경영진 피싱 공격 - 실용적인 인사이트 및 예방 전략
by
읽기 시간: 6 분
탁월한 경영진 피싱 공격은 기업의 보안을 침해하는 가장 효과적이고 비용 효율적인 방법 중 하나입니다. 이메일이나 전화로 경영진을 유인할 수 있지만 결과는 거의 항상 동일합니다.
임원 피싱 공격은 모든 종류의 기업에게 큰 걱정거리입니다. 이는 2016년부터 2021년까지 2016년부터 2021년까지 430억 달러(USD)의 손실을 입었습니다.
이 글에서는 이그제큐티브 피싱의 정의, 이그제큐티브 피싱이 위협이 되는 이유, 다음 피해자가 되지 않는 방법에 대해 설명합니다.
주요 내용
- 임원 피싱은 특히 고위급 임원을 표적으로 삼기 때문에 민감한 정보를 노리는 사이버 범죄자들의 주요 표적이 됩니다.
- 공격자는 종종 신뢰할 수 있는 출처를 사칭하여 경영진을 조종하여 기밀 데이터를 공개하거나 자금을 이체하도록 유도합니다.
- 일반적인 임원 피싱 공격 유형에는 비즈니스 이메일 침해, 인보이스 공격, 비디오 커뮤니케이션 플랫폼 악용 등이 있습니다.
- 다단계 인증을 구현하고 정기적인 보안 인식 교육을 실시하면 이러한 공격의 피해자가 될 위험을 크게 줄일 수 있습니다.
- 업데이트된 소프트웨어를 유지하고 이메일 필터링 도구를 활용하는 것은 경영진 피싱 시도를 방어하는 데 필수적인 단계입니다.
이그제큐티브 피싱이란 무엇인가요?
임원 피싱은 CEO, CFO, 고위 임원 등 고위급 임원 및 기타 고위 의사 결정권자를 표적으로 삼는 사이버 범죄입니다. 피싱 공격 중에는 메시지가 합법적인 것처럼 보이도록 하기 위해 경영진의 이름, 이메일 서명, 디지털 명함 및 기타 세부 정보를 사용하는 경우가 많습니다.
In 2020CEO 사기 및 랜섬웨어와 같은 사이버 범죄로 인해 41억 달러 이상의 비용이 발생했으며, 2019년 대비 2020년에는 보고된 사례가 69% 증가하여 79만 1,000건 이상에 달했습니다. 안타깝게도 이러한 사이버 위협은 줄어들지 않고 오히려 악화되고 있습니다.
피해자가 조직 내 누군가 또는 다른 신뢰할 수 있는 출처로부터 이메일을 받는다고 생각하도록 속이도록 설계되었습니다.
이그제큐티브 피싱 공격은 일반적으로 조직 내 직원이 잘 만들어진 이메일을 사용하지만, 조직 외부의 누군가가 보낸 이메일도 포함될 수 있습니다.
이메일에는 의제나 예정된 계약 등 예정된 회의에 대한 정보가 포함되어 있는 경우가 많습니다.
또한 공격자는 민감한 정보에 액세스할 수 있는 신뢰할 수 있는 직원으로 위장하여 회사 네트워크에 저장된 기밀 데이터에 액세스하려고 시도할 수도 있습니다.
이그제큐티브 피싱은 비밀번호, 민감한 문서, 로그인 자격 증명과 같은 기밀 데이터를 훔치는 것을 목표로 합니다. 공격자는 이렇게 탈취한 자격 증명을 사용하여 기업 리소스에 액세스하고 민감한 정보에 액세스합니다.
관련 읽기: 피싱 이메일이란 무엇인가요?
PowerDMARC로 경영진 피싱으로부터 보호하세요!
피싱 공격이 경영진을 노리는 이유는 무엇인가요?
경영진을 표적으로 삼으면 해커는 다크 웹에서 판매되거나 피해 기업에 대한 협박에 사용될 수 있는 귀중한 정보에 액세스할 수 있습니다.
최고 경영진은 일반적으로 재무 데이터, 개인 식별 정보(PII), 기타 기밀 비즈니스 문서와 같은 민감한 데이터에 액세스할 수 있기 때문에 필요한 모든 수단을 동원하여 이러한 데이터를 확보하려는 피싱 공격의 주요 표적이 될 수 있습니다.
경영진 피싱 공격 예시
다음 이미지에서 임원 피싱 이메일의 예를 확인할 수 있습니다:
주요 임원 피싱 공격 유형
다음은 이그제큐티브 피싱 공격의 주요 유형입니다:
비즈니스 이메일 침해(BEC) 공격
BEC 공격 CEO 및 기타 고위 관리들을 대상으로 이메일을 사칭하여 송금을 요청하는 공격입니다.
BEC 공격자는 가짜 회사 로고와 스푸핑된 발신자 주소가 포함된 사기 이메일을 전송하여 수신자가 진짜라고 믿도록 속입니다.
공격 인보이스 청구
이 공격은 합법적으로 보이지만 오류나 불일치가 있는 가짜 송장을 만들어 회사로부터 돈을 훔치는 것을 목표로 합니다.
그런 다음 공격자는 은행 송금 또는 확인에 시간이 걸리는 기타 결제 방법을 사용하여 이러한 송장에 대한 결제를 요청합니다.
비디오 커뮤니케이션 플랫폼 익스플로잇
이 공격에서 해커는 화상 통신 플랫폼을 악용하여 경영진을 사칭합니다. 예를 들어, 해커는 Google 행아웃을 사용하여 CEO를 사칭하고 기밀 정보를 요청할 수 있습니다.
해커는 또한 직원들에게 영상 통화로 재무 담당자를 만나겠다고 이메일을 보낼 수도 있습니다. 앱을 다운로드하고 로그인 정보를 입력하라고 지시합니다.
사회 공학
소셜 엔지니어링 은 사용자를 속여 비밀번호, 주민등록번호 및 기타 민감한 정보를 유출하도록 유도하여 민감한 정보나 데이터에 액세스하는 데 사용됩니다.
공격자는 IT 부서나 조직 내 다른 부서를 사칭하여 컴퓨터 또는 네트워크 리소스에 대한 액세스를 요청하는 경우가 많은데, 정상적인 비즈니스 관행상 이러한 요청은 허용되지 않습니다.
이그제큐티브 피싱과 웨일링
이그제큐티브 피싱과 Whaling 은 모두 고위급 인력을 노리는 사이버 공격이며, Whaling은 좀 더 전문적인 변종입니다. 이러한 위협을 방어하려면 적절한 사이버 보안 조치와 직원 교육이 필수적입니다.
이그제큐티브 피싱과 보이스피싱을 비교해 보겠습니다:
| 측면 | 경영진 피싱 | 고래잡이 |
| 대상 | 임원 피싱은 회사 내 고위 임원을 표적으로 삼습니다. | 고래잡이는 CEO와 CFO와 같은 최고 경영진에 초점을 맞추고 있습니다. |
| 목표 | 이그제큐티브 피싱은 무단 액세스, 데이터 탈취, 로그인 자격 증명 획득을 목표로 합니다. | 고래잡이는 고위 경영진으로부터 민감한 정보나 자금을 빼내는 것을 목표로 합니다. |
| 공격 유형 | 임원 피싱은 특히 경영진을 속여 조치를 취하도록 유도하는 피싱 공격입니다. | 스피어 피싱은 가장 영향력 있는 개인을 대상으로 하는 전문화된 피싱입니다. |
| 사칭 | 임원 피싱에서는 공격자가 고위 임원이나 동료로 사칭하여 대상을 속입니다. | 고래잡이는 고위 경영진을 사칭하여 그들의 고위급 권한을 악용하는 행위입니다. |
| 준비 | 공격자가 표적의 역할, 커뮤니케이션 스타일, 관련 정보를 조사하는 것은 임원 피싱에서 흔히 볼 수 있는 일입니다. | 고래잡이 가해자들은 표적이 되는 임원과 회사 환경에 대해 철저한 조사를 실시합니다. |
| 이메일 콘텐츠 | 임원 피싱 이메일은 공식적인 커뮤니케이션을 모방합니다. 긴박감을 조성하거나 민감한 사안을 다루는 경우가 많습니다. | 포경 이메일에는 대상의 직책과 책임에 맞는 맞춤형 개인화 메시지가 포함되어 있습니다. |
| 사회 공학 | 이그제큐티브 피싱은 권력 역학 관계, 긴급성 또는 호기심을 악용하여 표적을 조종하여 행동을 취하도록 유도합니다. | 웨일링은 높은 수준의 액세스 권한과 권한을 활용하여 표적의 신뢰와 규정 준수를 조작합니다. |
| 페이로드 | 이그제큐티브 피싱에서는 악성 링크, 첨부 파일 또는 정보 요청이 일반적인 페이로드입니다. | 고래잡이 페이로드는 종종 기밀 데이터, 금융 거래 또는 기타 귀중한 자산을 찾습니다. |
| 영향 | 이그제큐티브 피싱의 영향은 계정 유출 및 데이터 유출에서 금전적 손실에 이르기까지 다양합니다. | 포경이 미치는 영향은 매우 커서 조직에 상당한 재정적, 평판적 손실을 초래할 수 있습니다. |
| 대응 방안 | 임원 피싱에 대한 대응책에는 직원 교육, 피싱 방지 도구 사용, 주의 깊은 이메일 관행 등이 있습니다. | 보안 인식 교육, 고급 위협 탐지, 강력한 인증 방법을 통해 포경 행위를 방어할 수 있습니다. |
| 예제 | 임원 피싱의 예로는 임원에게 전송된 가짜 송금 또는 데이터 공유 요청이 있습니다. | 웨일링은 고위 경영진에게 악의적인 의도나 기만적인 요청이 담긴 표적 이메일을 보내는 것을 말합니다. |
관련 읽기: 고래잡이 피싱과 일반 피싱 비교
경영진 피싱 공격에 대한 방어 및 완화 조치
다음 보안 조치는 조직을 이그제큐티브 피싱으로부터 보호하는 데 도움이 될 수 있습니다:
DMARC 구현
DMARC 을 통해 조직은 도메인이 어떻게 사용되고 있는지 보고하고 해당 도메인에서 사기성 메시지를 발견했을 때 ISP 및 기타 이메일 제공업체가 적절한 조치를 취할 수 있도록 지원할 수 있습니다.
보안 인식 교육
보안 인식 교육은 직원들이 잠재적인 위협이 문제가 되기 전에 식별하는 데 도움이 됩니다.
보안 인식 교육에서는 콘텐츠, 발신자, 제목을 기반으로 의심스러운 이메일을 식별하는 방법을 알려줍니다. 또한 직원들이 공격의 희생양이 되지 않도록 이러한 이메일을 신고하는 방법도 알려줍니다.
다단계 인증(MFA)
다단계 인증(MFA)은 사용자가 액세스 권한을 얻기 전에 휴대폰으로 전송되거나 물리적 장치에서 생성된 코드를 입력하도록 요구하여 보안을 한층 더 강화합니다.
이메일 필터링 및 피싱 방지 도구
첫 번째 방어선은 이메일 필터링 소프트웨어를 사용하여 피싱 이메일을 필터링하는 것입니다. 이 소프트웨어를 사용하면 사용자가 의심스러운 이메일 주소를 정의하고 자동으로 거부할 수 있습니다.
또한 스푸핑되는 합법적인 이메일을 식별하여 악성일 수 있는 첨부 파일은 물론 이러한 이메일을 자동으로 거부하는 데에도 사용할 수 있습니다.
관련 읽기: 스팸 방지와 DMARC의 차이점
정기 소프트웨어 업데이트 및 패치 관리
모든 소프트웨어, 특히 브라우저, 운영 체제, 타사 애플리케이션이 최신 상태인지 확인합니다. 여기에는 물리적 머신과 가상 머신이 모두 포함됩니다.
패치에는 이미 시스템을 손상시킨 공격자가 악용할 수 있는 취약점에 대한 보안 수정이 포함되는 경우가 많습니다.
마지막 말
가장 일반적인 피싱 유형은 아니지만 이러한 유형의 공격은 여전히 개인과 기업에 부정적인 영향을 미칠 수 있습니다. 모르는 사람이 보낸 메시지나 당장 현실이 아닌 것 같은 상황에 대한 메시지를 받으면 섣불리 파일을 열지 마세요.
이그제큐티브 피싱 공격의 희생양이 될 수 있으며, 이 경우 트위터에서 제공하는 팁을 따라 자신을 보호해야 합니다.
도메인 및 이메일 보안 전문가 PowerDMARC
Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 써온 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.
아호나 루드라의 최신 포스트 (전체 보기)
- How to Set Up SPF, DKIM, and DMARC for Customer.io - 4월 22, 2025
- QR 피싱이란 무엇인가요? QR 코드 사기를 탐지하고 예방하는 방법 - 2025년 4월 15일
- nslookup, dig 또는 PowerShell을 사용하여 SPF 레코드를 확인하는 방법은 무엇인가요? - 2025년 4월 3일
