[기고] 사이버 공격의 5가지 유형과 대응책

[글=아담 키멜(Adam Kimmel) | 마우저 일렉트로닉스(Mouser Electronics)]

CSO 온라인(CSO Online)이 2020년 3월 실시한 조사에 따르면 기업의 63%가 지난 1년 사이에 사이버 공격을 경험한 것으로 나타났다.

사이버 공격은 데이터를 수집하거나 조작해 사용자가 원하지 않는 소프트웨어를 광범위하게 퍼뜨리도록 유도하는데, 데이터 유출과 관련된 악성 코드 중 94%는 이메일을 통해 침투한 것으로 조사됐다.

더욱이 코로나19로 이후 원격 업무가 일상화되고, 사물인터넷(IoT)을 활용되는 분야가 늘면서 데이터 보호의 중요성은 계속 높아지고 있으며, 이를 노리는 사이버 공격도 증가 추세에 있다. 그리고 기업들은 이러한 사이버 공격으로 인해 매년 수백만 달러의 비용을 치르고 있다.

그렇다면 이메일을 사이버 공격으로부터 보호하는 방법에는 어떤 것들이 있을까? 또, 점점 진화하는 새로운 사이버 공격 방식에는 어떤 것들이 있는지 살펴보자.

전통적인 사이버 공격 방식

이메일 사이버 공격

이메일을 통해 시도되는 사이버 공격은 회사 고위 임원의 계정을 통해 다음과 같은 내용을 담고 전송될 수 있다.

“내부 감사에서 월별 재무 소계 중에 귀하의 실수가 발견되었습니다. 실수를 바로잡으려면 아래에 명시된 관리 M&A 계정으로 175,000달러를 오늘 자정 전까지 송금해 주세요."

이 메시지에는 몇 가지 이상한 점들이 보인다.

• 수신자가 상황을 알지 못한다.
• 문제에 대해 모호한 설명만 제공한다.
• 이메일은 회사의 임원으로부터 온 것처럼 보이지만 경고를 담고 있다. 회사의 고위 임원은 실제 재무 오류를 직원과 직접 해결하지 않고, 보통은 재무부서가 처리한다.
• 메시지는 수신자에게 표준 관행으로 하지 않는 일(낯선 계좌로 돈을 이체하는 것 등)을 하도록 요구한다.

사이버 공격은 수신자의 중대한 실수에 대한 두려움을 먹이로 삼는다. 발신자는 이러한 두려움을 이용해 수신자가 링크를 따라가도록 하거나, 수신자의 개인 정보를 빼낼 수 있는 웹사이트를 방문하도록 유도한다. 사이버 공격에 사용된 이메일에 포함된 모든 링크는 발신자가 정보를 추출할 수 있는 직접적인 경로로 이어진다.

피싱(Phishing)

피싱은 이메일 공격의 한 유형이다. 이 이메일은 발신자가 변호사나 컨설턴트 같은 제3자들이며, 종종 참조란에 회사 임원의 이메일 주소가 포함되기도 한다. 이러한 종류의 메시지를 받는 사람은 자신의 중대한 실수를 회사 임원이 알게 됐다고 여겨 공포감에 함정에 빠지게 된다.

스피어 피싱 및 웨일 피싱

스피어 피싱(Spear Phishing)과 웨일 피싱(Whale Phishing)은 대상을 특정해서 보다 심도 있게 공격하는 피싱 공격의 한 유형이다. 일반적으로 기업에서 영업 비밀, 신제품 또는 재무 정보 같은 중요 정보에 접근할 수 있는 사람이 스피어 피싱의 대상이 된다. 웨일 피싱은 핵심 정보에 대한 명백한 접근권을 갖는 최고 경영자를 표적으로 삼는다. 이러한 유형의 피싱 공격에 대상이 된 사람은 누구도 자신의 지위가 위태로워지는 것을 원치 않으므로, 피싱 이메일이 도착하면 위기감이 높아진다.

소프트웨어 사이버 공격

악성코드와 트로이목마

악성코드(Malware)와 트로이목마 공격은 꽤 오래된 방식이지만, 예방하기 어려운 공격 중 하나다. 악성코드는 사용자의 컴퓨터나 휴대폰에 다운로드된 다음, 스마트폰과 연결된 다른 장치와 네트워크로 확산할 수 있는 소프트웨어이다. 만약 인터넷에 연결되어 있으면 사용자의 컴퓨터에 침투할 수도 있다.

이름에서 짐작할 수 있듯이 트로이목마는 유용한 프로그램으로 위장한다. 일반적인 예로 어도비(Adobe), 마이크로소프트 오피스 또는 회사의 특정한 프로그램을 도용한다. 트로이목마는 이와 같은 프로그램처럼 보이는 유사한 아이콘을 사용해 사용자가 위험한 링크를 클릭하도록 유도한다.

새로운 유형의 사이버 공격

스미싱(Smishing)

스미싱은 스마트 기기의 개인적이고, 편리한 특성을 악용한 데이터 도둑들 사이에서 많이 이용되고 있다. 이 유형의 사이버 공격은 문자 메시지(SMS), 왓츠앱(WhatsApp) 또는 소셜 미디어를 통해 수행된다. 스미싱은 경계를 늦춘 희생자를 먹이로 삼는다. 스미싱의 방법 중 하나는 받는 사람을 착각한 것처럼 문자 메시지를 보내는 것인데, 여기에는 아래의 예문처럼 기밀 정보로 보이는 내용이 들어 있다.

"△△△씨, 그들이 그 제약회사 주식을 사들이다니 믿을 수가 없네요. 아래 링크에서 이제 막 개발한 새로운 백신을 한 번 보세요!"

이 문자 메시지의 실제 수신자(예문의 ‘△△△’는 스미싱을 위한 가공의 인물)는 자신이 운 좋게 엄청난 주식 정보를 얻었다고 생각하게 된다. 링크는 문자 메시지에서 교묘하게 이름을 언급하지 않은 그 회사로 연결되는 것처럼 속여 수신자를 유도하며, 수신자가 주식 정보를 얻기 위해 링크를 클릭하는 순간 그의 개인 정보는 위험한 상황에 빠지게 된다.

비싱(Vishing)

비싱은 특히 악의적인 사이버 공격 형태다. 발신자는 회사 임원 또는 직원을 사칭하여 음성 메일을 남긴다. 음성 메일은 익숙한 전화번호로부터 올 수도 있다. 목소리도 익숙하다면, 보통 희생자는 메시지에서 받는 지시에 따라 행동하게 될 가능성이 충분하다.

사이버 공격의 대처 방법

IoT 시대에 정보는 점점 더 중요해지는 상품이다. 많은 유형의 사이버 공격이 모두 데이터가 풍부해지는 것을 목표로 한다. 다음은 이메일 및 문자 메시지 공격을 방지하는 손쉬운 몇 가지 방법이다.

• 링크나 첨부 파일이 포함된 이상하고 긴급한 전자 메시지는 일단 의심하고, 안전하다는 확신이 들지 않으면 클릭하지 않는다.
• 개인 정보를 온라인상에 입력하는 것을 피한다. 콘텐츠 검색이나 쇼핑 또는 기타 목적을 위해 전화번호와 이메일 주소를 완벽히 숨기는 것은 거의 불가능하지만, 이러한 정보를 제출할수록 정보 유출의 위험이 높아진다는 사실을 명심해야 한다.
• 악의적인 것으로 의심되는 이메일 주소나 전화번호는 차단한다. 이는 하나의 특정 위험을 피하기 위한 것이지만, 한편으로 플랫폼 또는 데이터 제공자에게 공격을 알리는 것이다. 이러한 조치는 이후에 발신자를 표시할 수 있게 한다.
• 종종 웹페이지 주변에 있는 광고와 외부 링크를 클릭하는 것은 신중해야 한다. 일부 광고는 악성코드를 포함할 수 있다.

사이버 공격은 기업과 개인에게 항상 발생할 수 있으며, 끊임없이 진화하며 문제를 일으킨다. 사이버 공격으로 인해 데이터 유출이 발생한다면 기업은 수백만 달러의 매출 손실을 입게 되고, 개인은 신상 정보가 노출돼 금전적 손해가 발생하거나 혹은 안전이 위협받을 수 있다.

따라서 강력한 사이버 데이터 보안 전략의 구현이 그 어느 때보다 중요한 시점이다. 이메일, 악성코드, 트로이목마, 스미싱 및 비싱과 같은 보다 일반적인 유형의 광범위한 사이버 공격의 최근 정황에 항상 유의하면서 최신 데이터 보안 조치를 실행하면 소중한 데이터와 정보를 안전하게 지키는 데 많은 도움이 될 수 있다.