마케터는 브랜드 이미지의 설계자이므로 회사의 평판에 큰 타격을 줄 수 있는 피싱 용어 5가지를 숙지하고 있어야 합니다. 피싱은 평판이 좋은 조직에서 보낸 것처럼 보이지만 실제로는 사용자 이름, 비밀번호, 신용카드 정보(카드 데이터라고도 함)와 같은 민감한 정보를 수집할 목적으로 만들어진 웹사이트나 이메일과 관련된 공격 벡터의 한 유형입니다. 피싱 공격은 온라인 세계에서 흔히 볼 수 있습니다.

기업이 피싱 공격의 대상이 되면 브랜드 이미지가 훼손되고 검색 엔진 순위나 전환율에 지장을 초래할 수 있습니다. 피싱 공격은 회사의 일관성을 직접적으로 반영하기 때문에 마케터는 피싱 공격으로부터 보호하는 것을 최우선 과제로 삼아야 합니다. 따라서 마케터는 피싱 사기에 대해 각별한 주의를 기울여야 합니다.

피싱 사기는 수년 동안 존재해 왔습니다. 피싱 사기에 대해 들어본 적이 없더라도 걱정하지 마세요. 사이버 사기가 10년 전에 탄생했다는 이야기도 있지만 피싱이 공식적으로 범죄로 규정된 것은 2004년부터입니다. 피싱 수법이 계속 진화함에 따라 새로운 피싱 이메일을 접하면 금방 혼란스러워질 수 있으며, 때로는 메시지가 합법적인지 아닌지 구분하기 어려울 때도 있습니다. 다음 5가지 일반적인 피싱 수법에 주의를 기울이면 자신과 조직을 더 잘 보호할 수 있습니다.

주요 내용

피싱 공격은 기업의 평판을 심각하게 훼손하고 전환율에 영향을 미칠 수 있습니다.
이메일 피싱은 합법적인 조직을 사칭하여 민감한 정보를 훔치는 사기성 이메일을 포함합니다.
스피어 피싱은 조직 내 특정 개인을 표적으로 삼아 개인정보를 사용하여 민감한 계정에 액세스합니다.
웨일링은 고위 경영진을 겨냥한 피싱 공격의 일종으로, 기밀 정보를 빼내기 위해 사회 공학을 활용합니다.
비즈니스 이메일 침해(BEC) 사기는 기만적인 이메일 수법을 통해 조직에 막대한 금전적 손실을 초래할 수 있습니다.

알아야 할 5가지 일반적인 피싱 용어

1) 이메일 피싱

피싱 이메일은 일반적으로 정상 도메인을 모방한 도메인에서 대량으로 발송됩니다. 회사에서는 [email protected] 이메일 주소를 사용하지만 피싱 업체에서는 [email protected] 주소를 사용할 수 있습니다. 피싱의 목표는 사용자가 실제 거래하는 회사처럼 속여 악성 링크를 클릭하거나 민감한 정보를 공유하도록 유도하는 것입니다. 가짜 도메인은 'r'과 'n'을 나란히 붙여 'm' 대신 'rn'을 만드는 등 문자 대체를 사용하는 경우가 많습니다.

피싱 공격은 끊임없이 진화하고 있으며 시간이 지날수록 점점 더 탐지하기 어려워지고 있습니다. 위협 행위자들은 악의적인 목적을 위해 소셜 엔지니어링 전술을 사용하여 도메인을 스푸핑하고 합법적인 도메인에서 사기성 이메일을 보내고 있습니다.

PowerDMARC로 피싱 보안을 간소화하세요!

15일 평가판 시작 데모 예약하기

2) 스피어 피싱

스피어 피싱 공격은 보안 수준이 높은 계정에 액세스하기 위해 허위 정보를 사용하는 새로운 형태의 사이버 공격입니다. 전문 공격자는 한 명의 피해자를 감염시키려는 목표를 가지고 있으며, 이를 실행하기 위해 해당 기업의 소셜 프로필과 해당 기업 내 직원의 이름과 역할을 조사합니다. 피싱과 달리 스피어 피싱은 한 조직 또는 개인을 대상으로 하는 표적 캠페인입니다. 이러한 캠페인은 특정 개인을 표적으로 삼아 조직에 대한 액세스 권한을 얻기 위한 목적으로 위협 행위자가 신중하게 구성합니다.

3) 포경

웨일링은 고도로 표적화된 기법으로 고위급 직원의 이메일을 손상시킬 수 있습니다. 다른 피싱 방법과 마찬가지로 직원을 속여 악성 링크를 클릭하도록 유도하는 것이 목적입니다. 기업 네트워크를 통과하는 가장 파괴적인 이메일 공격 중 하나는 웨일링 사기입니다. 이러한 사기는 설득의 힘을 이용해 피해자의 저항을 낮추고 회사 자금을 넘겨주도록 속여 개인적인 이득을 취하려는 시도입니다. 공격자는 종종 회사의 CEO와 같은 권위적인 위치에 있는 사람을 사칭하기 때문에 웨일링 사기는 CEO 사기로도 알려져 있습니다.

4) 비즈니스 이메일 유출

비즈니스 이메일 침해(BEC)는 사이버 범죄의 한 형태로 기업에 막대한 비용을 초래할 수 있습니다. 이러한 유형의 사이버 공격은 이메일 사기를 통해 조직 도메인이 사기 행위에 가담하도록 유도하여 민감한 데이터를 유출 및 도용하는 것입니다. BEC의 예로는 인보이스 사기, 도메인 스푸핑 및 기타 형태의 사칭 공격이 있습니다. 매년 평균적으로 조직은 BEC 사기로 인해 최대 7천만 달러의 손실을 입을 수 있으며, 2020년 BEC 공격 통계에 대해 자세히 알아보세요. 일반적인 공격에서 사기범들은 조직 내 특정 직원을 표적으로 삼아 고위 동료, 고객 또는 비즈니스 파트너가 보낸 것처럼 사칭하는 일련의 사기 이메일을 보냅니다. 사기범들은 수신자에게 돈을 지불하거나 기밀 데이터를 공개하도록 지시할 수 있습니다.

5) 낚시꾼 피싱

많은 기업이 수천 명의 고객을 보유하고 있으며 매일 수백 건의 불만을 접수합니다. 소셜 미디어를 통해 기업은 한계에서 벗어나 고객에게 다가갈 수 있습니다. 이를 위해 기업은 종종 커뮤니티 관리 및 온라인 평판 관리 도구를 사용합니다. 이를 통해 기업은 고객의 요구에 유연하게 대응할 수 있습니다. 앵글러 피싱은 소셜 미디어를 통해 불만을 품은 고객에게 접근하여 회사의 직원인 것처럼 행세하는 행위입니다. 앵글러 피싱 사기는 일반 소셜 미디어 사용자를 속여 기업이 고객의 문제를 해결하려고 노력한다고 생각하게 만드는 간단한 수법이지만, 실제로는 상대방이 고객을 이용하고 있습니다.

피싱 및 이메일 사기로부터 조직을 보호하는 방법

이메일 서비스 제공업체는 서비스의 일부로 통합 보안 패키지를 제공할 수 있습니다. 그러나 이러한 패키지는 인바운드 피싱 시도로부터 보호하는 스팸 필터 역할을 합니다. 그러나 사기꾼이 도메인 이름을 사용하여 수신자의 받은 편지함으로 이메일을 보내는 경우(예: BEC, 웨일링 및 위에 나열된 기타 사칭 공격의 경우)에는 이러한 기능이 제 역할을 하지 못합니다. 그렇기 때문에 DMARC와 같은 이메일 인증 솔루션을 즉시 활용하고 이를 시행하는 정책으로 전환해야 합니다.

DMARC는 SPF 및 DKIM 인증 표준에 따라 이메일을 인증합니다.
인증 검사에 실패한 이메일에 대해 수신 서버가 어떻게 응답해야 하는지를 지정합니다.
DMARC 집계(RUA) 보고서는 이메일 에코시스템과 인증 결과에 대한 향상된 가시성을 제공하며 도메인을 쉽게 모니터링할 수 있도록 도와줍니다.
DMARC 포렌식(RUF) 보고서는 DMARC 실패 결과를 심층적으로 분석하여 사칭 공격에 더 빠르게 대응할 수 있도록 도와줍니다.

PowerDMARC가 브랜드에 어떤 도움을 줄 수 있나요?

PowerDMARC는 단순한 DMARC 서비스 제공업체가 아니라 다양한 인증 솔루션과 DMARC MSSP 프로그램을 제공하는 멀티테넌트 SaaS 플랫폼입니다. 소규모 기업부터 다국적 기업에 이르기까지 모든 조직에서 이메일 인증을 쉽고 간편하게 이용할 수 있도록 지원합니다.

사칭 공격, 도메인 스푸핑, 피싱으로부터 브랜드를 보호할 수 있도록 'p=없음'에서 ' p=거부 '로 즉시 전환할 수 있도록 지원합니다.
사용 편의성과 가시성을 높이기 위해 6가지 형식의 포괄적인 차트와 표, RUA 보고서 보기를 통해 DMARC 리더를 쉽게 구성할 수 있도록 지원합니다.
개인 정보를 중요하게 생각하므로 개인 키로 DMARC RUF 보고서를 암호화할 수 있습니다.
인증 결과에 대한 예약된 PDF 보고서를 생성할 수 있도록 지원합니다.
PowerSPF와 같은 동적 SPF 평탄화 솔루션을 제공하여 10개의 DNS 조회 제한을 초과하지 않도록 합니다.
만연한 모니터링 공격으로부터 도메인을 보호하기 위해 MTA-STS를 사용하여 SMTP에서 TLS 암호화를 의무화할 수 있도록 지원합니다.
BIMI를 통해 수신자 수신함에서 브랜드를 시각적으로 식별할 수 있도록 도와드립니다.