피싱과 스푸핑은 항상 우려스러운 주제였습니다. 피싱과 스푸핑은 훈련되지 않은 사람의 눈에는 매우 유사하게 보일 수 있는 두 가지 유형의 사이버 범죄입니다. 하지만 피싱과 스푸핑에는 차이점이 있으며 소비자로서 어떻게 대처해야 하는지도 다릅니다.
누군가가 유효한 사용자의 신원을 사용하려고 시도하는 것을 스푸핑이라고 합니다. 반면 피싱은 범죄자가 기만적인 사회 공학 기술을 사용하여 사용자의 개인 및 민감한 데이터를 훔치는 상황입니다.
두 가지를 혼동한 적이 있나요? 피싱과 스푸핑의 차이점이 무엇인지 알고 싶으실 겁니다. 두 가지를 모두 살펴보겠습니다!
스푸핑과 피싱: 개요
기술 발전과 광범위한 인터넷 접속 덕분에 사이버 침입은 이제 신원 도용, 데이터 유출, 신용카드 사기와 같은 화이트칼라 범죄를 저지르는 데 자주 활용되고 있습니다. 온라인 범죄자나 사기꾼이 컴퓨터 시스템이나 네트워크를 손상, 조작 또는 파괴하여 금전적 손실을 입히는 데 가장 많이 사용하는 기법은 피싱과 스푸핑 이메일입니다.
스푸핑과 피싱은 모두 전자적으로 생성되거나 위조된 문서와 관련이 있습니다. 따라서 어느 정도 혼용되는 용어입니다. 스푸핑 방법이 피싱에 자주 사용되기는 하지만 스푸핑이 항상 피싱으로 간주되는 것은 아닙니다.
피싱이란 무엇인가요?
피싱은 권한이 없는 당사자가 사용자를 속여 개인 정보를 공개하도록 유도하는 행위입니다. 피싱은 일반적으로 합법적으로 보이지만 비밀번호나 신용카드 번호와 같은 개인 정보를 도용하도록 설계된 사기성 웹사이트로 연결되는 링크나 첨부 파일이 포함된 이메일을 수신할 때 발생합니다.
전체 데이터 유출 사고의 약 25%는 피싱과 관련이 있으며, 데이터 유출 사고의 85%는 인적 요소가 있습니다., Verizon의 2021 DBIR에 따르면.
피싱 이메일은 은행, 온라인 쇼핑 사이트 또는 기타 신뢰할 수 있는 회사에서 보낸 공식 메시지로 계정 사용자 이름, 비밀번호 또는 보안 질문과 같은 개인 정보를 업데이트하도록 요청하는 것처럼 보일 수 있습니다. 따라서 이러한 이메일에 포함된 링크를 클릭하기 전에 다시 한 번 확인하는 것이 중요합니다.
스푸핑이란 무엇인가요?
스푸핑은 사이버 범죄자가 평판이 좋거나 잘 알려진 출처로 위장하기 위해 사용하는 방법입니다. 공격자는 가짜 이메일 도메인을 합법적인 출처로 사용합니다. 스푸핑은 가짜 이메일, 전화, DNS 스푸핑, GPS 스푸핑, 웹사이트, 이메일 등 다양한 형태로 이루어질 수 있습니다.
이를 통해 공격자는 데이터를 훔치거나 금전을 요구하거나 멀웨어 또는 기타 악성 소프트웨어로 디바이스를 감염시킬 목적으로 대상과 상호 작용하고 시스템 또는 디바이스에 액세스할 수 있습니다.
스푸핑 공격은 사용자 이름과 비밀번호, 신용카드 번호, 은행 계좌 정보 등 민감한 정보에 액세스하는 것을 목표로 합니다. 스푸핑은 피싱 공격에도 흔히 사용됩니다. 그리고 거의 90% 사이버 활동의 90%가 스푸핑과 관련이 있습니다.
피싱 대 스푸핑: 주요 차이점
기술
스푸핑과 피싱은 사용자로부터 민감한 정보를 빼내는 데 사용할 수 있는 두 가지 유형의 공격입니다. 둘 다 사기성 이메일 메시지를 사용하여 사용자를 속여 개인 정보를 유출하거나 멀웨어를 다운로드하도록 유도하지만 작동 방식은 다릅니다.
- 신원 도용이라고도 하는 스푸핑은 합법적인 출처에서 보낸 것처럼 보이는 가짜 이메일을 발송하는 것을 말합니다. 수신자가 비밀번호나 신용카드 번호와 같은 개인 정보를 공개하도록 유도하는 것이 목표입니다. 피싱은 스푸핑의 한 형태로, 수신자가 링크를 클릭하거나 첨부 파일을 다운로드하여 자신에 대한 자세한 정보를 제공하도록 요청하는 가짜 이메일을 발송하는 것입니다.
- 피싱은 일반적으로 사회 공학 기술을 사용하고 피해자의 긴박감이나 동정심을 유발하여 감정적인 반응을 유도하는 데 중점을 둡니다. 스푸핑은 좀 더 기술적인 방법으로, 피해자가 어떤 이메일이 진짜이고 어떤 이메일이 가짜인지 구분할 수 없도록 동일하게 보이는 받은 편지함을 만드는 경우가 많습니다.
목적
- 스푸핑은 새로운 신원을 얻기 위해 수행됩니다.: 피해자가 자신이 알고 있고 신뢰하는 사람과 소통하고 있다고 믿도록 속이는 것입니다. 이는 이메일, 인스턴트 메시징 또는 Facebook과 같은 소셜 미디어를 통해 이루어질 수 있습니다.
- 피싱은 기밀 정보를 얻기 위해 수행됩니다.: 피싱의 목표는 사용자를 속여 개인 정보를 제공하도록 유도하는 것입니다. 비밀번호, 신용카드 정보 등 사용자가 수신한 메시지가 은행이나 기타 신뢰할 수 있는 기관 또는 서비스 제공업체에서 보낸 것이라고 믿게 만드는 정보일 수 있습니다.
스푸핑을 방지하는 방법
조직에서 스푸핑 공격이 발생하는 것을 방지하는 방법에는 다음과 같은 여러 가지가 있습니다:
발신자 정책 프레임워크(SPF)
SPF는 이메일 스푸핑. 이메일 발신자가 도메인을 대신하여 메시지를 보낼 수 있는 권한이 있는지 여부를 확인하는 데 사용됩니다. 그렇지 않은 경우 수신 서버는 메시지를 즉시 거부할 수 있습니다.
SPF 레코드에는 도메인에 대해 메일을 보낼 수 있는 권한이 부여된 IP 주소 목록이 포함되어 있습니다. 레코드는 각 도메인의 DNS 영역 파일에 배치됩니다. 무료 SPF 검사 도구 무료 SPF 검사 도구 를 사용할 수 있습니다.
도메인키 식별 메일(DKIM)
DKIM 은 이메일이 합법적이며 전송 중에 변조되지 않았는지 확인합니다. 이는 전송 중에 메시지에 추가된 디지털 서명을 사용하여 수신 서버의 DNS 레코드가 확인할 수 있습니다.
도메인 기반 메시지 인증, 보고 및 규정 준수(DMARC)
DMARC 을 사용하면 회사에서 보낸 것으로 주장하지만 조직의 서버에서 보낸 것이 아닌 사기성 이메일을 처리하는 방법에 대한 정책을 설정할 수 있습니다. 이러한 정책에는 불만 처리 절차 설정, 도메인에서 스푸핑된 것으로 의심되는 이메일을 ISP가 어떻게 처리해야 하는지에 대한 지침 등이 포함됩니다.
피싱을 방지하는 방법
피싱 공격은 매우 그럴듯할 수 있습니다. 공식적인 이메일 주소로 발송되고, 익숙한 로고와 이미지가 포함되어 있으며, 심지어 실제처럼 들리기도 합니다. 이러한 수법에 속지 않으려면 다음과 같이 주의하세요:
- 누가 보냈는지 모르는 이메일의 첨부파일을 열거나 링크를 클릭하지 마세요.
- 평판이 좋은 회사에서 보낸 것처럼 주장하는 이메일의 맞춤법, 문법, 서식 오류를 찾아보세요.
- 신용카드 명세서를 정기적으로 확인하여 이상한 점이 없는지 확인하세요. 의심스러운 사항이 발견되면 즉시 은행에 문의하세요.
- 해커가 같은 네트워크에 연결된 옆자리에 앉아 있는 동안에도 데이터에 액세스할 수 있으므로 카페나 호텔에서는 공용 Wi-Fi를 사용하지 마세요.
마지막 말
간단히 말해서 피싱은 신뢰할 수 있는 기관을 사칭하여 대상의 민감한 정보를 수집하려는 시도입니다. 스푸핑은 의도적으로 메시지 수신자를 속여 다른 사람이나 다른 곳에서 보낸 것으로 착각하게 하는 것입니다. 보시다시피 두 용어 사이에는 뚜렷한 차이가 있지만 둘 다 개인 정보와 신뢰성에 심각한 피해를 줄 수 있습니다.
스스로 예방하는 가장 좋은 방법은 PowerDMARC의 전문가와 상담하고 그들의 솔루션을 사용하여 안전을 확보하는 것입니다.
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일
- 암호화폐 사기에 대처하는 이메일 안전 101 - 2024년 4월 30일
- 비즈니스에 가장 적합한 DMARC 솔루션 제공업체를 찾는 방법은? - 2024년 4월 25일