피싱이란 무엇인가요?
피싱은 공격자가 합법적인 웹사이트의 설득력 있는 복사본 — 종종 픽셀 단위로 동일한 — 을 만들고 피해자를 속여 그곳에 자격 증명을 입력하게 만드는 사회공학 공격입니다. 피해자가 양식을 제출하는 순간 공격자는 사용자 이름, 비밀번호, 그리고 모든 이중 인증 요소를 탈취하여 수 초 내에 실제 계정을 장악합니다.
이 단어는 미끼(주로 이메일)로 피해자를 "낚는다"는 비유에서 유래했습니다. 철자가 바뀐 것은 공격자들이 종종 phone(전화)을 사용한다는 점을 강조하기 위해서입니다(SMS 피싱, 즉 "스미싱").
피싱이 여전히 최대 위협인 이유
오늘날 대규모 계정 침해의 대부분은 해킹, 비밀번호 크래킹, 또는 암호화 우회와 관련이 없습니다. 이는 사람이 가짜 사이트에 비밀번호를 직접 입력하는 것과 관련이 있습니다. 피싱은:
- 저렴합니다 — 공격자는 VPS 하나와 스푸핑된 도메인 비용으로 수백만 개의 이메일을 발송할 수 있습니다
- 필터링이 어렵습니다 — 최신 킷은 도메인을 순환하고, 합법적인 호스팅을 사용하며, 실시간으로 필터에 적응합니다
- 효과적입니다 — 보안에 민감한 사용자도 정교하게 제작된 표적 공격(스피어 피싱)에 당할 수 있습니다
- 확장 가능합니다 — 성공적인 피싱 한 건으로 비밀번호 재사용을 통해 수십 개의 연결된 서비스에 접근할 수 있습니다
2024년 Verizon 데이터 침해 조사 보고서에 따르면 전체 침해 사고의 36% 이상에서 피싱이 최초 접근 경로였으며, 이는 다른 어떤 단일 원인보다 높은 수치입니다.
최신 피싱의 작동 방식
피싱은 2000년대의 "나이지리아 왕자" 이메일에서 훨씬 발전했습니다. 최신 피싱 공격은 일반적으로 다음을 포함합니다:
1. 설득력 있는 미끼
주로 긴박감("계정이 정지됩니다"), 권위("Microsoft 보안팀"), 또는 호기심("누군가 사진에 당신을 태그했습니다")을 조성하는 이메일, 문자, 또는 채팅 메시지입니다. 스피어 피싱은 LinkedIn, 유출된 데이터베이스, 또는 이전 연락 내용에서 수집한 개인 정보를 활용하여 이를 한층 더 발전시킵니다.
2. 픽셀 단위로 완벽한 가짜 사이트
공격자들은 대상 사이트의 HTML, CSS, JavaScript를 복제하는 기성 피싱 킷을 사용합니다. 많은 킷이 서비스형 피싱(phishing-as-a-service)으로 판매되며, 작동하는 대시보드와 고객 지원까지 제공됩니다.
3. 2FA를 위한 실시간 프록시
위험한 부분은 이것입니다: 최신 킷은 단순히 비밀번호만 탈취하지 않습니다. TOTP 코드를 포함하여 사용자가 입력하는 모든 것을 수 초 내에 실제 사이트로 전달하는 중간자 프록시 역할을 하며, 대부분의 2FA를 우회합니다. 이 기법은 적대적 중간자 공격(AiTM)이라고 하며 Evilginx2, Modlishka 등의 도구에서 사용됩니다.
4. 세션 토큰 탈취
프록시를 통해 인증이 완료되면 공격자는 세션 쿠키를 탈취하여 비밀번호를 변경한 후에도 로그인 상태를 유지할 수 있습니다. 이것이 피싱 대응 시 단순한 비밀번호 변경이 아닌 활성 세션 취소가 항상 포함되는 이유입니다.
실제로 피싱을 막는 것
하드웨어 보안 키 (FIDO2 / WebAuthn)
이것이 설계 자체가 피싱을 방지하는 유일한 방어 수단입니다. FIDO2 키로 로그인할 때, 키는 인증을 요청하는 사이트의 정확한 도메인을 암호화적으로 검증합니다. 가짜 사이트는 — 시각적으로 아무리 완벽하더라도 — 도메인이 다르기 때문에 키가 응답을 거부합니다. 암호화 핸드셰이크가 단순히 완료되지 않습니다.
Google은 2017년 85,000명 이상의 전 직원에게 YubiKey 사용을 의무화했으며, 그 이후로 회사 계정에 대한 성공적인 피싱 공격이 단 한 건도 없었다고 보고했습니다.
패스키
패스키는 FIDO2의 소비자 친화적인 발전 형태입니다. 동일한 도메인 바인딩 암호화를 사용하며 iOS, Android, macOS, Windows에 내장되어 있습니다. 사용하는 사이트가 패스키를 지원한다면, 패스키를 활성화하면 해당 계정이 피싱으로부터 보호됩니다.
비밀번호 관리자
비밀번호 관리자는 저장된 정확한 도메인에서만 자격 증명을 자동 완성하기 때문에 두 번째 방어선입니다. paypal.com 대신 paypaI.com(대문자 I)에 접속하면 관리자가 양식 자동 완성을 조용히 거부합니다. 이 거부는 무언가 잘못되었다는 강력한 경고입니다.
이메일 및 DNS 필터링
이메일 제공업체는 DMARC, SPF, DKIM을 사용하여 스푸핑된 발신자 주소를 감지합니다. 대부분의 최신 제공업체는 명백한 시도를 차단하지만, 표적 공격은 여전히 통과할 수 있습니다. 메일 클라이언트의 "피싱 신고" 버튼을 활성화하여 필터 개선에 기여하세요.
주의해야 할 경고 징후
로그인, 확인, 또는 긴급 조치를 요청하는 메시지를 받았을 때:
- 긴박감과 위협 — "24시간 내에 계정이 폐쇄됩니다"
- 일반적인 인사말 — 이름 대신 "고객님께"
- 유사 도메인 —
paypaI.com,app1e.com,secure-microsoft-login.net - 예상치 못한 첨부 파일 — 특히 보기 위해 로그인을 요청하는
.zip,.html,.pdf파일 - 문법 또는 서식 오류 — 대형 기업은 이메일을 교정합니다
- 링크 불일치 — 링크 위에 마우스를 올려 목적지가 텍스트와 일치하는지 확인하세요
무언가 이상하다고 느끼면 이메일을 닫으세요. 사이트에 직접 접속하세요. 실제 문제가 있다면 일반적인 방법으로 로그인했을 때 확인할 수 있습니다.
피싱에 당했을 때 해야 할 일
빠르게 행동하세요 — 공격자는 수 분 내에 자격 증명을 사용하기 시작하므로 속도가 중요합니다.
- 즉시 비밀번호를 변경하세요 — 다른 기기에서(예: 노트북에서 당했다면 휴대폰에서)
- 모든 활성 세션을 취소하세요 — 계정 설정에서, 이렇게 하면 탈취된 세션 토큰을 사용 중인 모든 사람이 차단됩니다
- 2FA를 활성화하세요 — 아직 설정되지 않았다면, 가능하면 하드웨어 키나 패스키를 사용하세요
- 무단 활동을 확인하세요 — 발송된 이메일, 최근 로그인, 결제 변경, 새로운 전달 규칙
- 해당 기관에 알리세요 — 금융 또는 업무 계정인 경우
- 다른 계정을 확인하세요 — 같은 비밀번호를 사용한 계정들, 비밀번호를 재사용하지 않는다고 확신하더라도 확인하세요
결론
피싱은 기술을 우회하고 인간을 표적으로 삼기 때문에 번성합니다. 최선의 방어는 세 가지 계층을 결합합니다: 비밀번호 관리자(잘못된 도메인에서 자동 완성 거부), 피싱 방지 2FA(실제 도메인에 바인딩되는 하드웨어 키 또는 패스키), 그리고 건강한 회의주의(이메일 링크를 통해 절대 로그인하지 않기).
가장 중요한 계정인 이메일에 세 가지 모두를 먼저 활성화하세요. 그러면 나머지 디지털 생활도 의미 있게 더 안전해집니다.