사이버 환경에서 데이터 유출 등 피해는 대부분 피싱과 관련된 경우가 많다. 정보 탈취는 피해자의 비밀번호를 해킹하거나 피해자가 악성코드를 다운로드하도록 유도하는 방식으로 행해지는 경우가 많은 탓이다.
피싱 공격은 사기꾼들이 위장 또는 사기 이메일을 미끼로 사용해 피해자를 낚는다는 의미에서 유래했다. 기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하지 못한다. 피싱 공격자의 방식이 정교해지고 있기 때문이다.
가장 보편적인 형태의 피싱은 대량 전송 유형이다. 누군가를 사칭한 해커가 이메일을 전송한 후 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(발신인 필드)에 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(스푸핑) 방식을 취한다.
스피어 피싱(Spear phishing) 공격은 공격자들이 특정 피해자와 기업을 구체적으로 특정해 피싱 공격을 감행하는 것이다. 스피어 피싱 공격은 이메일 수신인이 참석했던 컨퍼런스를 내용으로 언급하거나 혹은 수신인의 관심을 끌 수 있는 주제의 첨부파일을 전송하는 식으로 이뤄진다. 수신자 맞춤형 낚시인 만큼 피해자가 많다.
기업 임원을 표적으로 하는 웨일링(Whaling) 공격도 있다. 임원은 일반 직원과 달리 더 민감한 정보에 접근할 수 있는 권한을 가진 만큼 해커의 표적이 된다. 웨일링 공격의 목표는 데이터, 직원 정보, 현금 등을 훔치는 것이다. 대부분 수신인에게 외부나 잘 모르는 은행 계좌로 송금을 하도록 유도하며, 이 때 피해 금액은 공격자의 은행 계좌로 들어간다.
클론 피싱은 공격자가 정상적인 메시지와 유사한 메시지로 진짜라고 생각하도록 속이는 공격 방법이다. 이메일 송신자가 정상 주소와 유사한 만큼 피해자의 인지를 어렵게 한다. 보통 첨부 파일이나 메시지 속 링크가 악성 프로그램으로 연결된다.
사용자는 스팸 광고나 팝업창이 뜰 때 의심해야 한다. 자격 증명이나 계정의 도난 가능성이 있다는 사실을 염두에 두어야 한다. 이메일 주소를 정확히 확인하는 습관을 들이고, 같은 메일이 두번 연속으로 올 경우 발신자에게 재차 확인할 필요가 있다. 추가적인 요구나 불필요한 인증이 있다면 피싱이 아닌지 의심해야 한다.
기관과 기업은 기존의 내부 인식 교육 수준을 감안해 직원들에게 다양한 유형의 공격을 안내하고 이를 인식하기 위한 교육을 해야 한다. 스팸 필터 등의 전통적인 이메일 보안 도구들로는 고도화된 일부 피싱 유형을 방어할 수 없기 때문에 보안 방어책을 강화할 필요가 있다.
보안업계 관계자는 "피싱을 예방하려면 송신자 주소를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람을 하지 않아야 한다"며 "이메일 첨부 파일 중 출처가 불분명한 파일의 다운로드는 자제해야 한다"고 말했다.
이유정 기자 uzzoni@chosunbiz.com