관리 메뉴

메대리's DIARY

[기업 커뮤니케이션 뉴스&이슈] 피싱(phishing)의 진화된 버전, '스피어피싱'을 파헤쳐보다 본문

트렌드/IT뉴스&이슈

[기업 커뮤니케이션 뉴스&이슈] 피싱(phishing)의 진화된 버전, '스피어피싱'을 파헤쳐보다

친절한 메대리 2013. 10. 28. 16:24


안녕하세요. 매일 매일~ 블로그 포스팅에 바쁜 메대리를 대신해 특별한 뉴스를 전해드리러 온 정은킴입니다:D 오늘은 최근 들어 많이 발생하고 있는 '이메일 보안' 관련 이슈에 대해 여러분들과 함께 정보를 공유해보고자 합니다.



우리가 현재 살아가고 있는 정보화 시대는 지금도 계속해서 팽창하고 있는데, 그 크기가 넓어지는 

만큼 개인 정보를 빼앗으려는 수법도 점점 더 교묘해지고 있습니다. 이미 많은 피해자들을 낳은 

'피싱'도 여기에 속합니다. 실제로 지난 6월, 한 피해자는 인터넷뱅킹을 이용하기 위해 본인이 거래하는 은행 사이트로 로그인했으나 PC가 악성코드에 감염돼 피싱사이트로 접속된 금융거래정보를 입력하게 되었고, 140여만 원의 금전적인 손실을 입은 사례가 있었습니다. 이렇게 지능적인 피싱에 대해 아직까지 잘 모르고 있는 분들을 위해 간단하게 사전적인 정의를 찾아보았습니다.


《 피싱(phishing) 》

    금융기관 등의 웹사이트나 거기서 보내온 메일로 위장, 개인의 인증번호나 신용카드 번호,

    계좌 정보 등을 빼내 이를 불법적으로 이용하는 사기수법. 개인정보 (private data)와 낚시   

    (fishing)을 합성한 조어라고 하는 설과 그 어원은 fishing이지만 위장의 수법이 '세련되어

    있다 (sophisticated)'는 데서 철자를 'phishing' 으로 쓰게 되었다는 설이 있음.


(출처: 네이버 지식백과)

                                                                                                                


간혹 피싱의 영문 스펠링을 '개인 정보를 낚는다'는 뜻에서 'fishing'이라고 알고 계시는 분들이 있는데요, 우리가 생각했던 영문 스펠링과 다르게 표현된 의도가 있었네요:D 그래서 저는 오늘 '피싱'을 

좀 더 파고들어가서 최근에 가장 주의해야 할 피싱의 또 다른 수법을 알려드리려고 합니다. 


여러분! '스피어피싱'이라는 용어를 들어보신 적 있으신가요? 스피어피싱(spear phishing은 

피싱의 한 종류로, 작살(spear)처럼 특정 집단이나 인물을 겨냥해 기밀정보를 탈취해가는 범죄 행위

를 말합니다.


"스피어피싱" 은 이메일 첨부파일이나 URL 링크를 통해 사용자의 PC에 악성코드를 감염시키는 공격을 뜻합니다. 이 공격은 업무와 관련된 이메일로 위장한 후, 첨부파일에 악성코드를 심거나 사용자가 평소에 관심을 갖고 있는 내용을 알려주면서 특정 URL로 유인하는 방법으로 PC 사용자들의 개인 정보를 빼내갑니다. 불특정 다수의 개인정보를 노리는 일반적인 피싱과는 달리 특정인을 목표로 하는 특징을 가지고 있습니다. 고위 관리나 회사의 인력 부서 혹은 기술 부서의 특정인을 목표로 해 특정 정보를 훔쳐내는 지능적인 피싱 공격이라고 할 수 있습니다.




지난 17일, 미국의 보안 소프트웨어 전문업체인 '웹센스'가 발표한 '최신 지능형 타깃 공격, 스피어피싱의 대응 방안'에 따르면, 스피어피싱으로 사용자들의 PC에 침입하는 해커들은 정상적인 이메일 주소로 피싱 이메일을 발송해 수신자가 설정해 놓은 스팸 필터링 프로그램을 통과합니다. 이 메일에는 스팸 메일에서 주로 사용되는 단어 조합도 들어있지 않아 스팸 메일로 걸러지지 않는다고 합니다. 이러한 스피어피싱의 특징을 살펴보면, 악성코드가 이메일 본문에 포함된 것이 아니라 어렵게 짜인 스크립트가 웹 페이지를 통해 전송돼 악성코드 탐지 프로그램이 정상적인 기능을 발휘하지 못했다는 것을 확인할 수 있습니다.


여기서 잠깐! 스피어피싱과 함게 연관되는 용어가 하나 더 있는데요, 그것은 바로 '제로 데이 공격(zero day attack)' 입니다.


《 제로 데이 공격 》

    운영 체제나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤, 이를 막을 수 있는  

    패치가 발표되기도 전에 취약점을 이용해 악성코드나 해킹공격을 감행하는 수법.


(출처: 네이버 지식백과)

                                                                                                                


제로 데이 공격은 스피어피싱과 비슷한 성격을 가지고 있는데, 제로 데이 공격을 할 수 있는 보안 취약점이 발견되면 해커들은 재빠르게 스피어피싱의 수법으로 개인 정보를 빼내갑니다. 실제로 지난 2011년 미국의 사이버 보안 연구소인 오크릿지 국립연구소의 직원 60여명이 인터넷 익스플로러 창에서 제로 데이 취약성을 노리는 악성 링크를 클릭했고, 이들의 사회 보장 번호와 생년월일 정보가 노출되는 사건이 발생했습니다.


그렇다면, 이렇게 지능적인 수법으로 진화해가는 스피어피싱의 공격에 대비하기 위해서는 어떻게 해야 할까요? 전문가들은 스피어피싱을 예방하는 3가지 방법에 대해 다음과 같이 설명하고 있습니다.


①  출처가 불분명한 이메일 첨부파일을 함부로 열지 않는다.

②  사용자가 주로 쓰는 문서 프로그램이나 윈도 OS 등의 최신 보안패치 다운로드를 생활화한다.

③  사용자 및 직원들에게 실제 피싱 공격의 예를 들어 주의를 환기시킨다.


여러분, 어떠셨나요? 이메일 보안에 대해 조금은 더 주의를 기울여야겠다는 생각이 드시나요? 저는 이제 이메일 하나 하나를 열어볼 때마다 좀 더 주의를 기울이고, 의심이 가는 문서나 파일은 아예 다운로드 받지 않는 습관을 들여보려고 합니다. 스피어피싱과 제로 데이 공격에 당하는 제2, 제3의 피해자들이 더 이상 생기지 않도록 우리 모두가 스스로 조심을 해야할 것 같네요. 그럼 저는 또 다른 정보를 가지고 다시 돌아오겠습니다! 










1 Comments
댓글쓰기 폼