㈜소프트이천

최근 개인정보 유출 사고를 기반으로 실제 사용자 정보를 일부 활용한 정밀 타겟형 스미싱·피싱 공격이 빠르게 증가하고 있다. 주로 공공기관이나 금융기관을 사칭하며 정상적인 안내처럼 위장해 사용자의 신뢰를 교묘하게 악용하는 수법을 사용한다. 특히 자연스러운 문구과 긴급성을 결합해 링크 클릭과 추가 정보 입력을 유도하는 등 공격 방식이 점점 정교해지고 있다. 개인뿐만 아니라 기업에서도 계정 탈취와 내부 시스템 침해로 이어질 수 있어 각별한 주의가 필요하다. 고도화된 스미싱·피싱 공격의 특징과 대응 방안을 함께 살펴보자.

더 교묘해진 스미싱·피싱 공격 양상
스미싱과 피싱은 단순히 대량으로 발송하는 방식에서 벗어나, 실제 사용자 정보를 일부 활용하는 정밀 타겟형 공격으로 진화하고 있다. 공격자는 유출된 개인정보나 유사 정보를 활용해 메시지의 신뢰도를 높이고, 공공기관·금융기관·글로벌 서비스 등을 사칭해 사용자를 속인다.

예를 들어 “귀하의 서비스 이용 관련 확인이 필요합니다”, “요청하신 내용이 처리되었습니다”, “계정 상태 점검을 위해 추가 인증이 필요합니다”와 같은 문구는 일상적인 안내처럼 보이지만, 실제로는 외부 링크 클릭과 확인 또는 인증, 조회를 위해 추가 정보 입력을 유도하는 공격 메시지일 수 있다.

공격의 주요 특징 3가지
최근 스미싱·피싱 공격은 크게 3가지 특징을 보인다.

1. 신뢰 기반 공격
실제 정보나 활동 이력을 일부 반영하거나, 공식 기관 및 서비스로 위장해 사용자로부터 의심을 줄인다.

2. 심리적 유도 기법
“즉시 조치 필요”와 같이 긴급성을 강조하거나, 자연스러운 업무 흐름처럼 구성해 사용자의 행동을 유도한다.

3. 악성 인프라 활용
공격자는 해외 국가 도메인(ccTLD)이나 신규 생성 도메인을 사용하고, 정상 사이트와 유사한 URL을 구성한다. 특히 .sb, .xyz, .top 등 신뢰도가 낮은 도메인을 활용해 단기간 운영 후 폐기하는 방식이 자주 활용된다.

주요 위험성과 기업 확산 가능성
이 같은 공격에 노출될 경우 사용자는 추가 개인정보를 입력하다가 계정이 탈취되고 인증 정보가 유출될 수 있으며, 더 나아가 금전적인 피해도 입을 수 있다.

특히 기업 환경에서 단일 계정 탈취는 내부 시스템 접근으로 이어지며, 추가 공격의 발판이 되는 등 피해 범위가 조직 전체로 확산될 위험이 있다.

피해 예방을 위한 보안 수칙
피해를 예방하기 위해서는 사용자와 조직, 그리고 보안 시스템 차원의 대응이 모두 중요하다.

1. 사용자
1) 문자, 메신저, 이메일 등에 포함된 링크는 웬만하면 클릭하지 않는다.

2) 민감한 정보 입력 요청이 있을 경우 의심부터 해야 한다.

3) 서비스 확인은 반드시 공식 사이트에 직접 접속해 진행하는 것이 안전하다.

2. 조직
1) 임직원을 대상으로 정밀 타겟 공격에 대한 인식 교육을 강화한다.

2) 개인정보 유출 기반 공격 시나리오를 사전에 공유한다.

3) 의심 URL 및 외부 링크에 대한 접근 통제 정책을 강화한다.

3. 보안 시스템
1) 위협 인텔리전스(Threat Intelligence)를 기반으로 악성 도메인을 차단한다.

2) 신규 생성 도메인 및 저신뢰 도메인에 대한 모니터링을 강화한다.

3) URL을 클릭한 후 외부 입력 페이지로 연결되는 행위를 탐지한다.

4) 피싱·스미싱 탐지 룰을 지속적으로 고도화한다.

의심 상황 발생 시 대응 방법
만약 의심스러운 메시지에 포함된 링크를 클릭했거나 정보를 입력한 경우 즉시 비밀번호를 변경하고, 금융정보를 입력했다면 관련 기관에 신고해야 한다. 또한 사내 보안부서 또는 관제센터에 신속히 통보해 추가 피해를 예방하는 것이 무엇보다 중요하다.

출처 : AhnLab