비싱 공격이란?
비싱은 전화를 통해 중요한 정보를 공유하도록 사람들을 속이는 관행입니다. 비싱의 피해자는 세무 당국, 고용주, 이용하는 항공사, 직접 아는 사람 등 신뢰할 수 있는 기관과 중요한 정보를 공유하고 있다고 믿게 됩니다. 비싱은 "보이스 피싱"이라고도 합니다.
피싱은 평판이 좋은 당사자인 척하여 중요한 정보를 훔치려고 시도하는 관행을 가리키는 전반적인 용어입니다.피싱에는 이메일 피싱('피싱'이라고도 함), 보이스 피싱 또는 비싱, 웨일링, 스피어 피싱 등 다양한 형태의 피싱이 있습니다.
비싱 공격은 감지하거나 모니터링하기가 더 어렵지만, 공격자는 동시에 다른 매체를 통해 정보에 액세스하려고 시도한다는 경우가 많다는 점을 이해하는 것이 중요합니다. 따라서 이메일 피싱 공격이 크게 증가하는 것은 보이스 피싱 시도도 발생할 수 있다는 신호로 간주될 수 있습니다. 조직에서는 직원에게 알리는 것이 이러한 공격에 대한 최상의 방어 수단이므로 이러한 사고에 대해 직원을 교육해야 합니다.
비싱과 소셜 엔지니어링은 어떤 관련이 있을까요?
비싱은 소셜 엔지니어링의 한 형태입니다. 공격자는 원치 않는 전화 통화를 하면서 신용 카드 세부 정보를 공유하는 것과 같이 피해자가 다른 방법으로는 하지 않을 일을 하도록 설득합니다. 공격자는 탐욕, 두려움, 돕고 싶은 욕구 등 기본적인 인간 감정을 이용합니다. 공격자는 긴급 상황에 처한 친구인 척하면서 피해자에게 돈을 이체하도록 유도할 수 있습니다. 또는 고용주의 IT 부서 구성원인 척 가장하면서 사용자 이름과 비밀번호를 알아내어 회사 네트워크에 액세스할 수도 있습니다.
비싱 공격은 어떻게 작동할까요?
비싱 공격은 다양한 형태로 이루어질 수 있지만, 다음 전술 중 일부가 포함되는 경우가 많습니다.
- 깜짝 요소: 발신자는 세무 당국, 기업, 국가 복권 부서 등 일반적으로 전화를 걸어오지 않는 조직의 일부라고 주장할 수 있습니다.발신자는 또한 피해자에게 친숙한 사람이며 비정상적인 상황에서 전화를 거는 것이라고 주장할 수도 있습니다.
- 긴박감과 두려움: 발신자는 어떤 조치를 신속하게 취하지 않으면 부정적인 결과가 생긴다고 암시하거나 위협할 수 있습니다.이러한 결과에는 세금을 즉시 납부하지 않으면 체포될 위험, 개인 정보를 즉시 공유하지 않으면 당첨된 복권을 찾을 수 없다는 기회 상실 등의 페널티가 포함될 수 있습니다.
- 정보 요청: 발신자는 성명, 주소, 생년월일, 여권 번호, 신용 카드 세부 정보 등의 개인 정보나 중요한 정보를 요청합니다.공격자가 일부 정보를 이미 가지고 있으며 이를 완성하거나 확인하려고 할 수도 있습니다.
- 적시성의 요소: 비싱 공격은 현재 이벤트와 관련이 있는 경우가 많습니다.예를 들어, 코로나19 전염병이 시작될 때 공격자는 재택 근무를 막 시작한 직원에게 전화를 걸어 IT 부서의 구성원이라고 주장했습니다.공격자는 회사 애플리케이션 및 데이터에 대한 액세스 권한을 부여해주겠다면서 사용자 이름과 비밀번호를 요청했습니다.이러한 공격은 국제적으로 발생했으며 다양한 조직이 관련되었습니다.정부 기관과 NGO가 제조 회사, 소프트웨어 개발자, 항공사와 함께 표적이 되었습니다.
비싱의 피해자가 되지 않으려면
개인은 피싱으로부터 자신을 보호하기 위해 여러 가지 관행을 따를 수 있습니다. 여기에는 다음이 포함됩니다.
- 전화로 금전이나 중요한 정보를 요구하는 사람을 경계하기: (개인 정보 또는 수신자가 소속된 조직에 대한 정보).대부분의 당국에서는 전화로 그러한 정보를 요청하지 않습니다.
- 전화 통화에서 허위 신원을 가장할 수 있는 기술적 가능성을 의식하기: VoIP 기술을 사용하여 전화 번호를 위조하거나 특정 지역 번호를 사용하는 것은 어렵지 않습니다.그러므로 발신자 ID 또는 지역 번호를 기반으로 수신 전화를 신뢰해서는 안 됩니다.
- 긴급성을 의심해보기: 긴박감을 조성하거나 즉각적인 행동을 권고하는 것으로 보이는 사람은 신뢰하지 않는 것이 현명합니다.대신, 침착함을 유지하고 가능한 결과를 고려해보세요.
- 호출자의 ID를 묵시적으로 신뢰하지 않음: 공개적으로 이용 가능한 회사 전화 번호를 검색해보고 전화해서 발신자의 신원을 확인하는 것이 중요합니다.발신자가 회신 번호를 제공하는 경우 사기의 일환일 수 있으므로 사용해서는 안 됩니다.발신자가 친구나 가족이라고 주장하는 경우, 다른 통신 수단을 통해 이 사람에게 연락해보거나 쌍방 모두를 아는 사람에게 연락하여 해당 주장이 맞는지 확인합니다.
비싱 공격으로부터 조직을 보호하는 방법
기업에서 자체적으로 비싱 공격을 막기 위해 문화 및 기술 수준에서 취할 수 있는 조치가 몇 가지 있습니다.
교육: 직원들에게 현재 비싱의 동향과 일반적인 특성에 대해 교육하는 것이 중요합니다.교육을 하면 직원은 특정 시나리오에 대한 지식을 기반으로 공격을 감지하거나 비싱 공격의 특징이 보인다고 생각되면 주의를 기울일 수 있습니다.리더가 직원에게 연락하는 경우나 연락하지 않는 경우를 상기시키는 것도 도움이 됩니다.예를 들어, CEO는 직원에게 전화해서 개인 정보를 요청하거나 은행에 송금하라고 지시하지 않습니다.이것이 당연해 보일지 모르지만, 그래도 CEO가 정기적으로 이를 알려 주는 것이 도움이 됩니다.
문화: 조직에서는 직원들이 비싱 공격의 피해자가 되었다고 편안하게 보고할 수 있도록 노력해야 합니다.그러한 경우에 대한 프로세스를 마련하고 직원이 이를 인식하며 사건을 즉시 보고하는 데 따른 영향을 두려워하지 않는 신뢰 분위기를 조성하는 것이 이상적입니다.
기술: 전화 통화를 통해 발생하는 비싱 공격은 이메일의 피싱 공격보다 감지하고 방지하기가 더 어렵습니다.그러나 특정 조치를 수행하면 피해를 줄이고 모니터링할 수 있습니다.
- 다단계 인증: 내부 시스템 및 정보에 액세스하는 데 두 개 이상의 확인 요소가 필요한 경우 공격자가 전화를 통해 로그인 자격 증명을 훔치는 것만으로는 액세스 권한을 얻기가 어려워집니다.
- 최소 권한 원칙: 직원이 비싱 공격의 피해자가 되어 장치가 손상된 경우 가능한 한 피해를 최소화해야 합니다.직원이 시스템에만 액세스하고 역할에 필요한 정보가 핵심적인지 확인해야 합니다.Cloudflare의 Zero Trust 서비스와 같은 Zero Trust 네트워크 액세스 기술은 이러한 액세스를 관리하는 데 도움이 될 수 있습니다.
- 액세스 로그: 비정상적인 활동을 감지하고 모니터링하는 시스템을 갖추는 것이 중요합니다.Zero Trust 기술도 조직에서 이를 수행하는 데 도움이 됩니다.
- 이메일 보안을 센서로 사용: 공격자는 일반적으로 여러 형태의 소셜 엔지니어링을 동시에 사용합니다.Cloudflare의 이메일 보안 기술을 사용하면 이메일 피싱 시도가 차단되고 시도 증가 시 조직에 대하여 경고가 표시됩니다.이메일 피싱이 증가하는 것은 보이스 피싱이 증가함을 의미하는 경우가 많습니다.