지능화되는 피싱 메일의 덫을 피하기 위해선?!

2022. 3. 17. 09:17IT 트렌드가 한눈에!

해킹메일 및 악성메일의 지능화, 요즘 보안과 관련된 뉴스를 보면 하루가 다르게 증가하고 있는 단어 중 하나입니다. ‘에이, 아무리 지능화 된다고 한들, 이런 메일에 낚이는 사람이 어디 있겠어?’라고 아직도 생각하는 분들이 계신가요? 혹시 그러신 분들이 있다면, 오늘 이 포스팅을 읽게 돼 크나큰 행운이라고 말씀 드리고 싶습니다. 최근 피싱 메일의 유형이 어디까지 확장됐는지 아신다면, 절대 위와 같은 생각은 못 하실 테니까요!!

 

가장 먼저 소개해 드릴 사례는 부재중 전화, 팩스 알림 등 업무와 관련된 사항으로 메일을 위장해 사용자의 마이크로소프트365 (이하 ‘MS365’) 계정을 탈취하려는 시도입니다. 해당 피싱 메일을 접한 사람들의 말을 빌려 보자면, 정말 깜빡 속아넘어갈 정도로 정교했음을 확인할 수 있는데요. 상대방으로부터 전달된 부재중 전화나 팩스를 수신하기 위해 본인의 계정을 자연스럽게 입력할 수 밖에 없도록 구성돼 있음이 상당히 눈에 띄는 특징이었다고 합니다.

 

 

특히, 악성 파일을 클릭한 후 연결되는 피싱 화면이 사용자의 메일은 이미 저장돼 있는 상태에서 비밀번호만 입력하도록 유도하고 있었다고 하는데요. 이러한 측면이 기존 MS365 로그인 창과 유사해 사용자로 하여금 습관적으로 자신의 비밀번호를 입력하도록 만든다는 점이 위협적입니다. 누군가로부터 발송된 정보를 읽기 위해 관련 정보를 입력하는 행태는 실제 업무와 매우 유사하기 때문에 방심할 수 밖에 없는 것이죠.

 

그렇다면, 또다른 사례는 어떨까요? 피싱 메일은 이제 그들을 감시하는 보안 기관 및 기업을 사칭하는 과감함까지 보여주고 있습니다. 한국인터넷진흥원(이하 KISA), 이스트시큐리티 시큐리티대응센터(이하 ESRC) 등 보안 기관 및 기업으로 위장해 수신자의 메일이 악성 메일에 이용되고 있음을 고지함으로써 본인 확인을 위한 정보 입력을 유도하는 식인 것이죠. 세히 메일 계정을 살펴보면, 분명히 실제 메일 주소와는 다르다는 사실을 알 수 있지만, 수신자는 계정의 이름만 확인한 후 심히 당황하게 되는 상황을 노렸다고 볼 수 있겠습니다.

이제 다시 여쭤 보겠습니다. 정말 본인이라면 이런 메일에 깜빡 속는 일이 단 한 번이라도 없을 것이라 자신할 수 있으신가요?

‘단 한 번’을 강조하는 이유는 이러한 피싱 메일에 한 번이라도 낚이는 순간, 나의 정보를 넘어 조직의 정보까지 탈취될 가능성이 높기 때문입니다. 현재와 같이 피싱 메일이 계속해서 지능화되고 보안 위험이 높아진다면, 우리 또한 한 발 앞서서 훈련을 통해 다양한 상황에 미리 대비하는 것만이 상책입니다. 그렇기 때문에, 임직원의 보안 인식을 지속적으로 상기시켜야 하며, 파수 또한 이러한 중요성을 알아채고 악성메일 모의훈련 서비스를 준비하고 있었습니다.

Mind-SAT은 악성메일 모의훈련 전 과정에서 파수의 전문 컨설턴트가 지원하며, 최신 정보보호 트렌드가 반영된 시나리오를 통해 실제 피싱 메일과 흡사한 반복 훈련을 제공합니다. 특히, 오늘 강조한 바와 같이 악성메일 모의훈련에서의 핵심 요소는 갈수록 지능화되는 메일 유형을 얼마나 커버할 수 있는지가 관건인데요. Mind-SAT은 세분화된 템플릿 유형을 통해 이러한 사항을 충족하고 있습니다.

 

Mind-SAT 템플릿 유형

 

Mind-SAT의 기본적인 템플릿 유형은 첫 번째로 html, word, excel 등 다양한 파일 유형으로 보여지는 악성파일 클릭 유도, 두 번째로 메일 저장 공간의 확보 등을 요구하는 악성링크 클릭 유도, 마지막으로 계정 손상 또는 확인 등을 요구하는 개인정보 입력 유도로 이뤄져 있습니다. 이를 통해 임직원의 보안 인식 수준을 향상시킬 수 있을 뿐만 아니라, 침해사고 모의훈련 관련 법적 규제 또한 만족할 수 있죠.

초반에 언급했던 피싱 메일의 지능화 사례는 사람이기에 착각할 수 있는 빈틈을 교묘히 노렸다고 볼 수 있습니다. 이러한 피싱 메일의 유형은 미리 겪어보지 않으면 감히 예상할 수가 없는 범주로 확장되고 있습니다. 최신 정보보호 트렌드에 최적화된 Mind-SAT으로 어떤 피싱 메일이라도 침착하게 대응 가능할 수 있도록 임직원들의 보안 인식을 제고해 보세요!!

 

>> Fasoo Mind-SAT 자세히 보러 가기

https://www.fasoo.com/services/security-awareness-training

 

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

디지털 전환, 디지털 트랜스포메이션, 디지털 뉴딜 시대를 리드하는 글로벌 소프트웨어 기업. 정보보안, 빅데이터, 비식별, 문서관리, 랜섬웨어, 블록체인 관련 솔루션 및 서비스 제공

www.fasoo.com