모바일 피싱 공격이 증가하고 있습니다.
2021.05.28 13:11:40
입력된 인사말이 없습니다.
모바일 피싱 공격의 증가
최근 발생하는 많은 피싱 공격이 이메일이 아닌 모바일 채널(메신저 메시지, 소셜 미디어 앱, 모바일 게임의 채팅 등)에서 발생한다는 사실을 알고 계셨나요? 이번 글에서는 이러한 모바일 피싱 메시지를 인지하는 방법과 안전한 온라인 환경을 만드는 방법에 대하여 몇 가지 팁을 제공합니다.
모바일 피싱 공격이란?
모바일 피싱 공격은 전문가도 속일 수 있을 정도로 점점 정교해지고 있습니다. 사이버 범죄자들은 여러분과 은행 사이의 통화를 몰래 엿들을 수 있고, 이를 가로 챌 수 있습니다. 2020년에 스미싱(모바일 SMS 피싱 공격)은 600% 증가했으며 끝 없이 발생하고 있습니다. 설상가상으로 버라이즌 2020 모바일 시큐리티 인덱스(Verizon 2020 Mobile Security Index) 보고서에 따르면 거의 50%의 보안 조직이 보안 체계가 "해커의 발전 속도를 따라가지 못한다 "고 답했으며, 기업의 54%는 “모바일 장치의 보안에 대해 확신이 부족하다”고 답했습니다.
그렇다면, 모바일 피싱은 무엇일까요?
모바일 피싱이란 PC에서 휴대폰으로 옮겨가는 최근 동향에 따라 해커들이 새로 발견해 낸 접근 방식이며 SMS, WhatsApp, Facebook 등 사용 빈도가 높은 서비스를 표적으로 삼고 있습니다. 또한 이러한 사이버 범죄자들의 능숙함은 자신의 콘텐츠를 진짜로 보이게 끔 합니다.
또한, 피싱 공격은 점점 더 모바일 장치를 표적으로 삼고 있으며 스마트폰의 제한된 UI(User interface, 유저 인터페이스)는 여러분이 모르는 사이에 위험한 일을 하게한다고 전문가들은 다음과 같이 경고하고 있습니다.
"모바일 피싱은 사용 가능한 모든 채널로 확장되고 있습니다. 즉, 악의적인 사용자는 뛰어난 개발자만큼 빠르게 학습하고 모바일 장치의 모든 제한, 기능 및 개인 특성을 악용하여, 많은 피해자가 발생하고 있습니다."
"모바일 피싱은 사용 가능한 모든 채널로 확장되고 있습니다. 즉, 악의적인 사용자는 뛰어난 개발자만큼 빠르게 학습하고 모바일 장치의 모든 제한, 기능 및 개인 특성을 악용하여, 많은 피해자가 발생하고 있습니다."
모바일 피싱 공격 종류
전문가들은 이메일을 통한 모바일 피싱은 15%에 불과하며, 85%는 애플리케이션을 통해 발생하는데 17%는 메시징 앱을 통해, 16%는 SNS 및 게임 앱 등 사용 빈도와 설치가 빈번한 앱을 통해 발생한다고 밝혔습니다. 또한, 모바일 피싱은 PC를 대상으로 하는 공격보다 더 쉽게 이루어집니다.
지능적인 해커들은 AI를 사용하여 FedEx, U.S. Postal Service 및 Amazon에서 온 것처럼 보이는 가짜 추적 코드 및 배송 선호도 설문이 포함된 문자 메시지를 보내는 것으로 밝혀졌습니다. 피해자는 사기꾼들이 보낸 가짜 웹 사이트로 이동하는 링크에 접속하고, 무료 상품을 받기 위해 고객 만족도 설문을 하거나, 기프트 카드 또는 환급을 통한 무료 평가판을 제공하기 위해 자신의 개인정보(신용카드 및 기타 개인 정보)를 스스로 가짜 웹 사이트에 입력하게 됩니다.
다음은 한 전문가가 발표한 2021년 모바일 피싱 공격의 대표적인 예시입니다.
▷코로나 바이러스(COVID) 경고 및 의료 테마 메시지
▷백신 접종 테마 메시지 및 앱
▷검열에서 자유롭다고 홍보하는 새로운 "보안 통신" 및 "소셜 네트워킹 앱”
위 예시들은 사용자를 현혹 시켜 공식 앱 스토어(구글 플레이 스토어, 애플 앱스토어 등)가 아닌 가짜 웹 사이트로 유도합니다. 그러나, 피싱 문자는 관련 기관이 보낸 정상적인 메시지의 패턴이 유사하므로, 공격을 탐지하기 어렵습니다.
전문가는 이렇게 말합니다.
“이러한 메시지의 링크는 단축 URL로 제공되거나, 마케팅 표적 서비스 또는 설문 조사 제공 업체와 같은 제3자로 직접 이동하거나 등록된 별도의 도메인을 향하기 때문에 적법한 주체를 확인할 수 없게 합니다.이러한 공격의 예방을 위해 사용자는 분별력을 갖추고 의심스러운 메시지는 피하도록 주의해야 합니다.”
예방하는 방법
안타깝게도 대부분의 기업은 피싱을 탐지하거나 예방하지 못합니다. 이러한 공격 벡터를 적극적으로 보호하는 도구가 일반적인 PC 보안의 개념에 비해 새로우며, 개인적 특성을 갖기 때문입니다.
예를 들어 2단계 인증(2FA)를 활용하면 모바일 장치와 데스크톱 모두에서 자격 증명 기술을 효과적으로 구현할 수 있습니다. (최근의 피싱은 2FA자격 증명을 우회하는 방법이 자주 사용됩니다.) 그러나 기업의 오래된 보안 정책들은 내부 인프라를 통해 개인 모바일 장치를 연결하거나, 인터넷 접속을 필터링하지 않기 때문에 인터넷 공격에 취약해질 가능성이 큽니다.
그렇다면, 휴대폰을 사용할 때 알아야 할 기본 사항은 무엇일까요?
▷휴대폰 운영 체제와 모든 앱을 최신 상태로 유지하기
▷신뢰할 수 있는 출처에서 제공하지 않은 앱은 설치하지 않기
메시지가 신뢰할 수 있는 출처에서 온 것처럼 보이더라도 피싱일 수 있으므로, 메시지에 포함된 링크에서 개인정보 인증(사용자 이름 및 비밀번호 입력)은 피해야 합니다. 예를 들어 은행으로부터 인증 SMS를 수신하면 은행 앱이나 은행 웹 사이트를 별도로 열어 인증해야 합니다.
▷신용 카드 사용하기
신용 카드는 일반적으로 이러한 공격 방지 기능이 더 우수하므로 온라인 쇼핑 시 체크 카드가 아닌 신용 카드를 사용하는 게 좋습니다.
▷고성능 VPN사용하기
VPN이란 가상 사설망(Virtual Private Network)을 뜻하는 용어입니다. VPN에 연결되면, 사용자의 인터넷 활동은 암호화되고, 접속자의 실제 IP 주소는 누구도 알 수 없게 가려집니다. 그 누구도 사용자가 누구이고 무엇을 하고 있는지 알 수 없으며, 심지어 사용자의 인터넷 서비스 제공자를 비롯한 정부, 해커들도 이를 알아내고 침입할 수 있는 방법은 없습니다.
하지만, 쉬운 암호화 방식을 사용하는 VPN은 오히려 해커의 침입에 취약합니다. 그러므로 항상 최신 버전의 VPN을 사용하고, 최고 성능의 보안을 탑재한 NordVPN 과 같은 서비스를 사용해야 합니다.
올 1월에 발표된 권고에서 FBI(미국 연방수사국)는 민간 산업에 대한 완화 조치를 권고했습니다. 기관은 초기 손상 가능성을 최소화하기 위해 직원 계정에 액세스하기 위해 다단계 인증(MFA)을 구현할 것을 권장하였습니다.
“신입 직원을 고용하면 최소한의 권한 범위에서 네트워크 액세스 권한을 부여해야 한다. 또한, 모든 직원에 대한 네트워크 액세스를 주기적으로 검토하면 네트워크의 취약 및 취약 지점의 손상 위험을 크게 줄일 수 있다.”
FBI는 또한 무단 액세스 또는 수정을 적극적으로 검색하고 모니터링 할 것을 제안했습니다. 이를 통해 가능한 손상을 감지하거나 데이터 손실을 최소화할 수 있습니다. 또한, 관리자는 네트워크 트래픽 흐름을 제어할 수 있는 네트워크 분할 기능을 구현해야 하도록 권장했습니다.
"관리자에게 두 개의 계정이 있어야 한다. 하나는 시스템 변경용 관리자 권한이 있는 계정이고, 다른 하나는 이메일, 업데이트 배포 및 보고서 생성에 사용되는 계정이다."
댓글 0개 (운영진이 관리 목적으로 입력한 댓글은 보여지지 않을 수 있습니다.)
Total : 30 (1/2)
로그인 후 검색 가능합니다.
