본문 바로가기 주메뉴 바로가기 검색 바로가기
피싱 메일과 사기 피해 예방, 이대로 따라 해보세요!
상태바
more #피싱 #사기 #사이버 보안
피싱 메일과 사기 피해 예방, 이대로 따라 해보세요!
피싱 공격이 그 어느 때보다 더 심각한 위협이 되고 있지만, 걱정할 필요는 없다. 피싱 공격으로부터 스스로 지킬 방법은 얼마든지 많다.
By LILY HAY NEWMAN, WIRED US

자세한 정보가 담기지 않은 메일은 클릭해서는 안 된다는 사실을 알고 있다. 누구나 아는 사실이다. 그러나 많은 사람이 항상 피싱 피해를 본다. 바로 이것이 요점이다. 피싱 공격이 효과가 없었다면, 해커는 진작에 피싱 공격 시도를 포기했을 것이다. 그런데, 어디서나 피싱 공격이 발생한다. 2020년 1월, 중국에서 봉쇄조치가 시행된 직후 전 세계적으로 코로나바이러스 관련 피싱 사기가 우후죽순으로 등장했다. 또, 피싱 공격은 범죄 사기꾼과 국가 기관 소속 해커 모두 선호하는 공격 수법이다.

피싱 사기 범죄는 피해자를 속여 피해자 기기를 멀웨어에 감염시킬 링크나 첨부 문서를 클릭하도록 유도하거나 완전히 정상적인 것처럼 보이는 페이지로 접속하도록 유도하는 식으로 이루어진다. 그리고, 사용자 개인 정보를 탈취한다. 안티피싱 워킹 그룹(Anti-Phishing Working Group)에 따르면, 매달 신규 피싱 사이트 20만 개가 생겨나며, 매달 500여 곳에 달하는 다른 브랜드와 기관을 사칭한 피싱 공격이 발생한다. FBI의 인터넷 범죄 신고 센터는 2019년에만 미국의 피싱 피해자가 총 5,800만 달러 상당의 금전적 손실을 기록했다고 밝혔다.

최근, 피싱 공격과 멀웨어 관련 이메일 10억 건 이상을 대상으로 한 어느 한 연구에 따르면, 구글과 스탠퍼드대학교 연구팀은 많은 사용자가 피싱 메일을 받게 될 위험이 더 높아지는 몇 가지 특정 요소를 발견했다. 그중 하나가 피해자의 위치이다. 연구팀은 지메일의 전체 데이터를 살펴보면서 인원수 기준으로 보았을 때, 해킹 공격 대상이 되는 이들 중 미국인의 수가 가장 많다는 사실을 확인했다. 실제로 전제 해킹 메일 중, 42%가 미국인을 공격 대상으로 삼았다. 그러나 미국보다 인구가 훨씬 적은 호주에 거주하는 이들이 미국인보다 피싱 메일을 받을 확률이 두 배 더 높다. 또, 연구를 통해 55세~64세 사용자가 18세~24세 사용자보다 피싱 공격을 당할 확률이 1.64배 더 높은 것으로 파악됐다. 게다가 데이터 보안 손상 때문에 개인 정보가 유출됐다면, 피싱 및 멀웨어 공격 시도를 하는 메일을 받게 될 위험성이 무려 5배나 증가하는 것으로 확인됐다.

그러나 사용자 다수는 똑똑하다. 아래의 행동을 따라 하면, 피싱 사기 피해를 방지할 수 있다. 그리고, 무엇보다도 자신의 이메일에서 진정으로 믿을 수 있는 것은 아무것도 없다는 사실을 기억해야 한다.
 
[사진=Freepik]
[사진=Freepik]

클릭 전 항상 한 번 더 생각하기
피싱 연구 및 보안 기업 코펜스(Cofense)의 최고기술관리자 애론 히그비(Aaron Higbee)는 “피싱 공격의 핵심은 사기이다. 피싱 메일을 전송하는 이는 사용자가 피싱 메일을 보도록 유도하는 매우 지능적인 이메일 마케터이다”라고 말했다. 해커는 종종 피싱 공격을 개시할 때, 피해 대상의 감정에 의존하기도 한다.

따라서 많은 전문가가 자신의 본질적인 생각을 믿는 것이 가장 중요하다고 추천한다. 무언가 좋지 않다고 느껴지면, 실제로 의심스러운 부분이 있을지도 모른다. 그러나 피싱(그리고, 더 맞춤화되고 표적화된 스피어 피싱 포함)은 전체적으로 피해자가 아무런 경각심을 느끼지 못한 상태에서 속도록 유도하는 것이다. 따라서 겉보기에는 아무 이상이 없어도 의심할 필요가 있다. 전반적으로 이메일의 첨부 문서 다운로드와 링크 클릭을 기피해야 한다. 자신이 수신한 메일 혹은 메일 전송자가 의심스럽지 않더라도 마찬가지이다.

미국 소프트웨어 기업 웜뱃 시큐리티(Wombat Security)의 최고기술관리자 트레버 호손(Trevor Hawthorn)은 “우리는 많은 사람을 돕고, 친절하게 대하도록 교육을 받았다. 타인에게 무례하거나 지나치게 방어적인 것처럼 보이지 않으려 한다. 그러나 우리가 할 수 있는 가장 중요한 일 중 하나는 무언가 행동이 필요한 것을 요구받았을 때, 전송자가 요구하는 일의 맥락을 고려하는 것이다. 무언가를 긴급하게 요청할 때, 의심하면서 행동 속도를 늦추는 것이 현명하다”라고 말했다.

연습이 필요하다. 웜뱃 시큐리티는 많은 사용자가 한 달에 한 번 등 주기적으로 꾸준히 피싱 방지 훈련을 받는다면, 피싱 방지 훈련을 받지 않을 때보다 피싱 범죄를 피하는 데 더 능하다는 사실을 확인했다. 근무지에서 피싱 방지 프로그램을 제공하지 않을 수도 있지만, 스스로 신중하게 살펴보면서 의심해야 한다. 말로는 실천하기 쉽지만, 실제로 신중하면서 의심하는 태도를 유지하는 것이 도움이 될 수 있다.

출처 고려하기
피싱 공격자는 다수에게 친숙한 아마존 계정 복구 메일처럼 보이도록 하거나 국가 차원의 코로나19 검사 서비스를 사칭하는 등 합법적인 기관이 발송한 메일이면서 메일 내용도 정상적이면서 그럴싸한 것처럼 보이도록 한다.

미국 연방통상위원회(FTC)는 피싱 지침을 통해 “피싱 메일과 문자 메시지는 누구나 알거나 신뢰하는 기업을 사칭한다. 은행이나 신용카드 회사, SNS 사이트, 온라인 결제 웹사이트 혹은 앱, 온라인 상점 등 다양한 기업이나 기관을 사칭한다. 피싱 메일과 문자는 종종 수신자를 속여 링크나 첨부된 문서를 클릭하도록 유도한다”라고 경고했다.

메시지를 보낸 곳이 어디인지 아는 것이 매우 중요하다. 그러나 해커가 피해자의 진짜 친구나 은행 기관을 사칭한다면, 실제 메시지를 보낸 곳을 파악하기 어렵다. 게다가 합법적으로 보이는 이메일 주소를 따라 하거나 사칭하는 기관에서 보내는 메시지인 것처럼 보이면 상황이 더 복잡해진다. 해커가 진짜 메일 계정이나 연락처를 탈취하고 피싱 공격을 개시하는 것일 수 있기 때문이다.

히그비는 “모르는 사람이 보낸 메일은 절대 클릭하지 말라는 말을 오랫동안 들었다. 그러나 해커는 지인을 사칭해 피싱 메일을 보내기 시작했다. 아는 사람이 보낸 메일을 클릭하지 않을 이유가 있나? 해커는 이를 악용해 멀웨어와 랜섬웨어 등을 널리 유포한다”라고 말했다.

그렇다면, 어떤 조처를 해야 할까? 우선, 메일에서 신원을 밝힌 기관이나 인물의 메일 주소를 검토한다. 그리고, 텍스트에 포함된 URL도 검토하고, mom@app1e.com부터 mom@app1e.com까지 제거한다. 만약, 메일을 보낸 곳이 신뢰할 수 있는 곳이지만, 메일에 작성된 글자가 의심스럽다면, “진짜 이 메일을 보냈을까?”라고 스스로 되물어본다. 그리고, 지인이 보낸 메시지 내용이 의심스럽고, 특히 무언가를 요청하는 내용이 포함됐다면, 실제로 누군가가 사칭하는 것이거나 메일 전송자의 계정이 해킹됐을 수 있다. 다른 플랫폼으로 메일 전송자와 연락하거나 직접 전화를 해, 메시지를 보낸 것이 맞는지 물어본다.

계정 잠금 설정하기
기본적인 개인 사이버 보안 보호 조치로 강력한 고유 암호 추적을 위한 패스워드 매니저를 사용하는 것과 같은 행동이 필요하다고 들어본 적이 있을 것이다. 다소 성가실 수 있지만, 실제로 도움이 된다. 특히, 피싱 공격 예방에 큰 도움이 된다. 패스워드 매니저의 경우, 모든 계정의 패스워드가 다 다르고 해커가 한 가지 계정을 탈취했다면, 해당 계정에만 접근할 수 있다. 따라서 문제를 비교적 쉽게 해결할 수 있다. 

패스워드 매니저를 사용하는 것보다 계정 보호를 위한 더 나은 조치는 이중 인증 기능을 사용하는 것이다. 로그인하기 위해 사용자 이름과 패스워드에 추가 코드나 물리적 키까지 필요하다면, 해커가 계정 자격 증명을 탈취하고 접근하기 더 어려워진다. 멀웨어 기반 피싱 공격 자체를 없애는 것은 아니다. 실제로 해커에게 패스워드와 이중 보안 코드를 모두 제공하도록 특수 제작된 피싱 공격이 존재하기 때문이다. 그러나 전반적으로 이중 보안 요소는 일반적인 피싱 공격 때문에 계정 보안이 손상될 위험성을 크게 줄일 수 있다.

원격 공격으로부터 제대로 보호하고자 하는 계정에는 물리적 인증 토큰이 강력한 보호 수준을 제공한다. 구글의 ‘어드밴스드 프로텍션(Advanced Protection)’, 페이스북의 ‘페이스북 프로텍트(Facebook Protect)’ 등 이미 일부 기업이 물리적 인증 토큰을 제공할 특수 프로그램을 제작하기 시작했다. 모두 자신의 계정이 피싱 공격에 유독 위험하다고 생각할 때, 등록할 수 있다. 물리적 인증 토큰 서비스는 이중 설정을 안내하며, 계정 추가 모니터링을 제공한다.

히그비는 “간단한 마법과 같은 해결책이 존재하고, 피싱 공격을 막을 수 있는 기술과 플러그인, 이메일 필터가 있다면, 보안 전문 기업의 도움이 필요 없을 것이다. 그러나 피싱 공격의 핵심은 인간의 직관과 통찰력이다”라고 말했다. 즉, 피싱 공격으로부터 스스로 보호하기 위한 열쇠는 경계하는 태도이다. 피싱 공격자는 매우 지능적이지만, 마찬가지로 일반 사용자도 매우 영리하다. 항상 신중하게 경계하는 태도를 유지해야 한다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How to Avoid Phishing Emails and Scams
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청