Smishing vs. Phishing

피싱은 오랫동안 조직이 직면하는 가장 일반적인 사이버 공격 중 하나였습니다. 이러한 공격은 수신자를 속여 민감한 데이터를 넘기거나 컴퓨터에 멀웨어를 설치하도록 유도하기 위해 고안되었습니다.

하지만 피싱 위협 환경은 끊임없이 변화하고 있습니다. ChatGPT와 같은 생성형 AI의 등장으로 피싱 공격은 더욱 그럴듯하고 정교해졌습니다. 또한 모바일 디바이스 사용량이 증가함에 따라 스미싱 위협도 증가하고 있습니다.

Forrester Wave™ 보고서 읽기 데모 요청하기

스미싱이란?

스미싱은 속임수, 뇌물 수수 또는 기타 기법을 사용하여 피해자가 공격자가 원하는 것을 하도록 유도하는 일종의 사회 공학 공격입니다. 스미싱은 그 이름의 유래인 SMS 문자 메시지를 사용한다는 사실로 정의됩니다(SMiShing).

스미싱은 모바일 디바이스의 사용 증가로 인해 최근 몇 년 동안 사이버 공격 기법으로 더욱 널리 퍼졌습니다. 많은 조직에서 회사 소유의 휴대폰 또는 BYOD( Bring-Your-Own-Device ) 프로그램에 따라 업무용 모바일 디바이스의 사용을 허용하고 있어 SMS가 일반적인 커뮤니케이션 수단으로 자리 잡고 있습니다.

 

또한 금융 서비스 제공업체와 Apple, Amazon, Netflix와 같은 브랜드를 포함한 많은 기업들이 고객과의 커뮤니케이션에 SMS를 점점 더 많이 사용하고 있습니다. 특히 고객 계정 문제와 같은 긴급한 커뮤니케이션의 경우 더욱 그렇습니다.

스미싱 공격자는 이러한 사실을 이용하여 공격을 더욱 그럴듯하게 만듭니다. 스미싱 메시지는 일반적으로 합법적인 제공업체의 커뮤니케이션으로 가장하며, 대상자가 악성 링크를 클릭하도록 속이도록 설계됩니다. 이 접근 방식은 다음과 같은 SMS 커뮤니케이션의 일부 기능을 활용합니다:

 

  • 링크 단축: 많은 합법적인 브랜드는 메시지 길이가 제한되어 있기 때문에 SMS 메시지에서 링크 단축 서비스(예: bit.ly)를 사용합니다. 스미셔는 이러한 서비스가 사용자에게 목적지 URL을 숨긴다는 점을 악용하여 사용자를 속여 피싱 사이트를 방문하도록 유도하기 쉽습니다.
  • 링크 마우스오버 안 함: 컴퓨터에서 커서로 링크 위에 마우스를 가져가면 해당 링크의 대상을 표시할 수 있습니다. 모바일 디바이스에서는 그렇지 않기 때문에 사용자가 링크를 클릭하기 전에 유효성을 검사하기가 더 어렵습니다.
  • 올웨이즈온 사고방식: 대부분의 사람들은 휴대폰에 항상 연결되어 있으며, SMS 메시지를 즉시 읽고 응답하는 데 익숙합니다. 이러한 사고방식은 스미싱 메시지가 수신자가 아무 생각 없이 행동하도록 유도할 가능성이 높다는 것을 의미합니다.

What is Phishing?

피싱은 스미싱과 마찬가지로 사회 공학을 기반으로 하는 사이버 공격입니다. 그러나 이러한 공격은 SMS 메시지에 국한되지 않고 다양한 메시징 플랫폼을 사용하여 사용자에게 악성 메시지를 전달합니다.

일반적으로 피싱은 사용자를 속이기 위해 두 가지 주요 기법 중 하나를 사용합니다. 스미싱과 마찬가지로 사용자 자격 증명이나 기타 민감한 데이터를 훔치거나 사용자 디바이스에 멀웨어를 설치하도록 설계된 피싱 웹사이트로 연결되는 악성 링크를 사용할 수 있습니다. 또는 피싱 메시지에는 컴퓨터를 멀웨어에 감염시키도록 설계된 악성 첨부파일이 포함될 수 있습니다.

피싱은 이메일과 가장 일반적으로 연관되어 있지만, 이러한 유형의 모든 공격을 통칭하는 용어입니다. 피싱 공격의 일부 형태에는 다음이 포함됩니다:

  • 스미싱: SMS 메시지를 통한 피싱.
  • 비싱: 전화를 통한 소셜 엔지니어링("보이스 피싱").
  • 스피어 피싱(Spear Phishing): 피싱 공격은 개인 또는 소규모 그룹을 정확하게 타깃으로 합니다.
  • 고래잡이: 조직 내 고위 경영진을 대상으로 하는 스피어 피싱 공격.
  • 비즈니스 이메일 침해 (BEC): 피싱 공격: 공격자가 CEO 또는 기타 임원을 사칭하여 직원을 속여 공격자에게 돈이나 데이터를 보내도록 유도하는 공격입니다.

스미싱과 피싱 공격의 차이점

스미싱은 SMS 메시지를 사용하여 악성 콘텐츠를 전달하는 특정 유형의 피싱 공격입니다. 피싱은 악성 이메일과 연관되는 경우가 많지만, 이메일, 소셜 미디어, Slack과 같은 기업 커뮤니케이션 앱, SMS 등 모든 메시징 플랫폼을 사용하여 공격을 수행할 수 있습니다.

체크 포인트를 이용한 피싱 및 스미싱 방지

피싱과 스미싱은 조직이 직면하는 가장 일반적인 사이버 위협 중 두 가지입니다. 이러한 공격은 취약점을 악용하기보다는 대상을 속이거나 뇌물을 주거나 강제로 무언가를 하도록 하는 사회 공학에 의존하기 때문에 공격자가 수행하기가 더 쉬운 경우가 많습니다. 따라서 사이버 범죄자들은 일반적으로 이러한 공격을 통해 민감한 정보를 훔치거나 다단계 사이버 공격의 첫 단계로 사용합니다.

피싱 및 스미싱 예방을 위해서는 직원 교육이 중요하지만 그 자체만으로는 충분하지 않습니다. 피싱 공격은 특히 생성형 AI의 등장으로 더욱 정교해지고 있으며, 아무리 주의 깊은 직원이라도 모든 피싱 공격을 식별하고 적절히 대응하지 못할 수도 있습니다.

 

Check Point는 악성 콘텐츠를 전송하는 데 사용되는 매체에 관계없이 모든 피싱 위협에 대해 포괄적인 보호를 제공하도록 설계된 보안 솔루션을 제공합니다. 체크포인트 하모니 이메일 및 사무실은 이메일 기반 피싱 공격에 대한 강력한 보호 기능을 제공하며 2023년 Forrester Wave의 엔터프라이즈 이메일 보안 부문 리더로 선정되었습니다. 스미싱 위협을 관리하기 위해 Check Point는 이러한 사회 공학적 위험과 기타 모바일 중심 공격 벡터를 해결할 수 있는 하모니 모바일을 제공합니다. Check Point가 피싱 및 스미싱으로부터 보호하는 방법에 대해 자세히 알아 보려면 지금 Check Point Harmony Email 및 OfficeHarmony Mobile의 무료 데모에 등록하세요.

시작하기

Anti-Phishing

Harmony Email & Collaboration Suite 보안

Harmony Mobile 보호 (SandBlast 모바일)

관련 항목

Social Engineering vs Phishing

Phishing Attack

URL 피싱(Phishing)

스미싱이란?

BYOD Security

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.
확인