스피어 피싱이란?

일부 피싱 사기는 누군가가 입질하리라는 희망으로 수백만 명의 사람에게 전송되지만, 스피어 피싱 공격은 단일 대상에 초점을 맞추며 아주 그럴듯합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 스피어 피싱의 정의
  • 피싱, 스피어 피싱, 웨일링의 차이점 설명
  • 스피어 피싱과 웨일링 방지 전략 개요

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

스피어 피싱이란?

피싱은 피해자를 속여 중요한 정보를 공유하도록 하는 공격을 가리키는 광범위한 용어인 반면, 스피어 피싱은 개인, 조직, 기업이 될 수 있는 단일 대상을 겨냥하는 피싱 공격입니다.

스피어 피싱 공격은 공격자가 피해자에 대한 정보, 그중에서도 종종 온라인에서 발견되는 공개 정보를 사용하여 설득력 있는 계략을 세우기 때문에 특히 효과적입니다.

스피어 피싱 공격은 어떤 모습일까요?

일반적인 스피어 피싱 전술은 공격자가 권위 있는 위치에 있는 사람인 것처럼 가장하는 것입니다. 사람들은 권위 있는 인물에게 반응을 보일 가능성이 훨씬 크기 때문입니다.

다음은 하나의 예입니다.

Joe는 Mary라는 CEO의 비서입니다. 메리가 해외로 휴가를 떠난 어느 날, Joe는 Mary로부터 긴급 이메일을 받습니다. 이메일에는 Mary가 수하물과 휴대전화를 도난당했다고 나와 있습니다. Mary는 돈이나 여권이 없으며 호텔을 예약하고 집으로 가는 항공권을 살 수 있도록 최대한 빨리 페이팔 자격 증명을 보내달라고 요청합니다. Joe가 고용주가 보낸 이 끔찍한 메시지를 보고 즉시 요청한 정보를 보낼 수도 있습니다.

이러한 종류의 "지금 곤란에 처했고 돈이 필요해요"라는 상사의 요구는 일반적인 스피어 피싱 대본입니다. 공격자는 Mary의 이메일을 스푸핑하고 일치하는 이메일을 찾으려고 Joe의 이름과 이니셜의 수십 가지 다른 조합으로 이메일을 보낼 수 있습니다. 공격자는 Twitter에서 Mary를 팔로우하여 Mary의 휴가 계획에 대해 알게 되었을 수도 있습니다. 이러한 모든 도구를 결합하여 공격자는 아주 그럴듯한 사기 계획을 수립할 수 있습니다.

이에 대한 주목할만한 실제 사례로, 2016년에 한 공격자가 Snapchat의 CEO로 가장하여 직원에게 기밀 급여 정보를 넘겨주도록 설득할 수 있었습니다.

스피어 피싱 공격에는 데이터 유출 정보가 활용될 수도 있습니다.또 하나의 예:

Steve는 주요 온라인 소매점에서 컴퓨터를 구매하지만, 몇 주 후 소매점에서 데이터 유출 사고가 발생했습니다. 신용 카드 번호, 비밀번호 등 중요한 데이터는 해시로 보호되었지만, 고객 이메일 주소와 주문 내역이 유출되었습니다.

며칠 후 Steve는 새 컴퓨터 제조업체로부터 자신의 모델이 리콜되며, 환불을 받을 수 있는 링크를 제공한다는 이메일을 받습니다. 링크를 따라가보니 Steve를 제조업체 웹 사이트의 가짜 버전으로 안내하고 Steve가 환불을 받기 위해 신용 카드 번호를 입력할 수 있는 양식이 나와있습니다. 공격자는 몇 가지 무해한 데이터를 이용하여 Steve의 신뢰를 얻고 금융 정보를 넘겨주도록 속였습니다.

스피어 피싱과 웨일링의 차이점은?

웨일링은 일반적으로 회사의 최고 경영자, 유명인 등 세간의 이목을 끄는 피해자를 겨냥하는 스피어 피싱 공격입니다. 웨일링 공격은 더 교묘한 경향이 있으며, 많은 경우 공격자는 최종 피해자에게 접근하기 위해 "웨일(고래)"의 직원과 같은 덜 중요한 대상에 대해 먼저 스피어 피싱 공격을 수행합니다.

예를 들면 다음과 같습니다.

휴가 중에 CEO인 Mary가 IT 팀에 근무하는 것으로 아는 사람으로부터 이메일이나 전화를 받는데, 사이버 공격을 받고 있으며 회사 데이터를 안전하게 보호하기 위해 업무용 컴퓨터와 계정에 대한 액세스를 요청하는 내용입니다. 공격자가 자격 증명을 넘겨주도록 Mary를 설득하려고 신뢰를 얻기 위해 IT 팀을 해킹했을 수 있습니다.

스피어 피싱 및 웨일링으로부터 보호하는 방법

스피어 피싱에는 소셜 엔지니어링 공격이 포함되므로 이러한 종류의 공격으로부터 보호할 수 있는 확실한 방법은 없습니다.그러나 여러 가지 예방 조치를 취하여 스피어 피싱 시도를 방지하고 완화할 수는 있습니다.그 조치는 다음과 같습니다.

  • 전화, 채팅, 이메일을 통해 금융 정보, 비밀번호, 기타 중요한 데이터를 공유하지 마십시오.
  • 신뢰할 수 있는 출처에서 온 것처럼 보이더라도 이메일의 링크를 클릭하지 마십시오. URL을 복사하여 붙여넣거나 직접 입력하면 Cross-site scripting 공격으로부터 보호할 수 있습니다.
  • 도난당한 로그인 자격 증명만으로는 충분하지 않도록 모든 중요한 계정에 2단계 인증을 활성화하십시오.
  • Zero Trust 보안 정책을 활성화하여 침입자가 네트워크에 공개적으로 액세스할 수 없도록 합니다.