오늘날의 현실은 디지털 상호작용에 의해 지배되고 이에 의존하고 있습니다. IT 및 보안 위험 중 가장 큰 비중을 차지하는 것은 사이버 공격 10건 중 9건은 피싱 공격의 초기 매개체인 피싱 공격입니다. 피싱의 경우, 작년 한 해에만 1,000여 개의 조직을 가장한 공격자가 약 4,000만 건의 ID 사기 위협과 10억여 건의 브랜드 가장 시도를 통해 전 세계 기업에 500억 달러 이상의 손실을 입혔습니다. 피싱은 효과가 있습니다. 그리고 위협 공격자들은 성공적인 익스플로잇 의 길로 인도하는 방법을 활용하는 것을 멈추지 않을 것입니다.
그 이유는 무엇일까요? 이러한 공격은 사람을 대상으로 이루어지며, 우리는 흥미있는 스토리를 좋아합니다. 사실 모든 인류는 스토리에 의해 움직인다고 주장하는 사람도 있습니다. 이러한 공격을 성공시키기 위해 사이버 공격자들이 사용할 수 있는 전술은 단 하나, 바로 진위 여부입니다. 시각적 진위 여부는 브랜드 가장 피싱과 가장 직접적인 관련이 있으며, 조직 진위 여부는 비즈니스 이메일 손상(BEC) 피싱과 가장 밀접한 관련이 있습니다.
첫 번째 목표는 진짜임을 입증하는 것입니다. 예를 들어, 일반적으로 알려진 브랜드를 겨냥하여 사람들이 무엇이 진짜인지, 가짜인지 구분하기 점점 더 어렵게 만드는 것입니다. 이메일 공격자들은 20개의 유명 글로벌 브랜드 중 하나를 가장하는 경우가 가장 많았습니다(51.7%). 이들 브랜드는 인기가 높고 여러 조직과 교류가 많은 브랜드로, Microsoft가 Google, Amazon, Facebook, 세계보건기구 등 다른 기업및 기관과 함께 1위에 올랐습니다.
또한 위협 행위자들은 브랜드와 관련된 대규모 세계 이벤트나 동향을 활용하거나 이용합니다. 예를 들어 월드컵이 열리면 월드컵과 관련된 자산을 활용하는 캠페인이 시작됩니다. G20 정상회의가 열리면 G20과 관련된 자산을 활용한 캠페인이 진행됩니다. 코로나19가 닥치자 코로나19 관련 동향을 활용한 공격이 대 거 발생했습니다. 어떤 면에서 위협 행위자는 물리적 사건이 사이버 공간으로 이어지므로 예측하기가 매우 쉽습니다. 이것을 보면 궁극적으로 피싱이 다른 공격과 마찬가지로 가장 취약한 고리, 즉 인간의 내재된 신뢰 성향이라는 점을 악용한다는 점을 알 수 있습니다.
위협 공격자가 합법적인 것처럼 위장하면 피해자를 속여 링크를 클릭하거나 유해한 파일을 다운로드하도록 유도하는 두 번째 주요 목표를 쉽게 달성할 수 있습니다. 아는 사람이라고 여겨지는 사람이 보낸 시의적절한 링크나 파일을 열어보고 싶은 것은 당연한 일입니다. 올해 초, 위협 행위자들은 실리콘밸리 은행의 파산으로 인한 혼란을 틈타 고객들을 노렸습니다. 광범위한 피싱 캠페인에서 위협 행위자들은 SVB로 위장하여 DocuSign의 "링크"를 보냈고, 이 링크를 클릭하면 공격자가 소유한 복잡한 리디렉션 체인으로 사용자가 연결되었습니다.
피싱 공격에 맞서 싸워야 하는 이해관계는 그 어느 때보다 높습니다. 이 문제는 극복할 수 없는 것처럼 보이지만, 조직의 보안 태세를 강화하기 위한 세 가지 핵심 조치가 있습니다.
표준 이메일 받은 편지함 보안 도구로는 이러한 공격에 대응할 수 없기 때문에 사기성 이메일 한 통이 조직에 심각한 피해를 입힐 수 있습니다. 2013년부 터 2015년까지 Facebook과 Google에서는 기술 대기업의 벤더를 가장하여 수백만 달러의 청구서를 대량으로 발송하는 사기성 청구서 사기의 피해를 당해 1억 달러의 손실을 입었습니다. 2016년 오스트리아의 항공우주 부품 제조업체인 FACC에서는 직원이 회사 CEO를 가장한 피싱 사기를 믿고 돈을 이체했다가 4,700만 달러의 손실을 입었습니다.
위협 행위자는 공격의 발원지로 Microsoft, Google 등 유명 공급자를 자주 사용하므로 일반적인 인증 검사를 회피할 수 있습니다. 오늘날의 이메일 보안 절차는 메시지가 받은 편지함에 도착하기 전, 도착하는 동안, 그리고 도착한 후에 여러 보호 계층을 설정해야 합니다. SPF, DKIM, DMARC 인증 표준은 중요한 보호 단계이지만, 이것만으로는 피싱 공격에 대한 포괄적인 보호 기능을 제공되지 못합니다. 이러한 표준은 피싱 공격에 흔히 사용되는 위험한 이메일 및/또는 링크의 존재를 감지하도록 설계되지 않았으며, 이러한 도구를 통해 원치 않는 메시지의 89%가 삭제되었다는 사실이 이를 입증합니다.
최신 피싱 수법에 대처하고 이에 대응하기 위한 핵심은 '절대 신뢰하지 않고 항상 확인한다'는 유출 사고를 가정하는 사고방식을 채택하는 것입니다. 조직은 모든 이메일에 대해 Zero Trust 보안 모델을 구현해야 합니다. 피싱 방지 다단계 인증을 구현하고, 여러 피싱 방지 장벽으로 클라우드 이메일 보안을 강화하며, 직원에게 보안 도구를 제공하는 것은 모두 이를 달성하는 데 중요한 요소입니다.
프로세스와 도구가 제대로 작동하지 않으면 자연스럽게 더 많은 리소스(사람, 시간, 비용)를 문제에 투입하려는 경향이 있습니다. 사후 조치를 취하는 것은 이미 너무 늦었다는 것을 의미하므로 이는 잘못된 행동입니다. 스팸 필터를 예로 들면, 한때 이메일 보안의 주요 초점이었던 스팸 필터는 피싱 공격에 선제적으로 대응하는 데 필요한 기능 중 빙산의 일각에 불과합니다.
피싱 위협을 여러 유형으로 분류하는 것은 다른 상황에서는 성공적일 수 있지만, 피싱 문제를 해결하기 위해 피싱을 전체적으로 바라볼 때는 효과적이지 않습니다. 많은 업계 피싱 보고서가 마치 100개의 다른 문제에 대해 접근하고 해결하는 것처럼 세분화되어 있는데, 동일한 위협이 100가지 다른 방식으로 논의되면 솔루션에 접근하기가 어려울 수 있습니다. 포괄적인 접근 방식이 필수적이며, 증가하는 공격 횟수에서 알 수 있듯이 데이터를 이어 붙이는 것만으로는 해결책을 찾을 수 없습니다. 보안 의사결정권자의 90%가 피싱 위협의 유형과 범위가 확대되고 있다는 데 동의하는 만큼, 디지털 환경을 보호하기 위한 효율적이고 종합적인 전략이 필요하다는 것은 분명 합니다.
사이버 보안 환경에는 보안 강화를 약속하는 솔루션이 넘쳐나지만, 어떤 조직도 피할 수 없는 피싱이라는 악화된 문제를 효과적으로 해결하는 솔루션은 거의 없습니다. Cloudflare에서는 2022년에만 해도 2021년 대비 두 배인 140만 건 이상의 BEC 위협을 탐지했으며, 71%의 조직에서 비즈니스 이메일 손상 공격이 시도되었거나 실제로 발생했습니다.
이 데이터는 피싱이 산업 전반에 걸쳐 침투하여 링크 클릭 한 번으로 기존의 보안 투자를 효과적으로 무너뜨리고 있음을 보여줍니다. 사용자들은 링크를 보다 확실한 커뮤니케이션 수단으로 인식하므로 파일을 다운로드하는 것보다 링크를 클릭기가 더 쉽습니다. 위협 행위자들은 이러한 인간의 약점을 반복적으로 이용하므로 악의적 링크가 가장 일반적인 위협 범주로 올라섰으며, 감지된 모든 위협의 35.6%가 손상시키는 유형이었습니다. 이러한 링크와 파일은 공격자가 맬웨어나 랜섬웨어를 설치하거나 데이터를 훔치거나 기타 작업을 수행할 수 있는 원격 코드 실행, 자격 증명 수집으로 이어질 수 있으며, 궁극적으로는 하나의 워크스테이션을 장악하는 것만으로도 전체 네트워크가 손상될 수 있습니다.
피싱이 계속 급증함에 따라 기업의 리더는 데이터 포인트를 활용하여 솔루션을 구축해야 합니다. 이를 통해 리소스를 적절히 할당하여 성공적인 피싱 공격으로 인한 유출을 선제적으로 방어할 수 있습니다. 데이터에 따르면 피싱이 모든 규모의 비즈니스에 압도적인 문제인 것은 분명하지만, 리소스를 적용하여 피싱 공격으로 인해 돌이킬 수 없는 피해를 입지 않도록 하는 방법에 대한 정답이 있습니다.
디지털 생태계는 끊임없이 진화하고 있으며, 피싱 공격에 한 발 앞서 대응하려면 직접적이고 선제적인 접근 방식이 필요합니다. 조직에서는 Zero Trust 보안 모델로 이메일을 보호하여 어떤 사용자나 장치도 이메일이나 기타 네트워크 리소스에 대한 신뢰할 수 있는 완전한 액세스 권한을 갖지 못하도록 할 수 있습니다. 조직에서는 여러 피싱 방지 제어 기능을 클라우드 이메일 보안에 통합하여 공격에 노출될 위험이 높은 영역을 해결하고 피싱 방지 MFA 보안 도구를 구현할 수 있습니다.
기술 스택은 조직 문화를 개선하는 것만큼이나 중요합니다. 대규모 조직에서는 팀마다 선호하는 도구가 다르므로 직원들이 이미 사용하고 있는 도구의 보안을 강화하면 잠재적인 피싱 공격을 예방하는 데 도움이 됩니다. 의심스러운 활동을 보고하고 조치를 취하기까지 걸리는 몇 분의 시간이 아주 중요하므로 의심스러운 활동을 보고할 때 비난을 받지 않고 투명하게 "목격하면 신고하라"는 접근 방식을 장려하는 것이 가장 중요합니다.
최신 기술 솔루션을 구현하고, 문제에 정면으로 맞서며, 데이터 기반 솔루션을 활용함으로써 조직에서는 임시방편에 불과한 솔루션에서 벗어나 피싱 공격으로부터 자체와 데이터를 광범위하게 보호할 수 있습니다. 이러한 솔루션에는 피싱의 교활한 위협에 대한 강력한 방어를 위해 기술적 조치와 조직적 인식을 결합하는 교차 기능적 접근 방식이 필요합니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
최신 피싱 동향에 대해 자세히 알아보려면 최신 피싱 위협 보고서를 확인하세요!
Oren Falkowitz - @orenfalkowitz
Cloudflare 보안 책임자
이 글을 읽고 나면 다음을 이해할 수 있습니다.
피싱은 여전히 10건 중 9건의 사이버 공격의 초기 매개 수단임
89%의 원치 않는 메시지가 SPF, DKIM, DMARC를 통과했음
조직의 보안 태세를 강화하기 위한 3가지 주요 조치