사칭 공격은 인증된 사용자로 가장하여 정보 시스템에 무단으로 액세스하려는 시도입니다.
에 따르면 보안 매거진에 따르면 2020년 1분기와 2021년 1분기 사이에 웨일링 및 임원 사칭 공격이 무려 131% 증가했으며, 사이버 보안 전문가의 55%가 회사 임원이 사칭을 당한 적이 있다고 답했습니다. 이러한 공격으로 인해 작년에만 기업들은 18억 달러의 손실을 입었습니다.
임원이 수신하는 이메일 3,226개 중 1개(24일에 한 번)가 사칭 시도일 정도로 사칭 문제는 만연해 있습니다.
이 도움말에서는 사칭 공격에 대해 알아야 할 모든 것, 공격 유형, 탐지 방법, 조직을 방어하는 방법에 대해 설명합니다.
사칭 공격이란 무엇인가요?
사칭 공격은 공격자가 다른 사람으로 가장하거나 합법적인 사용자(또는 사용자 그룹)를 사칭하여 권한이 없는 정보에 액세스하는 소셜 엔지니어링의 한 형태입니다.
이러한 유형의 공격에서 공격자는 종종 IT 부서의 직원으로 위장하여 로그인 자격 증명을 요청하는 등 시스템 및/또는 표적에 대한 정보를 얻기 위해 사회 공학 기법을 사용합니다.
사칭 공격은 대면, 전화 또는 온라인을 통해 이루어질 수 있습니다. 탐지하지 못하면 치명적인 결과를 초래할 수 있습니다.
사칭 공격은 어떻게 수행되나요?
사칭은 악의적인 공격자가 보호되는 정보에 액세스하기 위해 합법적인 사용자 또는 서비스인 것처럼 가장하는 것을 말합니다. 사칭 공격은 쉽게 수행할 수 있으며 공격자가 얻으려는 데이터 유형에 따라 매우 큰 피해를 줄 수 있습니다.
공격자는 합법적인 사용자 또는 서비스에 대한 충분한 정보를 수집하여 다른 사람들이 자신이 말한 사람이라고 생각하도록 속이기만 하면 됩니다. 그런 다음 공격자는 보안 조치로 보호할 수 있는 민감한 정보를 공격 대상(또는 대상)이 공개하도록 유도합니다.
대부분의 경우 공격자는 이메일이나 다른 형태의 커뮤니케이션을 사용하여 사칭 공격을 시도합니다. 공격자는 다른 사람인 것처럼 가장한 이메일(스푸핑이라고 함)을 보내며, 여기에는 의심하지 않는 사용자의 시스템에 멀웨어를 다운로드하는 링크가 포함된 피싱 이메일이 포함될 수 있습니다.
공격자가 사용하는 또 다른 방법은 관리자 또는 소유자의 신원을 도용하여 직원에게 자금을 이체하거나 기타 민감한 정보를 제공하도록 지시하는 이메일을 발송하는 것입니다. 이메일이 권위 있는 위치에 있는 사람이 보낸 것처럼 보이기 때문에 많은 직원이 의심 없이 지시를 따릅니다.
사칭 공격은 어떻게 계획되나요?
사칭 공격 계획을 세우기 위해 해커는 먼저 공격 대상에 대한 정보를 수집해야 합니다. 해커는 소셜 미디어 프로필이나 회사 웹사이트에 공개된 정보와 같이 공개적으로 사용 가능한 정보를 사용하는 경우가 많습니다. 해커는 이 정보를 사용하여 현실적인 페르소나를 만들고 대상 회사의 직원과 상호 작용을 시작할 수 있습니다.
해커는 이 페르소나와 일치하는 방법을 사용하여 직원에게 연락합니다. 해커는 회사의 실제 이메일 또는 전화번호와 최대한 일치하는 가짜 회사 이메일 주소 또는 전화번호를 사용하여 직원에게 이메일, 문자 메시지 또는 전화를 걸 수 있지만, 육안으로는 거의 식별할 수 없을 정도로 차이가 있습니다.
이를 통해 직원은 조직에서 잘 알려진 사람과 소통하고 있다는 느낌을 받을 수 있습니다.
| 다음은 이메일 사칭의 예입니다:
accessorystore@mnmail.com accessarystore@mnmail.com 위에서 볼 수 있듯이 두 이메일의 차이는 미묘해서 특히 하루에 수백 통의 이메일을 받는 경우 놓치기 쉽습니다. |
해커가 직원의 신뢰를 얻으면 진짜 회사에서 보낸 것처럼 보이는 이메일을 보냅니다. 이러한 이메일에는 개인 정보를 요청하거나 직원의 조치(예: 파일 다운로드)를 요구하는 웹사이트 링크가 포함되어 있는 경우가 많습니다. 이러한 웹사이트와 파일은 해커가 데이터에 액세스하여 개인 정보를 훔치거나 회사 네트워크에 다른 사이버 공격을 가할 수 있는 멀웨어에 감염되어 있습니다.
이와 같은 위조된 발신자 주소는 엄격한 DMARC 정책을 통해 거부되며, 이를 이메일에 활용하여 사칭 공격으로부터 이메일을 보호할 수 있습니다.
몇 가지 일반적인 사칭 공격 수법
공격자가 사용자 또는 사용자가 아는 사람을 사칭하는 방법에는 여러 가지가 있습니다. 다음은 몇 가지 일반적인 수법입니다:
1. 무료 이메일 계정 공격
공격자는 무료 이메일 서비스를 사용하여 공격 대상이 사용하는 것과 유사한 이메일 주소로 메시지를 보냅니다. 이 수법은 사람들이 악성 웹사이트를 방문하거나 멀웨어를 다운로드하거나 비밀번호나 신용카드 번호와 같은 정보를 제공하도록 유도하는 데 사용될 수 있습니다.
2. 사촌 도메인 공격
사촌 도메인 공격에서는 공격자가 은행 웹사이트와 거의 동일하게 보이지만 .org 또는 .net 대신 .com으로 끝나는 웹사이트를 만듭니다. 그런 다음 이 가짜 사이트에서 이메일을 보내면 사람들이 이메일의 링크를 클릭하면 실제 은행 사이트가 아닌 가짜 사이트로 이동하게 됩니다.
3. 위조 봉투 발신자 공격
공격자는 "payments@apple.com"와 같이 알려진 회사에서 보낸 것처럼 보이는 발신자 주소로 이메일을 생성합니다. 이 주소는 합법적으로 보이기 때문에 대부분의 메일 서버의 필터를 우회합니다. 그런 다음 공격자는 피해자를 대상으로 메시지를 보내 링크를 클릭하거나 첨부 파일을 열도록 유도하여 멀웨어가 컴퓨터를 감염시키도록 합니다.
4. 위조 헤더 발신자 공격
헤더 발신자 공격은 이메일 스푸핑의 한 유형으로, 메시지를 실제 발신자가 아닌 다른 사람이 보낸 것처럼 속이는 데 사용할 수 있습니다. 이 유형의 공격에서는 이메일 헤더의 '보낸 사람' 필드가 메시지를 보낸 실제 주소가 아닌 다른 주소를 포함하도록 수정됩니다. "보낸 사람:" 또는 "반환 경로:" 필드 중 하나 또는 둘 다를 변경하여 수행할 수 있습니다. 이러한 공격의 목적은 비즈니스 동료나 친구 등 다른 사람이 보낸 것처럼 보이게 하여 수신자가 아는 사람이 보낸 메시지를 열도록 속이는 것입니다.
5. 손상된 이메일 계정 공격
이 공격에서 공격자는 합법적인 이메일 계정에 액세스한 다음 해당 계정을 사용하여 조직의 다른 사람들에게 이메일과 메시지를 보냅니다. 공격자는 특별한 지식이나 권한이 있는 직원이라고 주장하거나 특별한 지식이나 권한이 있는 다른 사람을 사칭할 수 있습니다.
6. CEO 사기 공격
이 공격에서 공격자는 회사의 CEO를 사칭하여 직원이나 고객에게 민감한 정보에 대한 액세스 권한이 필요하다고 설득합니다. 공격자는 종종 피싱 이메일이나 전화 통화와 같은 소셜 엔지니어링 기법을 사용하여 회사 IT 부서에서 전화하는 것처럼 보이게 합니다. 공격자는 비밀번호나 신용카드 번호와 같은 민감한 정보를 요구하면서 합법적이고 신뢰할 수 있는 것처럼 들리도록 해당 업계 또는 비즈니스에 특화된 언어를 사용하는 경우가 많습니다.
7. 중간자(MITM) 공격
이러한 유형의 공격은 공격자가 합법적인 서비스와의 통신을 가로챈 다음 마치 사용자가 보낸 것처럼 합법적인 서비스에 전달하는 방식으로 이루어집니다. 이러한 방식으로 공격자는 사용자의 통신을 도청하거나, 수정하거나, 아예 통신이 이루어지지 않도록 할 수 있습니다.
사칭 공격을 어떻게 인식하나요?
긴박감:공격자는 이메일에 다급한 어조를 사용하여 수신자에게 즉각적인 행동(예: 즉시 송금을 시작하지 않으면 계정이 영구 차단됨)을 촉구할 수 있습니다. 이는 피해자가 아무 생각 없이 행동을 취하도록 압력을 가합니다.
기밀 유지: 공격자는 요청하는 정보를 비공개로 유지해야 한다고 표시할 수 있으며, 이는 해당 정보가 공개될 경우 심각한 결과를 초래할 수 있음을 암시합니다.
민감한 정보 공유 요청: 공격자는 계좌 번호나 비밀번호와 같이 은행에서만 알 수 있는 정보를 요청할 수 있습니다. 또한 사용자만 액세스할 수 있는 개인 정보인 회사 자격 증명을 공유하도록 요청할 수도 있습니다. 이렇게 하면 공격자가 회사의 데이터베이스에 액세스하여 민감한 정보를 유출할 수 있습니다.
변조된 이메일 주소: 예를 들어, 'Amazon'에서 보낸 것처럼 사칭한 사람이 로그인하여 계정 정보를 업데이트하라는 이메일을 받았지만 실제로는 'amaz0n@gmail.com'인 경우 사칭 공격일 수 있습니다.
잘못 작성된 이메일: 피싱 이메일은 일반적으로 대량으로 생성되기 때문에 맞춤법 및 문법 오류가 있는 경우가 많으며 부실하게 작성됩니다.
악성 링크 또는 첨부 파일의 존재: 악성 링크와 첨부 파일은 사칭 공격을 수행하는 일반적인 방법입니다. 이러한 종류의 공격은 다음의 존재 여부로 식별할 수 있습니다:
- 현재 탭이 아닌 새 탭에서 열리는 링크.
- 이상한 제목이나 파일 확장자('첨부파일' 또는 '.zip' 등)를 가진 첨부파일.
- 실행 파일(.exe 등)이 포함된 첨부파일.
사칭으로부터 보호받기
1. 기업은 이러한 유형의 공격으로부터 자신을 보호하기 위해 사이버 보안 교육이 필수적이라는 점을 인식해야 합니다. 교육에는 다음이 포함되어야 합니다:
- 공격자가 사용자를 사칭하여 시스템에 액세스하는 방법
- 누군가 나를 사칭하려는 징후를 인식하여 피해가 발생하기 전에 조치를 취할 수 있는 방법
- 2단계 인증과 같은 예방적 제어를 통해 사용자를 사칭하려는 사람의 무단 액세스 시도를 방지하는 방법
2. 회사의 이메일 도메인도 사칭 공격으로부터 보호해야 합니다. 즉, 조직 내에서 새 도메인과 계정을 등록할 때 엄격한 정책을 마련하고 각 도메인에 액세스할 수 있는 사용자를 추적하여 필요한 경우 삭제할 수 있도록 해야 합니다.
3. 비즈니스용 이메일 계정을 만들 때는 비즈니스에 고유한 도메인을 사용해야 합니다. "@gmail" 또는 "@yahoo"는 너무 일반적이어서 회원님을 사칭하려는 사람이 사용할 수 있으므로 사용하지 마세요. 대신 "yourbusinessnamehere" 대신에 회사 이름이 포함된 "@yourbusinessnamehere.com"과 같은 도메인을 사용하세요. 이렇게 하면 다른 이메일 주소로 이메일을 보내 사칭하려는 사람이 있어도 내 비즈니스와 관련된 도메인 이름을 알기 때문에 아무도 믿지 않습니다.
4. 기업은 다음과 같은 이메일 보안 솔루션 구현을 고려해야 합니다. DMARC 분석기 와 같은 이메일 보안 솔루션을 도입하여 피싱 이메일과 같이 의심스러운 첨부 파일이나 링크가 포함된 이메일이 전송되는 것을 차단해야 합니다.
연중무휴 24시간 사칭으로부터 보호받고 싶으신가요? PowerDMARC는 이메일 인증 솔루션 제공업체로, 기업이 이메일 커뮤니케이션을 안전하게 보호할 수 있도록 서비스를 제공합니다. 인증된 발신자가 보낸 이메일만 보안 게이트웨이를 통해 전달되도록 하여 도메인의 평판을 관리하는 동시에 사이버 범죄자나 피싱 공격자로부터 도메인을 보호할 수 있도록 지원합니다.
- 블록체인이 이메일 보안을 개선할 수 있을까요? - 2024년 5월 9일
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일