피싱이란 무엇인가요?

피싱은 범죄자들이 은행, 기술 기업, 동료 등 신뢰할 수 있는 존재를 사칭하여 이메일, 문자 메시지, 또는 가짜 웹사이트를 통해 비밀번호, 신용카드 번호, 개인 정보 등 민감한 정보를 탈취하는 사이버 공격입니다. 오늘날 가장 흔하고 효과적인 사이버 범죄 수법 중 하나입니다.

피싱 이메일을 어떻게 알아볼 수 있나요?

긴박하거나 위협적인 표현, 정상 기업을 모방한 의심스러운 발신자 주소, "고객님께"와 같은 일반적인 인사말, 예상치 못한 첨부 파일, 공식 웹사이트 URL과 일치하지 않는 링크 등을 확인하세요. 링크를 클릭하기 전에 마우스를 올려 실제 목적지 주소를 미리 확인하는 습관을 들이세요.

VPN을 사용하면 피싱 공격으로부터 보호받을 수 있나요?

VPN은 인터넷 트래픽을 암호화하고 IP 주소를 숨겨주지만, 피싱 공격을 직접적으로 막을 수는 없습니다. 피싱은 네트워크 취약점이 아닌 인간의 행동을 표적으로 삼기 때문입니다. VPN은 전반적인 보안에 여전히 유용하지만, 피싱 방지 도구 및 안전한 브라우징 습관과 함께 사용해야 합니다.

실수로 피싱 링크를 클릭했다면 어떻게 해야 하나요?

즉시 인터넷 연결을 끊고, 기기에서 악성 코드 검사를 실행하고, 피해가 우려되는 계정의 비밀번호를 변경하고, 이중 인증을 활성화하세요. 금융 정보를 입력했다면 즉시 은행에 알리세요. 또한 이메일 서비스 제공업체와 FTC 또는 한국인터넷진흥원(KISA)과 같은 관련 기관에 피싱 시도를 신고하세요.

Phishing

피싱: 피싱이란 무엇이며 왜 알아야 하는가

매일 수십억 건의 가짜 이메일, 문자 메시지, 웹사이트가 단 하나의 목적을 위해 유포됩니다. 바로 여러분의 개인정보를 빼내는 것입니다. 이 수법을 피싱이라고 하며, 기술적으로 정교하기 때문이 아니라 컴퓨터 시스템이 아닌 인간의 심리를 공략하기 때문에 현존하는 가장 효과적이고 광범위한 사이버 공격 중 하나로 남아 있습니다.

피싱이란 무엇인가?

피싱은 공격자가 여러분의 은행, 스트리밍 서비스, 고용주, 심지어 정부 기관처럼 신뢰할 수 있는 존재인 척 행동하여 평소라면 하지 않을 행동을 유도하는 소셜 엔지니어링(social engineering)의 한 형태입니다. 그 행동이란 악성 링크를 클릭하거나, 감염된 첨부 파일을 내려받거나, 가짜 로그인 페이지에 비밀번호를 입력하는 것일 수 있습니다.

피싱(phishing)이라는 이름은 '낚시(fishing)'를 의도적으로 변형한 것입니다. 공격자들은 미끼를 던지고 누군가 걸려들기를 기다립니다.

피싱은 어떻게 작동하는가?

대부분의 피싱 공격은 예측 가능한 패턴을 따릅니다.

미끼: 정상적으로 보이는 메시지를 받습니다. Netflix 결제 알림, PayPal 보안 경고, 또는 회사 IT 부서에서 온 긴급 이메일처럼 보일 수 있습니다.
낚싯바늘: 메시지는 긴박감을 조성합니다. 계정이 곧 정지된다거나, 의심스러운 활동이 감지되었다거나, 즉시 신원을 확인해야 한다는 식입니다.
함정: 실제 사이트와 동일하게 보이는 가짜 웹사이트로 유도됩니다. 자격 증명을 입력하는 순간, 그 정보는 바로 공격자에게 전달됩니다.

더욱 정교한 변형 수법들도 존재합니다. 스피어 피싱(spear phishing)은 주로 소셜 미디어에서 수집한 정보를 활용하여 특정 개인을 겨냥한 맞춤형 공격입니다. 웨일링(whaling)은 고위 임원을 표적으로 삼습니다. 스미싱(smishing)은 SMS 문자 메시지를 이용하며, 비싱(vishing)은 음성 통화를 통해 이루어집니다.

많은 사람들이 자물쇠 아이콘이 표시된 HTTPS 사이트를 안전하다고 오해하지만, 이는 연결이 암호화되어 있다는 의미일 뿐, 사이트 자체가 신뢰할 수 있다는 뜻이 아닙니다. 현대의 피싱 사이트들도 HTTPS를 사용하고 자물쇠 아이콘을 표시하는 경우가 많습니다.

VPN 사용자에게 중요한 이유

VPN을 사용하면 피싱으로부터 보호받을 수 있다는 것은 흔한 오해입니다. 적어도 직접적으로는 그렇지 않습니다. VPN은 인터넷 트래픽을 암호화하고 IP 주소를 숨겨주지만, 사용자가 가짜 웹사이트에 자발적으로 자격 증명을 입력하는 것을 막을 수는 없습니다.

그렇다고 VPN 사용자가 완전히 무방비 상태인 것은 아닙니다.

일부 VPN은 위협 방지 기능을 포함하고 있어 브라우저가 페이지를 불러오기 전에 알려진 피싱 도메인을 차단합니다.
VPN은 DNS 하이재킹(DNS hijacking)을 방지할 수 있습니다. 이는 공격자가 올바른 주소를 입력해도 사용자를 가짜 웹사이트로 몰래 리디렉션하는 기법입니다.
공용 Wi-Fi에서 VPN을 사용하면 자격 증명 탈취에 피싱과 함께 활용되기도 하는 중간자 공격(man-in-the-middle attack)을 방지할 수 있습니다.

하지만 피싱 방어를 VPN에만 의존하면 잘못된 보안 의식을 갖게 됩니다. 올바른 디지털 보안 습관 역시 반드시 필요합니다.

실제 사례

"Apple 고객지원"으로부터 계정이 잠겼다는 이메일을 받습니다. 링크를 클릭하면 Apple ID를 탈취하도록 정교하게 만들어진 가짜 사이트인 apple-support-login.com으로 이동합니다.
은행이 사기 거래를 감지했으니 특정 전화번호로 연락하라는 문자 메시지가 옵니다. 해당 번호는 사기 전담 직원을 사칭하는 사기꾼과 연결됩니다.
HR 부서에서 보낸 것처럼 보이는 사내 이메일이 직원들에게 새로운 복지 포털에 로그인하도록 요청합니다. 실제로는 자격 증명을 수집하는 페이지입니다.

자신을 보호하는 방법

표시 이름이 아닌 발신자의 실제 이메일 주소를 항상 확인하세요.
링크를 클릭하기 전에 마우스를 올려 실제 목적지 URL을 확인하세요.
모든 중요한 계정에 이중 인증(two-factor authentication)을 활성화하세요. 비밀번호가 탈취되더라도 두 번째 인증 수단 없이는 무용지물이 됩니다.
비밀번호 관리자를 사용하세요. 가짜 사이트에는 자동으로 자격 증명을 입력하지 않습니다.
의심스러울 때는 링크를 클릭하는 대신 공식 웹사이트에 직접 접속하세요.

피싱은 단순하고 확장 가능하기 때문에 효과적입니다. 피싱의 작동 원리를 이해하는 것이 여러분의 첫 번째 방어선입니다.

Phishing초급