연말 시즌, 어김없이 급증하는 문자 메시지 피싱 공격

2021-11-25 15:39
  • 카카오톡
  • 네이버 블로그
  • url
사람들이 가장 많이 돈을 쓰는 시즌이 다가왔다. 해커들이 매년 목마르게 기다려오는 시기다. 과연 벌써부터 악성 문자 메시지의 증가세가 심상치 않다. 이미 지난 해 비슷한 시기의 그것과 비교했을 때 2배 이상 높아졌다. 의심의 능력을 2배 이상 키워야 할 때다.

[보안뉴스 문가용 기자] 연말 시즌이 다가오고 있다. 그에 따라 단문 메시지를 기반으로 한 피싱 공격의 양이 크게 증가하기 시작했다. 이맘때는 늘 피싱 공격이 크게 늘어나곤 하는데, 올해는 작년 비슷한 시기에 비해서도 2배가량 늘어났다. 피싱 문자에 아무도 속지 않느냐고 하지만, 공격자들은 꾸준히 피싱 공격 빈도를 높여간다는 현상에 대해 보안 업체 프루프포인트(Proofpoint)가 조사해 발표했다.


[이미지 = utoimage]

연말 즈음에 급증하는 문자 피싱 공격의 표적이 되는 건 거의 모두 일반 소비자들이라고 한다. 하지만 프루프포인트는 개인과 기업의 경계가 많이 무너진 시점이라 피싱 공격으로 인한 피해가 얼마든지 조직 전체로도 퍼질 수 있다고 프루프포인트의 부회장 재신타 토빈(Jacinta Tobin)은 경고한다. “스미싱 공격은 점점 정교해지고 있고, 연계된 다른 유형의 사이버 공격들 역시 고급화 되고 있습니다. 모바일 장비를 사용하는 모든 사람들에게 큰 위협이 될 뿐만 아니라, 그런 사용자를 임직원으로 두고 있는 조직들에도 큰 문제가 되죠.”

공격자들이 연말 시즌에 활발히 활동하는 건 연말 연초 소비자들의 경제 활동이 왕성해지기 때문이다. 주로 가짜 영수증을 보낸다거나 가짜 상품을 광고한다거나 하는 식으로 쇼핑을 원하는 사용자들을 노려오고 있다. 매년 반복되는데도 피싱 문자라는 오래된 공격 기법이 계속해서 인기를 유지하는 건 효과가 좋아서이다. “문자 메시지를 피해자가 열어볼 확률은 98%나 됩니다. 그것도 90%는 발송 후 3분 안에 확인이 되죠. 피싱 이메일의 열람 비율과 비교가 되지 않습니다. 게다가 성공률도 이메일 피싱 공격에 비해 8배나 높습니다.”

피싱 공격이 매년 반복된다고 하지만 그렇다고 공격의 질 자체가 계속 비슷하게 유지되는 건 아니다. “최근 공격자들은 각종 개인정보를 다크웹에서 구매하거나 추가로 수집해서 피싱 메시지에 결합합니다. 예를 들어 피싱 문자에 피해자의 실명을 넣어서 보내면 좀 더 높은 확률로 속게 되죠. 또한 예전에는 웹사이트 주소에 살짝 오타 같은 게 있어서 그나마 알아보기가 쉬웠는데, 지금은 그런 부분도 많이 개선됐습니다. 눈으로 식별하는 게 점점 더 어려워지는 게 사실입니다.”

식별하기 어렵다는 건 공격자들의 기술이 향상되고 있기 때문이기도 하지만, 연말연시의 할인가를 노리는 소비자들이 ‘가격’ 혹은 ‘현명한 구매’에 집중하고 있기 때문이다. 이를 아는 공격자들 역시 ‘돈을 아낄 수 있다’는 메시지를 담아 소비자들을 유혹한다. 기술적으로도 눈을 가리고, 심리적으로도 눈을 가린다는 것이다. “할인 광고처럼 보이는 피싱 메시지가 가장 많은 이유죠. 돈을 아낄 수 있다고 했을 때 소비자들의 경계심이 무너지려는 경향이 있습니다.”

그래서 토빈은 “지나치게 좋은 할인율에 대해서는 무조건 의심하고, 자신이 주문한 물건이 무엇인지 분명히 알고 있어야 한다”고 강조한다. “또한 구매나 할인을 받으려면 뭔가를 설치해야 한다거나 특정 정보를 입력하라고 할 때도 의심하고 넘어가야 합니다. 특히나 모바일로 메일이나 문자, 거래를 진행하는 사용자들이라면 더 그렇습니다. 모바일은 화면이 작아 허점을 놓치기 쉽거든요.”

경계심을 잃지 않아야 하는 건 기업들도 마찬가지다. 임직원 개인이 피싱 및 스미싱에 속은 것 때문에 조직 전체가 피해를 입은 기업들은 전 세계 기업들의 60%나 된다고 프로프포인트는 발표했다. 미국으로 한정했을 때는 전체 기업의 81%가 이런 식으로 당했다고 조사됐을 정도라고 한다. “소비자들이 개인적으로 가지고 있는 장비를 회사 업무에 활용하는 사례도 늘어나고 있죠. 사비용으로 산 장비를 가지고 기업 네트워크에 접속도 하고요. 이제 소비자 개개인을 노리는 공격을 기업이 따로 떼어서 볼 수가 없습니다.”

그렇기 때문에 꾸준한 보안 교육과 다중 인증 시스템 구축이 기본 중 기본으로 자리를 잡아야 한다고 토빈은 강조한다. “보안 교육은 임직원들이 좀 더 의심할 수 있도록 하며, 다중 인증은 크리덴셜을 가져가는 데 성공한 공격자들이 다음 공격을 쉽게 이어갈 수 없도록 합니다. 한 마디로 두 가지 때문에 공격의 비용이 크게 상승한다는 겁니다. 공격하기에 비싼 표적은 공격하기 싫은 표적입니다.”

IT 업계도 할 일이 있다. “모바일 통신사들은 보안 업체 및 정부 기관과 협조해 피싱 캠페인이 자사 플랫폼과 통신망에서 활개치지 못하도록 근절시키는 방법을 연구해야 합니다. 사용자가 끝단에서 전부 차단할 것으로 기대하는 게 아니라 아예 사용자에게 피싱 메시지가 도달하지 못하도록 해야 한다는 것이죠. 그러려면 불법 메시지와 합법 메시지를 보다 명확히 구분할 수 있는 방법도 개발해야 할 겁니다.”

3줄 요약
1. 연말이면 늘어나는 피싱 공격, 올해도 예외 아님.
2. 쇼핑 등 경제 활동이 활발해지는 시기, 소비자들이 ‘할인’에 목마를 때.
3. 노리는 건 소비자 개개인이지만 피해는 조직 전체가 입을 수도 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기