Trace Id is missing
주 콘텐츠로 건너뛰기
Microsoft Security

피싱이란?

피싱 공격의 목표는 사람들이 암호나 신용 카드 번호와 같은 개인 정보를 공개하도록 속여서 중요한 데이터를 갈취하거나 손상시키는 것입니다.

피싱 공격의 다른 유형

피싱 공격은 믿을 수 있는 소스로 가장한 사기꾼들이 각종 유형의 중요한 데이터에 액세스하려고 하는 공격입니다. 기술이 발전할수록 사이버 공격도 진화합니다. 가장 일반적인 유형의 피싱에 대해 알아보세요.

전자 메일 피싱
가장 흔한 형태의 피싱인 전자 메일 피싱은 가짜 하이퍼링크와 같은 전략을 사용하여 전자 메일 수신자가 자신의 개인 정보를 공유하도록 유도합니다. 공격자는 Microsoft나 Google과 같은 대규모 계정 제공업체나 직장 동료로 가장하는 경우가 많습니다.

맬웨어 피싱
널리 사용되는 또 다른 피싱인 맬웨어 피싱은 전자 메일에 믿을 수 있는 첨부 파일(예: 이력서, 은행 명세서)처럼 보이는 맬웨어를 심어 놓는 공격입니다. 맬웨어 첨부 파일을 여는 것만으로도 IT 시스템 전체가 마비되는 경우도 있습니다.

스피어 피싱
대부분의 피싱 공격은 광범위한 표적을 대상으로 가해지지만 스피어 피싱은 특정 개인을 표적으로 삼아 이들의 직업과 사회생활을 조사하여 수집한 정보를 악용합니다. 이처럼 고도로 맞춤화된 공격이기 때문에 기본적인 사이버 보안을 쉽게 피해 가는 경우가 많습니다.

웨일링
공격자가 비즈니스의 임원이나 유명인과 같은 “대어”를 표적으로 삼는 경우 이를 웨일링이라고 합니다. 이러한 공격자는 표적에 대한 방대한 조사를 수행하여 로그인 자격 증명이나 그 밖의 중요한 정보를 갈취할 적절한 기회를 기다립니다. 표적에 잃을 것이 많을수록 웨일링 공격자는 얻을 것이 많아집니다.

스미싱
“SMS”와 “피싱”을 결합한 조어인 스미싱은 Amazon이나 FedEx와 같이 믿을 수 있는 비즈니스의 커뮤니케이션으로 가장한 텍스트 메시지를 보내는 공격입니다. 문자 메시지는 일반 텍스트로 전송되며 상대적으로 개인적인 내용을 전달하기 때문에 사람들은 SMS 사기에 특히 취약한 경향이 있습니다.

보이스 피싱
보이스 피싱 공격에서는 가짜 콜센터에서 전화를 건 공격자가 전화를 받은 상대방이 중요한 정보를 넘기도록 유도합니다. 이러한 유형의 사기에서는 많은 경우에 소셜 엔지니어링을 사용하여 피해자가 자신의 디바이스에 앱 형태의 맬웨어를 설치하도록 유도합니다.

일반적인 피싱 전술

안전한 것처럼 가장한 커뮤니케이션
공격자들은 사람들이 그다지 주의를 기울이지 않는 곳(예: 전자 메일 받은 편지함)에 악성 메시지와 첨부 파일을 숨겨 놓음으로써 피해자가 중요한 데이터를 넘기도록 조종합니다. 자신의 받은 편지함으로 수신된 메시지는 안전한 메시지라고 여기기 쉽지만, 피싱 전자 메일은 안전하고 별다른 것 없는 것처럼 보이는 경우가 많기 때문에 주의해야 합니다. 속지 않으려면 하이퍼링크와 발신자의 전자 메일을 주의 깊게 살핀 후에 클릭해야 합니다.

긴박감 필요감 조성
사람들은 행동을 취해야 한다고 생각하기 때문에 피싱에 속는 경우가 많습니다. 예를 들어, 급히 채용을 진행 중인 기업의 채용 담당자는 이력서로 가장한 맬웨어를 다운로드할 수 있고, 계정이 곧 만료된다는 알림을 받은 은행 이용자는 계정을 복구하기 위해 의심스러운 웹 사이트에 은행 자격 증명을 입력할 수 있습니다. 긴박한 필요함을 조성하는 것은 사람들이 쉽게 넘어가는 수법 중 하나입니다. 데이터를 안전하게 보호하려면 치밀한 주의를 기울여서 대응하거나 까다로운 작업을 대신 처리해 주는 전자 메일 보호 기술을 설치하세요.

가짜 신뢰
공격자들은 가짜 신뢰를 형성함으로써 사람들을 속입니다. 이러한 속임수에는 분별력 있는 사람들도 쉽게 넘어갑니다. 피싱 공격자는 Google, Wells Fargo, UPS와 같은 믿을 수 있는 소스로 가장하여 피해자가 속았다는 사실을 알아차리기 전에 행동을 취하도록 유도합니다. 고급 사이버 보안 조치가 적용되지 않은 경우에는 수많은 피싱 메시지가 발견되지 않은 채로 방치됩니다. 의심스러운 콘텐츠가 받은 편지함에 도달하기 전에 식별하여 폐기하는 전자 메일 보안 기술을 사용하여 개인 정보를 보호하세요.

감정 조종
공격자들은 심리 전술을 사용하여 표적이 생각하지도 않고 행동을 취하도록 유도합니다. 사람들이 잘 아는 익숙한 소스로 사칭하여 신뢰를 형성한 후에 가짜 긴박감을 조성함으로써 공포나 불안과 같은 감정을 악용하여 원하는 것을 얻어냅니다. 사람들은 금전적인 손실을 입을 수 있다거나 법적 소송에 휘말릴 수 있다거나 필요한 리소스에 더 이상 액세스할 수 없게 된다고 생각하면 섣부른 결정을 내리는 경향이 있습니다. “지금 바로 행동”해야 한다고 주장하는 메시지는 사기일 가능성이 크니 주의하세요.

피싱 전자 메일의 위험

피싱 공격이 성공할 경우 막대한 손해가 발생할 수 있습니다. 금전 손실을 입거나, 신용 카드에 사기성 청구가 발생하거나, 사진, 비디오, 파일에 대한 액세스를 잃어버리거나, 심한 경우에는 사이버 범죄자가 여러분을 가장하여 다른 사람에게 피해를 입힐 수 있습니다.

직장에서는 기업이 자금 손실을 입거나, 고객 및 직장 동료의 개인 정보가 노출되거나, 중요한 파일이 갈취되고 액세스할 수 없게 되거나, 회사의 이미지가 손상될 수 있습니다. 이러한 피해는 많은 경우에 복구하기 어렵습니다.

다행히 가정과 직장에서 피싱을 예방할 수 있는 다양한 솔루션이 있습니다.

피싱 예방을 위한 간단한 팁

표시 이름 믿지 않기

메시지를 열기 전에 보낸 사람의 전자 메일 주소를 확인하세요. 표시 이름은 가짜일 수 있습니다.

오타 확인하기

피싱 전자 메일에서는 맞춤법 오류와 문법 오류를 빈번하게 볼 수 있습니다. 무언가가 이상하다고 생각되면 일단 스팸으로 분류하세요.

클릭하기 전에 살펴보기

진짜처럼 들리는 내용이더라도 하이퍼링크에 커서를 갖다 대고 링크 주소를 조사하세요.

인사말 읽기

전자 메일이 본인의 이름이 아닌 “고객님”을 지칭한다면 주의하세요. 사기 메일일 수 있습니다.

서명 검토하기

전자 메일 바닥글의 연락처 정보를 확인하세요. 사기꾼이 아닌 실제 발신자는 항상 연락처 정보를 포함합니다.

위협에 주의하기

“계정이 일시 정지되었습니다”와 같이 공포감을 조성하는 문구는 피싱 전자 메일의 특징입니다.

사이버 위협으로부터 보호하기

피싱 사기와 기타 사이버 위협은 계속해서 진화하고 있지만, 각종 조치를 사용하여 스스로를 보호할 수 있습니다.

서버실에서 작업 중인 사람

제로 트러스트 원칙 도입하기

다단계 인증, Just Enough Access, 엔드투엔드 암호화와 같은 제로 트러스트 원칙은 점점 발전하는 사이버 위협으로부터 조직을 보호합니다.

앱 및 디바이스 보호하기

Office 365용 Microsoft Defender를 사용하여 피싱 및 기타 사이버 공격을 예방하고, 탐지하고, 대응하세요.

보안 액세스

ID 기반 위협으로부터 조직을 보호하면서 정교한 공격으로부터 사용자를 보호하세요.

자주 묻는 질문

  • 피싱 사기의 가장 큰 목표는 중요한 정보와 자격 증명을 갈취하는 것입니다. 중요한 데이터를 요구하거나 신원을 증명하라고 요구하는 메시지(전화, 전자 메일 또는 문자)는 주의하여 살펴보세요.

    공격자는 널리 알려진 익숙한 조직을 사칭하며 잘 알려진 브랜드나 개인의 로고, 디자인 및 인터페이스를 그대로 사용합니다. 경계심을 늦추지 말고, 메시지가 진짜임이 확실하지 않은 이상 링크를 클릭하거나 첨부 파일을 열지 마세요.

    다음은 피싱 전자 메일을 식별하기 위한 팁입니다.

    • 긴박감을 조성하는 위협이나 행동 유도 문구(예: “지금 즉시 열어 보세요”).
    • 처음 보거나 자주 소통한 적이 없는 발신자, 나에게 처음으로 전자 메일을 보낸 모든 사람.
    • 맞춤법과 문법 오류(외국어를 낮은 품질로 번역한 경우).
    • 의심스러운 링크나 첨부 파일, 다른 IP 주소나 도메인이 링크된 하이퍼링크 텍스트.

    미세한 맞춤법 오류(예: “micros0ft.com”, “rnicrosoft.com”)

    1. 공격에 관해 기억 나는 모든 세부 정보를 적어 둡니다. 사용자 이름, 계정 번호, 암호 등 내가 공유한 모든 정보를 기록합니다.
    2. 영향을 받은 계정 및 동일한 암호를 사용하는 모든 곳에서 즉시 암호를 변경합니다.
    3. 사용하는 모든 계정에서 다단계(또는 2단계) 인증을 사용하고 있는지 확인합니다.
    4. 모든 관련 지인들에게 본인의 정보가 유출되었다고 알립니다.
    5. 금전 손실을 입었거나 신원 도용의 피해자가 되었다면 현지 법 집행 기관과 연방거래위원회에 신고합니다. 1단계에서 기록해 둔 세부 정보를 제공하세요.

    피싱 공격에 속았다고 생각되면 취해야 할 몇 가지 조치가 있습니다.

    공격자에게 보낸 정보는 그 즉시 다른 공격자에게 공개될 가능성이 크다는 사실을 기억하세요. 이에 따라 새로운 피싱 전자 메일, 문자 및 전화 통화를 받게 될 가능성이 큽니다.

  • Microsoft Outlook 받은 편지함으로 의심스러운 메시지를 받았다면 리본에서 메시지 보고를 선택하고 피싱을 선택합니다. 이것이 받은 편지함에서 해당 메시지를 제거하는 가장 빠른 방법입니다. Outlook.com에서는 받은 편지함에서 의심스러운 메시지 옆의 확인란을 선택하고 정크 옆의 화살표를 선택한 다음 피싱을 선택합니다.

    금전 손실을 입었거나 신원 도용의 피해자가 되었다면 현지 법 집행 기관에 신고하고 연방거래위원회에 연락합니다. 연방거래위원회에는 이러한 성격의 문제를 해결하는 데 도움이 되는 전용 웹 사이트가 있습니다.

  • 아니요. 피싱은 전자 메일을 통해 이루어지는 경우가 가장 많지만, 피싱 공격자는 전화 통화, 문자 메시지, 때로는 웹 검색을 통해서도 중요한 정보를 갈취합니다.

  • 스팸 전자 메일은 관련이 없거나 상업적인 내용을 포함하는 원치 않는 정크 메시지입니다. 이러한 전자 메일은 빠르게 돈을 버는 방법, 불법적인 제안, 가짜 할인을 광고할 수 있습니다.

    피싱은 특정 표적을 대상으로 보다 정교한 사칭을 통해 이루어지는 공격으로, 피해자가 자발적으로 계정 정보와 자격 증명을 넘기도록 유도하여 중요한 데이터를 갈취합니다.

Microsoft Security 팔로우