사회공학기법 피싱은 인간의 심리를 흔들어 특정한 이득을 얻는데 초점을 맞춘 공격이다. 특히 이메일은 조직 내 업무 및 커뮤니케이션의 주요 채널이어서 이 공격의 주요 진입로다.
이메일 피싱은 신뢰할 수 있는 사람 또는 기업, 기관을 가장해 민감한 정보를 취득하려는 시도다. 단순한 기술적 침투를 넘어 인간의 심리적 취약점을 정교하게 악용한 공격이라는 것이 특징이다.
피싱 공격자는 몇 가지 효과적인 심리적 기제를 반복적으로 활용해 성공률을 높인다.
하나는 '긴급성'을 강조해 수신자의 판단력을 흐리게 만드는 방법이다. '계정이 24시간 내에 정지됩니다' '긴급 송급 요청' 같은 메시지를 보내 피해자가 생각할 틈도 없이 행동하도록 압박한다.
또 하나는 '권위'를 앞세워 복종을 유도하는 방법이다. CEO, 정부기관, 법원 등을 사칭해 피해자가 무비판적으로 지시에 따르도록 만든다.
'호기심과 욕망'을 자극하는 방법도 많이 사용한다. '급여 명세서 확인' '경품 당첨 알림' 같은 메시지를 미끼로 클릭을 유도한다.
이러한 심리적 기제에 기반한 방법은 개별적으로도 위력적이지만, 공격자는 이를 조합해 더 정교하고 효과적인 공격 방법을 만들어 사용한다.
과거 대량 살포형 이메일 피싱이 주류였다면 현재는 정교한 멀티채널 피싱이 대세다. 공격자는 이메일에 그치지 않고 이메일과 보이스피싱, 스미싱을 결합해 피해자를 압박한다. 멀티채널 공격은 각 채널에서 얻은 정보를 상호 보완하기에 피해자의 신뢰를 높이는 효과를 만든다. 피해자는 여러 채널에서 일관된 메시지를 받기 때문에 공격자의 신뢰성을 의심하기 더 어렵다.
사회공학기법 피싱 대응에는 '보안기술'과 '보안교육'의 조화가 필수다. 두 요소를 균형있게 구성해야 포괄적으로 방어할 수 있다.
기술 측면에서는 여러 층으로 방어망을 구축해야 한다. 메일서버 진위 여부를 검증해 정상 메일 서버임을 확인하고, 이메일 본문 URL을 분석해 유사 도메인이나 악성 사이트로 연결을 차단한다. 동시에 인공지능을 활용한 자연어 처리(NLP)분석으로 사기성 문구를 탐지하는 것도 필요하다.
하지만 공격자는 이러한 기술적 탐지를 지속적으로 우회하기에 기술 대책만으로 충분하지 않다. 해킹 메일 방어 모의훈련을 정기 실시해 임직원 보안 인식을 강화하는 등 인적 교육 대책을 반드시 수립 시행해야 한다.
반복 클릭자는 재교육 프로세스를 밟도록 하고 의심스러운 메일을 쉽게 신고할 수 있는 '원클릭 신고' 환경도 중요하다. 조직의 모든 구성원이 보안 일선에서 책임감을 갖고 자율적으로 활동하는 보안 문화가 정착될 때 보안의 틈도 좁아질 것이다.
sky@realsecu.net