보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

금융, 통신사, 테크 분야 기업들, 피싱 공격자들이 가장 많이 사칭

입력 : 2023-03-14 18:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
피싱 공격자들은 여러 기업들이 소비자들에게 선보이는 브랜드들을 자주 사칭한다. 유명하고 인기가 높은 것들이 자주 사칭되지만, 무엇보다 사용자가 많은 브랜드가 사칭 대상이 될 때가 많다.

[보안뉴스 문가용 기자] 크리덴셜을 찾아 헤매는 사이버 공격자들 중 대형 기업과 브랜드를 사칭하여 사용자들을 속이는 경우가 종종 있다. 잘 통하는 브랜드가 때마다 조금씩 달라지는데, 2022년에는 통신사, 금융 기관, 유명 테크 기업들을 사칭했을 때 안정적인 성과를 거둘 수 있었던 것으로 조사됐다. 이러한 결과는 인터넷 서비스 업체인 클라우드플레어(Cloudflare)가 조사해 얻어낸 것이다.

[이미지 = utoimage]


클라우드플레어가 조사한 바에 의하면 일반 사용자들이 가장 클릭할 확률이 높은 브랜드는 AT&T, 버라이즌(Verizon), 페이팔(PayPal), 웰즈파고(Wells Fargo), 마이크로소프트(Microsoft), 페이스북(Facebook)이었다고 한다. 클라우드플레어의 CEO 매튜 프린스(Matthew Prince)는 “브랜드의 인기보다는 실제 사용자가 많은 브랜드가 높은 순위를 기록했다”고 정리한다.

“사실 공격자들은 사칭을 위해 브랜드를 특별히 가리지 않습니다. 선호하는 것이 좀 있긴 하지만, 그렇다고 다른 브랜드를 거들떠 보지도 않는 것은 아닙니다. 즉, 피싱 공격이라는 현대 기업과 소비자들의 문제는 한 동안 사라지지 않을 거라는 뜻입니다. 또한 이러한 사칭 공격 대부분 이메일을 통해 들어옵니다. ‘피싱 이메일’이라는 오래되고 지긋지긋한 위험 요소는 한 동안 우리를 괴롭힐 겁니다.”

그것만이 아니다. 현대의 피싱 공격자들은 권한이 높은 임직원들의 크리덴셜을 집요하게 노리며, 이를 통해 기업 네트워크 깊숙한 곳에까지 침투한다. 사라지기는커녕 점점 더 날카로워지는 것이다. 오래된 이름이라고 해서 간과해서는 안 되는 이유다.

2022년 FBI의 인터넷범죄센터(IC3)에는 피싱 공격과 관련된 제보 및 신고가 30만 건 넘게 접수됐다. 2021년의 32만 건보다는 조금 덜한 수치이긴 하다. 하지만 3년 전에 비해서는 162%나 증가한 것이다. 여기에는 기업 이메일 침해(BEC) 공격이 포함되어 있지 않다. 투자 사기 역시 포함되어 있지 않다. BEC와 투자 사기는 사이버 공간에서 벌어지는 공격 행위 중 가장 많은 피해를 낳는 것으로 집계되는 유형의 공격이다.

피싱 공격은 모바일 장비에서 더 큰 문제가 될 수 있다. 모바일용 이메일 클라이언트로는 피싱 공격의 수상한 면들을 눈으로 잡아내기가 더 어렵기 때문이다. 그 점을 간파해서인지 공격자들은 모바일 장비를 겨냥한 공격 비율을 크게 높이고 있다. 2022년 모바일 생태계의 피싱 공격은 기업용의 경우 10% 정도, 개인용의 경우 20% 정도 증가했다고 모바일 장비 관리 기업 룩아웃(Lookout)은 발표했다. 모바일 사용자들의 절반은 2022년 한 해 동안 적어도 한 번 이상의 피싱 공격 시도를 경험했다고도 한다.

누구나 코웃음 치는 단어, ‘피싱’
대부분의 현대 장비 사용자들이라면 ‘피싱 공격’이라는 단어를 지겹게 들어봤을 가능성이 높다. 아니, 들어만 본 것이 아니라 당해 보거나 최소한 목격해 보기도 했을 것이다. 그래서인지 피싱에 당했다고 하면 못난 사람 취급하고, 자기 자신은 피싱 공격에 절대 당할 리 없다는 강한 자신감을 가지고 살아간다. 실제 피싱 공격 성공률은 일반적으로 봤을 때 높다고 하기 힘들다. 하지만 공격자 입장에서 한두 번만 성공해도 손해가 아니기 때문에 실시하는 것이다. 실제 정보 유출을 가장 많이 일으키는 사이버 공격 유형은 피싱이다.

클라우드플레어가 이번에 발표한 ‘가장 사칭을 많이 당하는 브랜드’는 ‘가장 피싱 공격 성공률이 높은 브랜드’가 아니다. 사람들이 가장 클릭할 확률이 높은 브랜드라고 공격자들이 인지하고 있는 브랜드들이라는 것이다. “즉 일반 사용자 입장에서는 이 목록을 참고해 ‘내가 무의식적으로 신뢰하고 클릭하는지’ 확인하고 사용 습관을 바꿀 수 있겠죠. 기업들이 아니라 사용자들을 위한 목록이라고 볼 수 있습니다.” 프린스의 설명이다.

“공격을 잘 당하지 않는 사람은 한 번에 만들어지지 않습니다. 이런 작은 수정을 반복하다 보면 어느 새 해킹 공격에 잘 당하지 않는 사람이 되어 있는 것이죠. 이번에 발표된 목록을 숙지한다고 해서 해커들에게 난공불락인 사람이 되지는 않겠지만, 해커들이 공격할 의지를 갖지 못하게 하는 사람이나 조직이 되어 가는 첫 걸음이 될 수는 있습니다.”

클라우드플레어가 뽑은 ‘가장 많이 사칭당하는 브랜드 50개’ 목록은 클라우드플레어 블로그(https://blog.cloudflare.com/50-most-impersonated-brands-protect-phishing/)에서 확인이 가능하다.

3줄 요약
1. 실사용자가 많은 브랜드들일수록 피싱 공격자들이 많이 사칭.
2. 이런 브랜드들은 사용자의 신뢰도도 높아 무의식적으로 클릭할 확률 높음.
3. 목록을 활용하여 무심코 클릭하는 습관 없는지 점검할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)