를 설정하고, 임직원들에게 훈련 메일을 발송합니다. 실제 악성메일과 유사하게 링크 클릭, 개인정보 입력, 첨부파일 열람을 유도하는 메일인데요. 훈련 참여자들의 클릭율, 열람율, 신고율 등을 분석해 사내 보안 취약점에 대한 보고서를 제공합니다.
뿐만 아니라, 마인드셋은 실전 훈련과 신고센터까지 운영해 실제 악성메일 대응 서비스까지 지원합니다. 의심되는 메일을 신고센터로 전달하기만 하면, 신고센터에서 안전한 메일인지, 악성메일인지 분석해 처리하고, 결과를 전달합니다. 반복적으로 훈련을 진행하면서, 훈련 내용과 현재 보안 이슈를 중심으로 임직원 대상 교육을 진행합니다.
특히, ISMS 인증 대상 기업이라면, 침해사고 모의훈련 컴플라이언스를 준수해야 하는데요. 마인드셋 서비스를 이용한다면, 이를 완벽하게 충족할 수 있습니다!
어느새 자전거를 잘 타게 되고, 젓가락질이 자연스러워지듯이, 임직원들은 훈련과 교육을 통해 악성메일에 대응할 수 있는 올바른 보안 의식을 갖추게 됩니다. 사이버 공격의 대부분이 메일을 이용하기 때문에, 보안 사고가 현저히 줄어드는 현상을 경험하실 수 있을 겁니다.
해커 입장에서 가장 효율적이고 효과적인 공격이기에, 앞으로도 피싱, 스미싱 공격은 계속될 전망입니다. 사고 이후의 대처는 너무나도 어렵고, 피해 복구가 불가능한 경우가 많습니다. 반드시 사전에 대비가 필요한 영역입니다.
오늘 포스팅한 악성메일 모의훈련 마인드셋 서비스는 현재 할인 프로모션을 진행하고 있는데요. 지금도 늦지 않았습니다! 악성메일 모의훈련 Mind-SAT으로 임직원들의 보안 인식을 마인드셋! 해보세요!
'IT 트렌드가 한눈에!' 카테고리의 다른 글
서버 개인정보보호 솔루션의 허와 실, 검출만 해서는 곤란하다 (0) | 2025.01.21 |
---|---|
AI 거버넌스: 안전하고 윤리적인 AI를 위한 필수 전략 (0) | 2025.01.10 |
MLS 다층보안체계, N2SF 국가망보안체계, 자율보안체계 정리: 공공ᆞ금융 제로 트러스트 보안 (1) | 2025.01.07 |
2025 사이버 보안 위협 전망 보고서 발표, 사례 분석과 대응 방법 (2) | 2024.12.30 |
스크린 워터마크, 비가시성 워터마크(인비저블 워터마크) 뜻과 적용 사례 (3) | 2024.12.18 |