[정보보안기사] 3.접근통제 - 피싱(Phishing)

 

피싱(Phishing) 이란 무엇인가요?

피싱(Phishing)은 범죄자가 정식 기관이나 기업, 개인 등을 가장하여 개인정보나 비밀번호, 은행 계좌 정보 등을 빼내는 인터넷 상의 사기 기법입니다. 일반적으로 이메일, 문자 메시지, 소셜 미디어 등을 이용하여 미리 파레트맵핑을 해놓거나 타깃의 신뢰를 받을 수 있는 마케팅 및 금융 기관의 로고나 사이트와 유사한 사이트를 만들어서 피해자를 유인합니다. 이러한 방법으로 개인정보 등을 빼내기 위해 사용되는 마치 미끼와 같은 메시지를 '피싱 메일'이라고 합니다. 따라서, 인터넷 이용자는 의심스러운 이메일이나 사이트를 확인할 때에는 주소를 꼭 확인하고, 소스를 확인하여 출처를 파악하는 등의 신중한 대응이 필요합니다.

 

피싱으로 인한 피해 사례가 있나요?

피싱으로 인한 피해 사례가 많이 보고되고 있습니다. 일부 대표적인 사례는 다음과 같습니다. - 은행이나 금융 기관을 사칭한 피싱 메일을 받아 이메일에 포함된 링크를 누르면, 공격자가 만든 사이트로 연결되어 개인 정보, 비밀번호 등을 입력하면, 공격자는 이를 수집하여 개인정보를 탈취하는 경우가 있습니다. - 소셜 미디어 계정으로 가장한 피싱 메일을 받아, 이메일에 포함된 링크를 누르면, 사용자의 계정 정보가 도용되어 공격자가 해당 계정을 제어할 수 있는 경우가 있습니다. - 피싱 메일을 받아 보안 프로그램이나 보안 업체에서 보내는 것으로 속여서 악성 소프트웨어(악성코드)를 다운로드하게 하는 경우가 있습니다. 이러한 악성코드는 개인 정보를 탈취하거나, 시스템을 마비시켜 불법적인 이윤을 얻거나, 해킹 등의 목적으로 사용될 수 있습니다. 이러한 피싱으로 인한 피해는 심각한 개인정보 유출로 이어질 수 있으며, 이에 따른 금융적 손실, 개인의 명예훼손 등의 문제를 초래할 수 있습니다. 따라서, 인터넷 이용자는 의심스러운 이메일이나 사이트를 확인할 때에는 꼭 주소를 확인하고, 출처를 파악하는 등 조심하는 것이 중요합니다.

 

피싱 공격을 감지하는 방법은 무엇인가요?

피싱 공격을 감지하려면 다음과 같은 방법을 활용할 수 있습니다.

 

이메일 소스 확인: 피싱 메일은 일반적으로 신뢰성 있는 기관 및 기업의 이름이나 로고 등을 흉내내어 보이나, 이메일 소스를 확인하면 실제로는 다른 사람이 보낸 메일임을 알 수 있습니다.

알림 메시지 확인: 은행 및 금융권 서비스에서는 거래 내역이나 인증코드와 같은 정보를 보내더라도 피싱 대비 알림 메시지를 표기하므로 해당 부분을 확인하는 것이 좋습니다.

링크 확인: 피싱 메일에서 링크를 누르면 공격자가 만든 사이트로 연결되므로 이러한 링크를 누르는 것은 피해를 초래할 수 있습니다. 따라서, 링크를 클릭하기 전에 URL 주소를 확인하거나, 해당 사이트를 직접 입력하여 접속하는 것이 좋습니다.

보안 소프트웨어 사용: 보안 소프트웨어 업체에서는 피싱 대응 기능도 탑재하고 있으므로 이를 설치하여 사용하면 피싱 메일 등의 공격을 감지하고 차단할 수 있습니다.

인증 제도 사용: 은행이나 금융권 서비스에서는 보안강화를 위해 인증 제도를 도입하고 있습니다. 이를 이용하면 사용자가 직접 일회성 비밀번호를 입력하여 거래를 승인할 수 있습니다.

 

위의 방법을 활용하여 피싱 공격을 감지하고 예방하는 것이 중요합니다. 또한, 의심스러운 메일이나 사이트를 접속하여 개인정보를 입력하기 전에 항상 출처를 확인하는 습관을 기르는 것도 중요합니다.

 

어떻게 피싱을 방지할 수 있나요?

피싱을 방지하기 위해서는 아래와 같은 방법들을 활용할 수 있습니다.

 

이메일 정확히 확인하기: 받은 이메일의 발신자 주소와 제목, 내용 등을 모두 확인합니다. 이메일의 안내 내용에 따라 연결될 링크를 확인하기까지 다시 한번 더 확인하여 클릭합니다.

URL 확인하기: 메일의 내용에 포함된 링크를 클릭하려면 URL 주소를 확인합니다. 일반적으로 은행, 금융회사, 이동통신사 등에서는 그 홈페이지 URL 뒤에 파라미터가 붙어 있습니다. 즉, https://bankname.com?parameter=value 형태로 나타납니다.

보안 소프트웨어 설치하기: 인터넷 보안 솔루션을 설치하여 최신 악성코드를 탐지하고 차단함으로써, 바이러스 감염을 방지하고 개인정보 유출을 막을 수 있습니다.

비밀번호 강화하기: 복잡한 비밀번호를 사용하여 계정 보호 수준을 높입니다. 비밀번호를 매번 변경하는 것이 좋으며, 하나의 비밀번호로 여러 계정을 관리하지 않는 것이 좋습니다.

사이트 접속 시 확인하기: 은행, 금융회사, 이동통신사 등의 홈페이지를 접속할 때 반드시 그 사이트의 주소를 확인합니다. 직접 주소창에 주소를 입력하거나, 인터넷 검색 등을 통해 해당 사이트에 접속합니다.

항상 신중하게 판단하기: 이메일 등을 받았을 때, 믿을만한 내용인지 항상 신중하게 판단하고 이루 적합한 조치를 취합니다.

 

위와 같은 방법들을 충실히 타인하면서 인터넷 보안을 유지하고, 피싱 피해를 최소화할 수 있습니다.

 

피싱 공격을 막을 수 있는 방법은 무엇인가요?

피싱 공격을 막을 수 있는 방법은 다양합니다. 주요한 방법은 다음과 같습니다.

 

접속한 사이트 주소 확인: 인터넷에서 접속한 사이트가 실제로 해당 기업이나 기관의 사이트인지 확인합니다. 주소창에 해당 기업의 이름을 입력함으로써 해당 기업의 공식 사이트를 방문할 수 있습니다.

정기적인 비밀번호 변경: 비밀번호를 정기적으로 변경하여, 자신의 계정을 보호합니다.

유출된 개인정보 파악: 만약 개인정보가 유출된 경우, 해당 정보와 관련된 계정의 비밀번호를 변경하고, 해당 기업이나 기관의 고충 상담실 등을 통해 보고합니다.

네트워크 보안 강화: 유선 네트워크 및 무선 네트워크 보안 설정을 강화합니다. 무선 네트워크의 경우, 보안 설정에 WPA2 및 AES와 같은 최신 보안 프로토콜을 선택하고, 네트워크 암호를 접속한 기기마다 정기적으로 변경합니다.

보안 프로그램 설치: 보안 프로그램을 설치하여 피싱 메일 등으로부터 사용자를 보호합니다.

사이트 이용 제한: 불해나 피싱 메일에 의해 이용 상의 문제가 생긴 경우, 해당 기업이나 기관은 사용자의 계정을 일시적으로 제한할 수 있습니다.

주기적인 검토: 주기적으로 보안 상태를 점검하면서 보안릲 개선하는 노력을 유지합니다.

 

위와 같은 방법들을 활용하여 피싱 공격으로부터 자신의 정보와 돈, 명예 등을 보호합니다. 단, 최신 도구를 활용하고 정보에 대한 관심도 유지하는 것이 필수적입니다.

 

피싱 공격이 어떤 것인가요?

피싱(Phishing)은 인터넷 사이트나 이메일 등을 이용하여 개인정보를 탈취하는 사기 수법입니다. 보통 은행, 온라인 쇼핑몰, 이메일 등에서 보내는 공식적인 메일로 위장하여 사용자의 신뢰를 얻고, 사용자로부터 아이디, 비밀번호, 계좌번호 등의 중요한 개인정보를 빼내는 방식입니다. 피싱 공격은 보통 이메일을 통해 이루어집니다. 공격자는 이메일 내용에서 송신자 이메일 주소와 제목 등을 위조하여, 이메일 발신자가 일반 인터넷 사용자 같은 것으로 위장을 합니다. 또한, 이메일의 내용 자체도 신빙성 있게 보이도록 만들어져 있어서, 수신자는 보안 관련 이슈를 주제로한 이메일이라고 믿게됩니다. 수신자가 이메일에 포함된 링크를 클릭하면, 보통은 공격자가 위조한 웹 사이트로 이동합니다. 해당 웹 사이트에서는 사용자를 속여 실제 사이트와 똑같은 로그인 페이지를 보여주며 아이디와 비밀번호, 인증번호 등을 입력하도록 유도합니다. 이를 통해 개인정보를 탈취하거나, 악성코드를 다운로드하는 경우도 있습니다. 피싱 공격은 대부분의 인터넷 사용자가 흔히 사용하는 수단인 이메일이나 웹 사이트를 이용하기 때문에, 사용자들이 인식하기 어려울 수 있는 사이버 범죄입니다. 따라서, 항상 신뢰성 있는 사이트에서 거래를 진행하고, 송신자 및 웹 사이트의 주소 등을 믿을만한 것인지 확인하는 습관을 가지는 것이 중요합니다.

 

피싱 공격에 대한 최근 대처법은 무엇인가요?

피싱 공격에 대한 최근 대처법은 다양합니다. 몇 가지 예를 들면 다음과 같습니다.

 

머신러닝과 AI 기술 적용: 의심스러운 이메일 및 웹 사이트 등을 자동으로 탐지 및 차단하는 머신러닝 및 AI 기술을 사용하고 있습니다.

항공권 예약 대기 시간 감소: 항공권 예약 대기 시간을 줄이기 위해, 공격자가 예약 할당을 빼앗아서 예약 대기 시간을 줄이는 기술을 사용하고 있습니다.

SMS 인증 번호 토큰 사용: 인터넷 이용자의 확인을 위한 SMS 인증 번호는 금융기관 등에서 쓰이고 있습니다.

정보 공유: 이메일, 웹사이트, 메신저 등을 통해 정보 공유를 적극적으로 할 필요성이 있습니다. 이를 통해, 수많은 이용자들이 피싱 공격을 우회하고 방어하는 것이 가능합니다.

보안 프로그램 업그레이드: 보안프로그램 제조사에서는 피싱 대응 기능도 탑재하고 있으며 업그레이드한 보안프로그램을 설치하여 사용할 수 있습니다.

보안 인증 기술 적용: 금융결제원에서는 각 금융기관마다 자체적인 보안 인증 기술을 개발하며, 불법금융거래 방지를 위한 보안 방법도 적극적으로 도입하고 있습니다.

모바일 보안 강화: 피싱 공격에 대한 대책으로 모바일 기기에서도 보안강화를 통해 개인정보의 유출 등을 예방할 수 있습니다.

 

위와 같은 방법들을 활용하여 피싱 공격을 극복하고, 사용자들이 안전하게 인터넷을 이용할 수 있도록 노력하고 있습니다.

 

피싱 예방을 위한 조치는 무엇이 있나요?

피싱 예방을 위한 조치는 다음과 같습니다.

 

의심스러운 이메일 무시: 보내는 사람이 익숙한 사람이 아니거나, 제목이 이상한 이메일은 받지 않는 것이 좋습니다.

링크를 클릭하지 않기: 이메일에 포함 된 링크를 클릭하면 바이러스나 악성코드가 컴퓨터로 들어올 가능성이 있으므로, 신뢰할 수 있는 출처에서 링크를 확인 할 것을 권장합니다.

사이트 주소 확인: 개인정보를 웹사이트에서 입력할 때, URL 주소를 정확히 확인해야 합니다. 좀 더 안전한 방법은 해당 업체 및 기관의 공식 홈페이지에 직접 접속하는 것입니다.

보안 소프트웨어 설치: 인터넷 보안 솔루션을 설치하여 최신 악성코드를 탐지하고 차단함으로써, 바이러스 감염을 방지하고 개인정보 유출을 막을 수 있습니다.

강력한 비밀번호 설정: 복잡한 비밀번호를 사용하고, 하나의 비밀번호로 여러 계정을 관리하지 않는 것이 좋습니다.

미디어에서 보도하는 피싱 정보 확인: 언론에서 보도되는 피싱 정보를 주기적으로 확인하여, 피싱 공격 방어에 도움이 되는 정보를 얻을 수 있습니다.

개인 정보 보호 정책 확인: 온라인 쇼핑, 은행, 이동통신 등을 이용 할 때, 각 업체의 개인 정보 보호 정책을 확인하여, 개인정보가 어떻게 수집, 사용되는지를 파악하고 안전한 서비스 이용 할 수 있습니다.

 

위와 같은 조치를 적극적으로 활용하여, 피싱 공격으로부터 자신의 정보와 돈, 명예 등을 보호합니다.

 

요약정리

https://www.youtube.com/watch?v=cF8sKySbazk