피싱 공격은 이메일 및 메시지에 사회 공학을 사용하여 사람들이 비밀번호나 금융 정보와 같은 정보를 넘겨주도록 유도하거나 멀웨어 다운로드 또는 은행 이체 같은 특정 작업을 수행하도록 유도합니다. 많은 기업에 위협이 되는 표적 공격(스피어 피싱)을 통해 피싱 수법은 계속해서 더욱 정교해지고 있습니다.
스팸 필터가 많은 피싱 이메일을 걸러내지만, 보다 새롭고 교묘한 이메일은 스팸 필터를 통과합니다. 대부분의 사람들이 피싱 공격의 존재를 알고 있다는 증거가 있습니다. 실제로 많은 기업에서 직원들에게 악성 이메일 및 메시지를 식별하는 방법을 가르치기 위해 트레이닝과 시뮬레이션을 제공합니다.
그렇긴 해도 스캐머들은 여전히 이러한 형태의 사이버 공격에 성공하고 있으며 이러한 형태의 사이버 공격은 널리 사용되고 있습니다. 뿐만 아니라 사이버 범죄자는 피싱 방지 조치를 피하기 위해 수법을 변경하고 있습니다.
다음은 2022년 피싱 통계 및 사실 요약입니다.
1. 피싱 공격은 여전히 매우 흔합니다
APWG의 2021년 4분기 피싱 활동 동향 보고서에 따르면 피싱 공격은 2021년에 사상 최고치를 기록했습니다. 12월에는 300,000건 이상의 공격이 기록되며 2년여 전보다 3배 이상 흔해졌습니다.
또한 2021년 보고서에서는 암호화폐 기업에 대한 피싱 공격의 증가 추세(전체 공격의 6.5% 차지)를 강조합니다. 이는 사이버 범죄 조직이 가능한 한 가장 수익성이 높은 표적을 희생시키기 위해 어떻게 대상을 발전시키고 있는지를 보여줍니다.
한편, 피싱 공격의 표적이 된 브랜드 수는 몇 달 간 증가한 후 12월에 감소했습니다. 그러나 여전히 500건이 넘는 공격이 있었으며, 이는 사이버 범죄자들이 피해자를 유인하려는 시도의 범위를 어떻게 확장하고 있는지를 보여줍니다.
2. 로더는 가장 인기 있는 공격 수단입니다
Cofense의 2022년 1분기 피싱 리뷰에서는 로더가 인포스틸러와 키로거를 뛰어넘고 가장 선호되는 피싱 도구가 되었음이 발견되었습니다. 이 연구에 따르면 로더는 자체적으로 모든 공격의 절반 이상을 차지합니다. 피싱 공격의 거의 74%가 자격 증명 피싱(사용자 이름 및 비밀번호 도용)과 관련되었던 2019년 초와 비교됩니다.
이러한 공격은 이메일이 일반적으로 악의적인 징후를 나타내지 않기 때문에 중지하기 어려울 수 있습니다. 대부분 하이재킹된 비즈니스 이메일 계정에서 발생합니다(비즈니스 이메일 사기 또는 BEC로 알려진 수법). 뿐만 아니라, 공격자는 한 단계 더 나아가 Microsoft Azure 사용자 지정 도메인에서 가짜 로그인 페이지(피싱 사이트)를 호스팅하는 경우도 잣습니다. 예를 들어, ‘windows.net’으로 끝나 사이트가 합법적인 것처럼 보여 사기를 알아채기가 훨씬 더 어려워질 수 있습니다.
Cofense의 2021년 3분기 피싱 리뷰에서 Cofense는 “최신 위반의 93%가 피싱 공격과 관련이 있다”고 보고했습니다. 이는 키로거와 인포스틸러를 이용한 피싱 문제가 얼마나 널리 퍼져 있는지를 보여줍니다.
불행히도, Cofense는 새로운 구독 기반 멀웨어 다운로더가 피싱 위협 환경에 합류할 것으로 예상하며 내년에도 같은 일이 더 많이 일어날 것으로 예측하고 있습니다.
3. 스피어 피싱 이메일은 가장 인기 있는 표적 공격 벡터입니다
Symanetc의 2019년 인터넷 보안 위협 보고서는 표적 사이버 공격을 수행하는 것으로 알려진 모든 그룹의 거의 2/3(65%)가 스피어 피싱 이메일을 사용하는 것을 보여줍니다. 또한 이 보고서는 표적 공격의 96%가 인텔리전스 수집을 목적으로 수행된다고 밝혔습니다.
Symatec은 2020년 위협 환경 동향 보고서에서 피해자를 유인하는 데 사용되는 코로나 관련 이메일이 엄청나게 급증했다고 보고했습니다. 이는 스피어 피싱이 시간이 지남에 따라 어떻게 진화하고 새로운 주제를 이용하여 소비자를 표적으로 삼을 수 있는지를 보여줍니다.
또한 이 보고서에는 비즈니스 이메일 손상 사기가 2020년 1분기에만 약 31,000개의 조직을 표적으로 삼았음이 나타났습니다.
4. 인간 지능이 피싱 공격에 대한 최선의 방어입니다
Cofense의 2019년 보고서에서 Cofense는 피싱 시도를 저지하기 위한 인식 교육의 중요성을 반복합니다. 주요 의료 회사에 대한 피싱 공격이 단 19분 만에 중단된 사례를 인용했는데, 사용자가 의심스러운 이메일을 받았다고 보고하여 보안 운영 센터가 신속한 조치를 취할 수 있었다고 합니다.
5. 피싱 공격은 점점 더 교묘해지고 있습니다
사용자가 OfficeMacro, 클라우드 사이트, 감염된 웹페이지 등에 대한 링크를 신뢰하기 때문에 Cofense는 발생하는 공격 유형에 대해 설명했습니다.
2022년에도 SharePoint, Amazon AWS, Google, Adobe, DigitalOceanSpaces, Weebly, Backblaze B2, WeTransfer 같은 신뢰할 수 있는 플랫폼의 남용이 모두 증가하면서 이러한 추세가 계속되었습니다.
또한 Cofense는 공격자의 현재 상황을 신속하게 활용할 수 있는 능력에 대한 Symantec의 조사 결과를 확인시켜 주었습니다. Cofense는 2020년에 주로 코로나로 영향을 받는 시민에게 재정 지원을 제공한다고 하는 내용의 코로나 19 관련 피싱이 밀어닥쳤다고 확증했습니다.
6. 공격자는 Zombie Phish, 단축 URL 같은 트릭을 사용합니다
공격자가 사용하는 인기 있는 트릭은 Zombie Phish입니다. 2019년 Cofense 보고서에 설명된 바와 같이, 여기에는 공격자가 이메일 계정을 탈취하고 오래된 이메일 대화에 피싱 링크로 응답하는 것이 포함됩니다. 발신자와 제목이 수신자에게 친숙하여 이메일을 진짜처럼 위장하는 데 도움이 됩니다.
피싱 이메일에서 더 많이 볼 수 있는 또다른 수법은 Bitly 같은 링크 단축 서비스에서 제공하는 단축 URL을 사용하는 것입니다. 이러한 링크는 링크의 진짜 목적지를 나타내지 않기 때문에 URL 콘텐츠 필터에 의해 거의 차단되지 않습니다. 거기다 의심스러운 도메인 이름에 주의를 기울이는 사용자가 단축 링크를 악성으로 식별할 가능성도 적습니다.
그러나 Cofense의 2021년 보고서에서 Cofense는 .com 도메인이 여전히 자격 증명 피싱 공격의 50%를 차지한다는 사실을 소비자에게 상기시켜 줍니다. 결과적으로 이러한 종류의 최상위 도메인을 방문할 때 조금도 방심하지 않는 것이 중요합니다.
7. 금융 서비스가 가장 큰 표적입니다
자격 증명 피싱은 더 이상 가장 널리 사용되는 수법이 아니지만, 우리가 바라던 것보다 훨씬 더 흔해졌습니다. APWG 보고서는 공격자가 노리는 자격 증명 유형에 대해 설명합니다.
최근 눈에 띄는 변화가 있었는데, 공격자들은 이제 은행 플랫폼과 암호화폐 거래소와 같은 금융 서비스를 가장 많이 표적으로 삼고 있습니다. 한편 웹메일과 전자상거래는 각각 2위와 3위로 떨어졌습니다.
8. 규모가 작은 조직일수록 악성 이메일의 비율이 더 높습니다
Symantec은 피싱, 이메일 멀웨어, 스팸을 포함한 다양한 유형의 이메일 위협에 대한 수치를 결합했더니, 규모가 작은 조직의 직원이 이러한 유형의 위협을 받을 가능성이 더 높았다고 보고했습니다. 예를 들어, 직원이 1~250명인 조직의 경우 약 323개의 이메일 중 한 개가 악성 이메일이고, 직원이 1001~1500명인 조직의 경우 약 823개 이메일 중 한 개가 악성 이메일로 악성 이메일의 비율이 훨씬 낮습니다.
9. 악성 이메일은 마이닝 기업을 공격할 가능성이 가장 높습니다
Symantec이 산업별로 악성 이메일 비율을 분류했더니, 마이닝 기업이 목록에서 1위(258개의 이메일 중 한 개가 악성 이메일)를 차지했으며 그 뒤를 농업, 임업 및 어업(302개 이메일 중 한 개) 그리고 공공행정(역시 302개 중 한 개)이 뒤를 따랐습니다. 그리고 제조, 도매 무역 및 건설이 그 다음으로 가장 집중적으로 표적이 된 산업이었습니다.
10. 호주 기업이 피해를 입을 가능성이 가장 컸습니다
Proofpoint의 2022년 피싱 현황에 따르면 작년에 호주 조직의 92%가 공격을 받았으며, 이 수치는 작년보다 53% 증가한 수치입니다. 한편 스페인 조직의 경우 60% 미만이 피싱 또는 랜섬웨어 캠페인을 경험했습니다.
11. 많은 데이터 위반은 피싱 공격에서 비롯됩니다
Verizon의 2020년 데이터 위반 조사 보고서에 따르면 피싱은 가장 위협적인 데이터 위반 행동 유형 중 하나였습니다(데이터 위반의 22%가 피싱과 관련됨). 2021년 보고서에서 피싱을 포함한 사회 공학 공격의 확산은 공격의 약 30%를 차지하며 상승 추세를 이어갔습니다.
12. 세대에 따라 피싱 용어에 대한 지식이 다릅니다
Proofpoint는 직원의 피싱 용어 인식에 대한 흥미로운 정보를 제공합니다. 네 연령층 중 베이비붐 세대(55세 이상)가 ‘피싱’과 ‘랜섬웨어’라는 용어를 인식할 가능성이 가장 컸습니다.
그러나 이 연령층은 ‘스미싱’과 ‘비싱’이라는 용어에 관해서는 그 정의를 가장 잘 알지 못했습니다.
13. 섹스토션은 피싱 캠페인에서 흔한 수법입니다
Cofense는 섹스토션 스캠에 기반한 피싱 수법이 점점 더 큰 문제를 나타내고 있음을 보여줍니다. 이러한 이메일은 일반적으로 평범하지만, 공격자는 피해자가 돈을 지불하도록 유도하기 위해 두려움과 갑작스러운 공포를 이용하여 사기칩니다. 또한 스캐머들은 탐지를 피하기 위해 보통 비트코인이나 다른 암호화폐로 지불할 것을 요구합니다.
Cofense는 2019년 상반기 6개월 동안 700만 개가 넘는 이메일 주소가 섹스토션의 영향을 받았으며, 150만 달러 상당의 비트코인이 섹스토션 사기와 관련된 것으로 알려진 계정(비트코인 지갑)으로 지불되었음을 발견했습니다.
2019년 말에는 시간당 최대 30,000개의 이메일을 보내는 섹스토션 봇넷에 대한 보고도 있었습니다.
14. 인기 앱은 계속 멀웨어를 배포하는 데 사용되고 있습니다
2021년 2분기 McAfee Labs 위협 보고서에서는 Powershell 및 Microsoft Office를 멀웨어 전달 수단으로 사용한 수치가 2020년 4분기에 크게 증가한 이후 상당량 감소한 것으로 나타났습니다. 대신 공격자는 이제 자유롭게 접근 가능한 앱을 사용하여 페이로드를 전달합니다.
2021년 10월 보고서에서 McAfee Labs은 자신들이 분석한 모든 클라우드 위협 중 스팸이 보고된 사건 중에서 가장 높은 증가율을 보였다고 보고했습니다(2021년 1분기에서 2분기까지 250% 증가). 또한 이 보고서에서는 스피어 피싱이 손상된 시스템에서 초기 액세스를 설정하는 데 사용되는 가장 일반적인 기술로 남아있음도 발견되었습니다.
15. SEG는 피싱 공격으로부터 전혀 자유롭지 않습니다
많은 사용자가 보안 이메일 게이트웨이(SEG)를 사용하면 피싱 공격으로부터 자신을 보호할 수 있다고 생각하는데, 불행히도 그런 생각은 사실과 거리가 멉니다. Cofense가 보고한 피싱 공격의 90%는 SEG를 사용하는 환경에서 발견되었습니다.
Cofense는 가장 진보적인 자동 감지조차도 피싱 기술의 정교함을 따라잡을 수 없다는 주요 이유를 언급합니다. 또한 SEG 개발자는 보호와 생산성의 균형도 맞춰야 합니다. 게다가 모든 시스템과 마찬가지로 SEG도 구성 오류가 발생하기 쉽습니다.
Cofense는 2022년 보고서에서 SEG로 보호되는 환경의 사용자에게 도달하는 가장 흔한 첨부 파일 확장자가 .pdf와 .html이라고 밝혔습니다. .pdf와 .html은 각각 위협의 약 35%와 30%를 차지합니다.
16. CVE-2017-11882를 악용하는 악성 첨부 파일은 여전히 흔합니다
CVE-2017-11882는 Microsoft Office 소프트웨어에 존재하는 원격 코드 실행 취약점입니다. 이 취약점은 2017년에 확인되었으며 후속 업데이트에서 결함을 패치했지만, 그럼에도 불구하고 Cofense에 따르면 악성 첨부 파일의 약 12%가 이 취약점을 악용합니다.
일부 회사는 소프트웨어를 업데이트를 느리게 하기 때문에 이와 같은 취약점은 공격자의 표적이 됩니다. 그러나 사용자가 CVE-2017-11882 취약점을 따라잡고 패치하면 관련 공격이 줄어들 가능성이 높습니다.
17. 일부 피싱 공격 페이로드는 위치를 인식합니다
사이버 공격과 관련하여 위치가 중요하지 않다는 생각은 틀릴 수 있습니다. Cofense에 따르면 사용자의 지리적 위치(사용자의 IP 주소)가 페이로드가 전달된 후 작동하는 방식을 결정하는 경우가 많습니다. 예를 들어, 페이로드 콘텐츠는 어떤 국가에서는 무해하지만 어떤 국가에서는 악성일 수 있습니다.
18. SSL은 더 이상 안전한 사이트의 지표가 아닙니다
수년 동안 피싱 사이트를 피하는 주요 팁 중 하나는 URL을 주의 깊게 확인하고 SSL 인증서가 없는 사이트를 피하는 것이었습니다. (‘HTTP’와 대조적으로) URL의 ‘HTTPS’는 사이트에 SSL 인증서가 있고HTTPS 암호화 프로토콜로 보호됨을 나타냅니다.
그러나 이것은 더 이상 의심스러운 사이트를 알아내는 데 좋은 방법이 아닙니다. APWG의 보고에 따르면 2020년 4분기에 검사된 피싱 사이트의 무려 84%가 SSL을 사용했습니다. 그리고 매 분기마다 약 3%씩 증가하는 장기 추세를 이어가고 있습니다.
19. 기프트 카드는 여전히 BEC 공격에서 인기 있는 지불 방식입니다
APWG는 공격자가 지급을 요청하는 방법에 대한 통찰력도 제시했는데, 2021년 4분기에 특히 BEC 공격에서 공격자의 68%가 기프트 카드로 지불할 것을 요청했습니다. 이 수치는 이전 분기에 비해 8% 증가한 수치입니다. 다른 인기 있는 지불 방식은 급여 바꿔치기(21%)과 은행 이체(9%)입니다. 흥미롭게도 직접 이체는 전체 사기의 22%를 차지했던 지난 분기보다 현재 훨씬 덜 흔해졌습니다.
20. 맞춤형 피싱 페이지는 3~12달러입니다
공격자 측에서 피싱 계획은 거대한 지하 산업의 일부로, Symantec은 피싱 웹페이지의 현행 요금이 3~12달러라는 등의 다크 웹의 몇 가지 사실과 수치를 보여줍니다.
21. 피싱 시도 이메일의 67%의 제목이 비어 있었습니다
AtlasVPN의 보고서에 따르면 전체 피싱 시도 이메일의 거의 70%의 제목이 비어 있었습니다. 사이버 범죄자들이 가장 일반적으로 사용하는 제목은 ‘팩스 전송 보고'(9%), ‘사업 제안 요청'(6%), ‘요청'(4%), ‘회의'(4%)입니다.
22. 2022년, 아마존 프라임 데이에 거의 900개의 가짜 Amazon 사이트가 사용되었습니다
AtlasVPN은 올해 가장 바빴던 쇼핑 데이 중 하나에 Amazon을 사칭하는 소매 웹사이트가 급증했다고 보고했습니다. 2022년 7월 12일까지 90일 동안 1,633개의 가짜 사이트가 감지되었으며 프라임 데이에는 897개의 Amazon 스푸핑 사이트가 활성화되었습니다.
23. 한국은 5년 동안 피싱 사기로 1조 7,600억원을 잃었습니다
Korea Herald는 한국이 지난 5년 동안 1조7,600억원(12억4,000만 달러)의 피해를 입었다고 보고했습니다. 이 수치의 30%는 복구되었습니다.
24. 한국 여행사, 하나투어는 피싱 공격으로 1백만 명의 사용자 기록을 도난 당했습니다
Coin Journal은 한국의 대형 여행사 중 한 곳이 고객 데이터베이스에서 고객의 이름, 주민등록번호, 주소 등의 데이터를 도난 당했다고 보고했습니다. 해커는 데이터 반환을 위해 대가를 요구했지만 여행사가 돈을 지불했는지는 확실하지 않습니다. (Translated “te hotel chain” into “the travel operator”)
2022년 그리고 그 이후의 피싱 예측
작년의 피싱 통계를 기반으로, 2022년에서 2023년으로 넘어가면서 몇 가지 주요 트렌드를 볼 수 있을 것으로 예상합니다.
- 공격이 더 정교해질 것입니다. Kaspersky에 따르면, 여러 국가들이 코로나 19 백신 정보를 훔치기 위해 할 수 있는 모든 속임수를 사용하는 것을 볼 수 있을 것으로 예상됩니다. 또한 많은 학생들이 원격으로 학습하고 있기 때문에 교육 기관이 더 자주 표적이 될 것으로 예상할 수 있겠습니다.
- 표적 랜섬웨어에 더 집중될 것입니다. Kaspersky는 사이버 범죄자들이 임의의 표적으로부터 소액을 많이 지불 받는 것보다 주요 기업으로부터 한 번에 큰 금액을 지불 받는 데 초점을 맞추는 보다 간단한 접근 방식을 취할 것이라고 예측합니다. 그리고 스마트워치, 자동차, TV 등 IoT 기기 해킹으로 급속도로 다양화될 것으로 내다봤습니다.
- TrickBot 활동이 증가할 것입니다. Cofense는 2022년에 LNK 및 CHM 다운로더를 사용하는 캠페인의 표적이 될 가능성이 높은 회사와 함께 새롭게 떠오르는 TrickBot용 전달 방법을 보게 될 것이라고 예측합니다.
- 새로운 다운로더가 예상됩니다. 현재 해커에게 판매되고 있는 멀웨어 다운로더의 높은 가격을 이유로 들며, Cofense는 훨씬 더 저렴한 새로운 멀웨어 다운로더의 출현을 예측하고 있으며 이는 피싱 환경에 심각한 영향을 미칠 수 있습니다.
미래가 어떻게 될지 확신할 수는 없지만 저희는 가까운 미래에 피싱이 개인과 기업 모두에게 중대한 위협이 될 것이라고 어느 정도 확신을 갖고 말씀드릴 수 있습니다.
피싱 관련 자주 묻는 질문
이메일이 가짜인지 어떻게 알 수 있나요?
다음을 비롯하여 이메일이 합법적이지 않음을 나타내는 몇 가지 징후가 있습니다.
- 제목이 없는 경우
- 발신자의 이름이 이메일 주소와 일치하지 않는 경우
- 이메일이 사용자 이름 및 비밀번호와 같은 개인 식별 정보를 요구하는 경우
● 본문에 잘못된 맞춤법이나 문법이 사용된 경우
로그인 정보를 넘겨줬다면 어떻게 해야 하나요?
가짜 이메일에 속았다면 계정 비밀번호를 즉시 변경하세요. 실수로 공격자에게 온라인 뱅킹 정보를 알려줬다면 돈을 도난 당하지 않도록 최대한 빨리 은행에 연락하세요. 소셜 미디어 피싱의 경우 공격자가 연락처에 있는 사람들에게 메시지를 보냈을 수 있으므로 그들에게 계정이 해킹되었음을 알리고 다른 채널(전화, 문자, WhatsApp)을 통해 연락하는 것이 좋습니다.
가장 일반적인 피싱 공격 유형은 무엇인가요?
다음은 몇 가지 일반적인 피싱 공격 유형입니다.
- 클론 피싱: 공격자가 합법적인 웹사이트 또는 이메일의 복제본을 만들어 사용자가 개인 정보를 입력하도록 속이는 피싱 공격입니다.
- 스피어 피싱: 특정 개인이나 조직을 대상으로 하는 피싱 공격으로, 공격자는 피해자가 친숙한 회사나 기관 같은 합법적인 출처에서 온 것처럼 보이는 가짜 이메일을 만드는 경우가 잣습니다.
- 멀웨어 피싱: 공격자가 이메일이나 웹사이트에 악성 소프트웨어(멀웨어)를 포함시켜 피해자의 컴퓨터를 감염시키는 피싱 공격입니다.
- 비싱: 이 공격은 이메일이나 웹사이트 대신 음성 메시지를 사용합니다. 공격자는 피해자에게 전화를 걸어 은행과 같은 합법적인 기관처럼 가장하여 개인 정보를 공개하도록 속일 수 있습니다.
- 스미싱: 이 피싱 공격은 이메일이나 웹사이트 대신 문자 메시지를 사용합니다. 사이버 범죄자는 은행과 같은 합법적인 기관에서 보낸 것처럼 보이는 문자 메시지를 보내 피해자가 자신에 대한 정보를 공개하도록 속일 수 있습니다.
피싱 공격을 신고하려면 어떻게 해야 하나요?
안티 피싱 워킹 그룹(APWG, www.antiphishing.org)에 피싱 공격을 신고하세요. 이 웹사이트는 피싱 공격에 대한 리소스와 정보 그리고 피싱 공격으로부터 자신을 보호하는 방법도 제공합니다