비싱이란 무엇인가요?
비싱은 악의적인 주체가 피해자에게 전화로 연락하여 사회공학적 수법을 통해 피해자의 신뢰를 얻어 기밀 데이터를 확보하거나 자금을 빼내거나 개인에게 해를 가하는 사이버 보안 공격으로 정의됩니다.
이는 본질적으로 음성 매체를 통해 수행되는 피싱 공격의 일종으로, 이를 비싱 공격이라고 부릅니다.
피싱 공격 메커니즘
비싱은 일반적으로 긴급하거나 불안한 전화의 형태를 취합니다. 예를 들어, 발신자는 피해자의 계정이 해킹당했다며 신원을 확인하거나 계정을 다시 열기 위해 PIN 번호가 필요하다고 주장할 수 있습니다.
또한 국세청(IRS) 또는 사회보장국과 같은 정부 기관을 대신하여 전화를 걸었다고 주장할 수도 있습니다. 심지어 피해자가 빚을 졌거나 콘테스트에서 우승했다고 주장할 수도 있습니다.
이러한 사례는 모두 '피싱'('음성'과 '피싱'을 합성한 말로 전화 사기를 의미함)에 해당합니다. 피싱은 사이버 범죄자들이 사람들을 속여 돈, 개인 데이터 또는 비밀 정보를 넘겨주도록 유도하는 모든 행위를 설명하는 용어입니다. 마찬가지로 이메일과 단문 메시지 또는 문자 메시지 시스템("스미싱")도 사기에 사용될 수 있습니다.
피싱은 범죄자가 피해자의 휴대폰을 사용하여 피해자에게 해를 끼치거나 어떤 식으로든 가해자에게 이득이 되는 정보를 빼내는 사이버 범죄입니다.
사이버 사기범들은 정교한 사회 공학 기술을 사용하여 피해자가 개인 데이터를 제공하도록 유도하고 심지어 은행 계좌나 영업 비밀에 대한 액세스 권한까지 요구합니다. 스미싱 및 피싱과 마찬가지로 비싱도 발신자의 요구에 응하는 것이 적절한 대응이라고 피해자를 설득하는 데 중점을 둡니다. 발신자는 정부 기관, 세무 기관, 피해자의 금융 기관 또는 경찰을 사칭하는 경우가 많습니다.
이 수법의 성공 여부는 효과적인 사회 공학, 즉 사람의 심리를 악용하여 설득력 있는 효과를 창출하는 데 달려 있습니다. 피싱 가해자는 협박이나 긍정적인 설득을 통해 피해자가 요청된 정보를 제공해야 한다고 느끼게 만듭니다. 또한 피해자에게 전화를 제대로 받지 않으면 기소되거나 은행 계좌가 동결될 위험이 있다는 협박성 음성 메시지를 받을 수도 있습니다.
비싱은 어떻게 작동하나요?
피싱 공격자는 종종 발신자 번호 스푸핑을 사용하여 피해자가 신뢰할 수 있는 업체나 지역 번호로 걸려온 전화라고 믿도록 속입니다.
이들은 종종 신뢰할 수 있는 기관을 사칭하여 피해자를 속여 데이터를 공유하도록 유도합니다. 예를 들어 은행이나 신용카드 회사 임원, 채권자 또는 국세청 직원을 사칭할 수 있습니다. 이러한 사기범들은 피해자가 전화를 받으면 긴박감을 조성하여 피해자의 감정을 이용하고 요구에 응하도록 강요합니다.
비싱은 다양한 형태로 나타날 수 있지만, 금전적 이득을 취하거나 신원 도용과 같은 다른 범죄를 저지르기 위해 피해자를 속여 개인 정보를 공개하도록 하는 목적은 항상 동일합니다.
이러한 공격이 설득력이 있는 이유 중 하나는 사기꾼이 다른 출처에서 얻은 개인 정보를 사용하여 비싱 시도를 합법적인 것처럼 보이게 할 수 있기 때문입니다.
가장 일반적인 피싱 유형
1. 와디얼링
2. VoIP 기반 공격
3. 발신자 번호 스푸핑
4. 컨테이너에서 청소하기
1. 와디얼링
워다이얼링은 다양한 유형의 기술을 사용하여 많은 전화번호를 빠르게 연속으로 자동 다이얼링하는 것으로, 주로 보안 및 IT 인프라의 결함을 발견하기 위해 사용됩니다.
해커는 종종 "워다이얼러" 또는 "악마 다이얼러"라고도 하는 보안되지 않은 모뎀을 찾기 위해 워다이얼링 도구를 사용합니다. 시간이 거의 걸리지 않습니다.
를 사용하여 사기범이 모뎀에 연결된 번호 목록을 찾으면 이를 삭제할 수 있습니다.
2. VoIP 기반 공격
인터넷 연결을 통해 음성 및 멀티미디어 콘텐츠를 전송하는 것을 VoIP(인터넷 프로토콜을 통한 음성 통화)라고 합니다. 사용자는 컴퓨터, 스마트폰, VoIP 전화 및 웹 실시간 통신(WebRTC) 지원 사이트와 같은 기타 디지털 플랫폼을 통해 VoIP를 사용하여 음성 통화를 할 수 있습니다.
VoIP는 기존 전화 시스템에서는 볼 수 없었던 추가 기능이 포함되어 있는 경우가 많기 때문에 개인과 기업 모두에게 유익한 기술입니다. 또한 기업에서는 커뮤니케이션을 통합하는 수단으로 유용합니다.
안타깝게도 사기꾼은 VoIP를 악용하여 비싱 공격을 시작할 수 있습니다. 공격자는 도메인을 등록하고 조직의 네트워크 로그인 페이지와 유사한 피싱 페이지를 만듭니다. 그 결과, 위협 행위자가 시작한 VoIP 통화는 동일한 네트워크에서 시작된 것처럼 보입니다. 또한 VoIP에는 다단계 인증이 필요한 경우가 많기 때문에 발신자는 피해자에게 사기 페이지를 방문하여 세부 정보를 공유하도록 요청할 수 있습니다.
3. 발신자 번호 스푸핑
스푸핑은 발신자가 자신의 신원을 숨기기 위해 수신 전화 화면에 전송되는 정보를 의도적으로 위조할 때 발생합니다. 사기범들은 종종 '스푸핑 이웃' 기술을 사용하여 발신자 번호가 지역 번호에서 온 것처럼 보이게 하거나 피해자가 이미 신뢰하는 회사나 정부 기관을 사칭합니다.
이러한 전화를 받으면 공격자는 사기 행위에 사용될 수 있는 자금이나 중요한 데이터를 훔치려고 시도합니다. 사기 스크립트는 발신자가 합법적인 사람이라는 믿음을 더욱 강화하기 때문에 발신자 번호 스푸핑 공격의 중요한 부분입니다.
4. 컨테이너에서 청소하기
은행, 회사 건물 및 기타 기관의 실제 및 디지털 쓰레기통을 뒤지는 것은 피싱 피해자의 연락처 정보를 수집하는 쉽고 인기 있는 방법입니다.
범죄자들은 파쇄된 문서, 버려진 저장 장치, 오래된 달력, 복사본 등에서 충분한 정보를 수집하여 표적에 초점을 맞춘 스피어 피싱 공격을 수행할 수 있습니다.
피싱 공격 예방: 2022년을 위한 8가지 모범 사례
일단 피싱 공격의 희생양이 되면 그 효과를 되돌리고 피해를 복구하기가 어렵습니다. 법 집행 기관에서 범인을 파악하더라도 피해를 복구하는 것은 어려운 일입니다. 그렇기 때문에 다음 모범 사례를 따라 피싱 공격을 예방하기 위한 사전 조치를 취하는 것이 중요합니다:
피싱을 방지하는 모범 사례
1. VPN 연결
가상 사설망(VPN)은 인터넷을 통해 공유되는 정보를 보호하고 사기꾼이 회원님의 연락처 정보를 알아내기 어렵게 합니다.
VPN은 네트워크 트래픽을 암호화하고 보안 터널을 통해 전송한 후 IP 주소를 마스킹하는 VPN 서버에 도달합니다. 따라서 위협 행위자는 사용자의 위치를 알 수 없으므로 소셜 엔지니어링 공격을 실행하기 어렵습니다. 의도된 피해자는 발신자에게 자신의 위치를 물어보고 전화가 합법적인지 확인하기만 하면 됩니다.
2. '긴급' 전화를 주의하세요.
발신자가 긴박감을 조성하는 경우 위험 신호로 간주해야 합니다. 예를 들어, 보이스피싱 범죄자는 피해자가 실제로 은행 정보를 넘겨주지 않거나 미납 요금을 즉시 납부하지 않으면 부정적인 결과가 초래될 수 있다고 설득할 수 있습니다.
전화를 끊거나 발신자의 연락처를 물어보고 나중에 다시 전화하겠다고 말할 수 있습니다. 사기인 경우 발신자는 보통 더 압박을 가하거나 전화를 끊을 것입니다.
3. 로보콜 차단 도구 사용
흔히 통화 필터로 알려진 로보콜 차단 도구는 자동 통화를 감지하는 컴퓨터 프로그램입니다. 제3자가 워다이얼링 기술을 사용한 경우 로보콜 차단 도구는 이를 즉시 식별하여 차단합니다.
4. 내부 프로세스 구현
조직의 일반 번호로 전화가 울리면 누가 전화를 받을까요? 잘못된 직원의 손에 쉽게 전달될 수 있을까요?
한 사용자에서 다른 사용자로 전화가 넘어가면 혼란이 발생하고 조직의 직원들이 통화 상대방이 누구인지 파악하지 못할 수 있습니다.
필요한 경우 전담 접수 담당자를 고용하여 좋은 전화와 나쁜 전화를 걸러내고, 모든 직원이 다른 사람에게 전달할 때 누가 전화했는지 확인하도록 하는 것이 유용할 수 있습니다.
또 다른 옵션은 전화를 건네기 전에 수신자가 다른 공식 채널을 통해 '요청자'에게 직접 확인하는 프로세스를 만드는 것입니다.
5. 모든 장치에 다단계 인증이 있는지 확인합니다.
보안 수준이 높은 비밀번호를 사용하는 것도 좋지만, 다단계 인증은 하나의 비밀번호로도 계정이 유출되지 않도록 추가적인 보안 계층을 제공합니다.
Google은 2021년까지 1억 5천만 명의 사용자에게 다중 인증을 의무화하여 위협에 대한 보안 계층을 강화함으로써 침해된 계정 수를 50%까지 줄일 것이라고 발표했습니다.
결론
비싱은 조직에서 큰 문제가 아닐 수도 있지만, 반드시 해결해야 할 문제입니다. 회사와 동료가 아무리 똑똑하고 유능하더라도 사회 공학 전술은 누구라도 방심할 수 있을 만큼 강력합니다.
이제 피싱에 대해 알게 되었으니 이 정보를 직원들과 공유하는 것이 중요합니다.
발신자에게 질문하고 공식 채널을 통해 누군가에게 정보를 확인하는 것이 데이터 보안과 사이버 사고 또는 데이터 유출 위험의 차이를 만들 수 있음을 알려주세요.
