웨일링(Whaling) 공격은 스피어 피싱(Spear Phishing)의 한 종류입니다.

스피어 피싱은 피싱 중에서도 특정한 누군가를 노린 노린 공격입니다. 공격 타깃의 업무와 평소 커뮤니케이션 상대를 얌전히 지켜보다가 적정한 타이밍에 ‘그’가 좋아할 만한 미끼를 던져 낚는 방식이죠.

더 넓게는 신뢰를 기반으로 사람의 취약점을 공략해 원하는 정보를 얻는 방식을 사회공학적 해킹(Social Engineering Hacking)이라고도 합니다.

웨일링 공격은 그 중에서도 CEO, CFO 등 기업 내 고위 경영진, 정치인, 연예인 등을 타깃으로 한 공격을 말합니다.

공격 목적은 일반적인 피싱과 같습니다. 대상자의 PC에 악성코드를 심어 기업 및 단체의 중요 정보를 탈취하는 것입니다. 정보를 캐내는 것뿐만 아니라 가짜 송금을 유도해 금전적인 이익을 탈취하기도 합니다.

최근에는 SNS 등 다양한 경로를 통해 최근의 비즈니스나 관심사를 파악해 구체적인 공격 방안을 설계할 수도 있고, 일반적으로 뿌려지는 대규모 스팸 메일과는 달리, 특정인을 타깃으로 잘 꾸며서 발송되기 때문에 보안 프로그램으로도 쉽게 걸러내기 어렵습니다.

그럼 웨일링 공격이 더 위험한 이유는 무엇일까요? Whaling, ‘고래잡이’라는 공격 이름에서도 알 수 있습니다. 피싱은 낚시, 웨일링은 ‘월척’이라는 것입니다. 일반적으로 고위 경영진들은 중요 데이터에 대한 많은 접근 권한을 갖고 있고, 혹시 그들을 낚아 송금을 만들게 되면 더 큰 수익을 얻을 수도 있기 때문입니다.

그러므로 고위 경영진도 피싱 등 사이버 공격에 대한 교육을 받는 것이 중요합니다. 이메일 보안 솔루션도 중요하고, 비서가 이메일을 먼저 확인해 필터링할 수도 있지만, 경영진이 직접 관심을 갖고 이메일에 주의를 갖는 것이 가장 좋습니다.
[유수현 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>