피싱이란 무엇인가요?
피싱은 공격자가 합법적인 웹사이트의 설득력 있는 복사본을 만들어 — 종종 픽셀 단위로 완벽하게 — 피해자가 그곳에 자격 증명을 입력하도록 속이는 사회 공학 공격입니다. 피해자가 양식을 제출하는 순간 공격자는 사용자명, 비밀번호, 그리고 모든 두 번째 인증 요소를 탈취한 다음 수초 내에 실제 계정을 탈취하는 데 사용합니다.
이 단어는 "미끼"(보통 이메일)로 피해자를 "낚는다"는 은유에서 나왔습니다. 공격자들이 종종 전화 번호를 사용한다는 점(SMS 피싱 또는 "스미싱")과 전문적으로 보이는 인프라를 강조하기 위해 철자가 변경되었습니다.
피싱이 여전히 1위 위협인 이유
오늘날 대규모 계정 침해의 대부분은 해킹, 비밀번호 크래킹, 또는 암호화 우회를 포함하지 않습니다. 사람이 가짜 사이트에 비밀번호를 입력하는 것을 포함합니다. 피싱은:
- 저렴함 — 공격자가 VPS와 스푸핑된 도메인 비용으로 수백만 개의 이메일을 보낼 수 있습니다
- 필터링하기 어려움 — 현대 킷들은 도메인을 회전시키고, 합법적인 호스팅을 사용하며, 실시간으로 필터에 적응합니다
- 효과적임 — 보안을 인식하는 사용자들도 잘 만들어진 표적형 시도(스피어 피싱)에 당합니다
- 확장 가능함 — 하나의 성공적인 피싱이 비밀번호 재사용을 통해 수십 개의 연결된 서비스에 대한 액세스를 제공하는 경우가 많습니다
2024년 Verizon 데이터 침해 조사 보고서는 모든 침해의 36% 이상에서 피싱이 초기 접근 경로였다고 밝혔습니다 — 다른 어떤 단일 원인보다 많습니다.
현대 피싱의 작동 방식
피싱은 2000년대의 "나이지리아 왕자" 이메일을 훨씬 넘어서 발전했습니다. 현대 피싱 공격은 일반적으로 다음을 포함합니다:
1. 설득력 있는 미끼
보통 긴급성("계정이 정지됩니다"), 권위("Microsoft 보안 팀"), 또는 호기심("누군가 사진에서 당신을 태그했습니다")을 만드는 이메일, 문자, 또는 채팅 메시지입니다. 스피어 피싱은 LinkedIn, 침해 덤프, 또는 이전 서신에서 가져온 개인 정보로 이를 더욱 발전시킵니다.
2. 픽셀 단위로 완벽한 가짜 사이트
공격자들은 대상 사이트의 HTML, CSS, JavaScript를 복제하는 기성품 피싱 킷을 사용합니다. 많은 킷들이 서비스로 판매되며(피싱 서비스형), 작동하는 대시보드와 고객 지원을 갖추고 있습니다.
3. 2FA를 위한 실시간 프록시
위험한 부분: 현대 킷들은 비밀번호만 탈취하지 않습니다. TOTP 코드를 포함하여 사용자가 입력하는 모든 것을 수초 내에 실제 사이트로 전달하는 중간자 프록시 역할을 하여 대부분의 2FA를 우회합니다. 이 기법은 적대적 중간자(AiTM)라고 불리며 Evilginx2와 Modlishka 같은 도구에서 사용됩니다.
4. 세션 토큰 탈취
사용자가 프록시를 통해 인증하면 공격자는 세션 쿠키를 탈취하고 비밀번호를 변경한 후에도 로그인 상태를 유지하는 데 사용할 수 있습니다. 이것이 피싱 대응이 비밀번호 교체만이 아니라 항상 활성 세션 취소를 포함하는 이유입니다.
실제로 피싱을 막는 방법
하드웨어 보안 키들 (FIDO2 / WebAuthn)
이는 설계상 피싱을 방지하는 유일한 방어 범주입니다. FIDO2 키로 로그인할 때 키가 인증을 요청하는 사이트의 정확한 도메인을 암호학적으로 확인합니다. 가짜 사이트는 — 시각적으로 아무리 완벽해도 — 다른 도메인을 가지므로 키가 응답을 거부합니다. 암호학적 핸드셰이크가 단순히 완성되지 않습니다.
Google은 2017년 85,000명 이상의 모든 직원에게 YubiKey를 의무화했고 그 이후 몇 년간 회사 계정에 대한 성공적인 피싱 공격이 0건이라고 보고했습니다.
패스키
패스키는 FIDO2의 소비자 친화적인 진화입니다. 동일한 도메인 바인딩 암호화를 사용하며 iOS, Android, macOS, Windows에 내장되어 있습니다. 사용하는 사이트가 패스키를 지원한다면 하나를 활성화하면 해당 계정이 피싱으로부터 보호됩니다.
비밀번호 관리자들
비밀번호 관리자는 저장된 정확한 도메인에서만 자격 증명을 자동 입력하기 때문에 두 번째 방어선입니다. paypal.com 대신 paypaI.com(대문자 I)에 접속하면 관리자가 조용히 양식 채우기를 거부합니다. 그 거부는 뭔가 잘못되었다는 큰 경고입니다.
이메일과 DNS 필터링
이메일 제공업체들은 스푸핑된 발신자 주소를 탐지하기 위해 DMARC, SPF, DKIM을 사용합니다. 대부분의 현대 제공업체들이 명백한 시도들을 잡아내지만 표적형 공격은 여전히 빠져나갑니다. 메일 클라이언트에서 "피싱 신고" 버튼을 활성화하여 필터 개선에 도움을 주세요.
주의해야 할 위험 신호
로그인, 확인, 또는 긴급한 조치를 요청하는 메시지를 받았을 때:
- 긴급성과 위협 — "24시간 내에 계정이 폐쇄됩니다"
- 일반적인 인사 — 사용자 이름 대신 "고객님께"
- 유사 도메인 —
paypaI.com,app1e.com,secure-microsoft-login.net - 예상치 못한 첨부파일 — 특히 로그인해서 보라고 하는
.zip,.html, 또는.pdf파일들 - 문법이나 형식 오류 — 대기업들은 이메일을 교정합니다
- 링크 불일치 — 링크에 마우스를 올려 목적지가 텍스트와 일치하는지 확인하세요
뭔가 이상하다고 느끼면 이메일을 닫으세요. 사이트에 수동으로 접속하세요. 실제 문제가 있다면 일반적인 워크플로를 통해 로그인할 때 확인할 수 있습니다.
피싱에 당했을 때 해야 할 일
신속하게 행동하세요 — 공격자들이 수분 내에 자격 증명을 사용하기 시작하므로 속도가 중요합니다.
- 즉시 비밀번호 변경 — 다른 기기에서(예를 들어 노트북에서 당했다면 휴대폰에서)
- 모든 활성 세션 취소 — 계정 설정에서 — 이는 탈취된 세션 토큰을 현재 사용하는 모든 사람을 내보냅니다
- 2FA 활성화 — 아직 켜져 있지 않았다면, 가능하면 하드웨어 키나 패스키를 사용하세요
- 무단 활동 확인 — 발송된 이메일, 최근 로그인, 청구 변경, 새로운 전달 규칙
- 해당 기관에 알림 — 금융 또는 업무 계정인 경우
- 다른 계정들 확인 — 동일한 비밀번호를 사용한 — 비밀번호를 재사용하지 않는다고 확신해도 확인하세요
결론
피싱은 기술을 우회하고 사람을 표적으로 하기 때문에 번성합니다. 최고의 방어책은 세 가지 계층을 혼합하는 것입니다: 비밀번호 관리자들(잘못된 도메인에서 자동 입력 거부), 피싱 저항 2FA(실제 도메인에 바인딩하는 하드웨어 키나 패스키), 그리고 건전한 회의주의(이메일 링크에서 절대 로그인하지 않기).
가장 중요한 계정 — 이메일 — 에서 먼저 세 가지 모두를 활성화하세요. 그곳에서 디지털 생활의 나머지가 의미 있게 안전해집니다.