크리덴셜 피싱 - 증가하는 위협
크리덴셜 피싱의 핵심은 최종 사용자를 속이는 것입니다. 이는 보통 다이렉트 메시징 플랫폼을 통해 이루어지며, 비밀번호를 훔치려는 기회주의적인 대량 시도, 피해자의 동료나 상사를 가장한 고도로 표적화된 고압적인 이메일 등 다양한 형태로 이루어집니다.
생성형 AI가 폭발적으로 증가하면서 공격자들은 문법적으로 훨씬 더 정확한 피싱 메시지를 만들 수 있게 되었고, 온라인 서비스를 통해 완벽에 가까운 로그인 페이지를 쉽게 만들 수 있게 되었습니다.
공격자의 툴킷은 그 어느 때보다 강력하지만, 원격 근무자와 다수의 디지털 서비스에 의존하는 기업은 크리덴셜 피싱 공격에 지속적으로 취약합니다.
이는 원격 근무자가 로그인할 수 있는 잠재적인 경로가 더 많기 때문이며, 원격 근무자가 동료의 책상 앞에 가서 메시지의 진위를 다시 확인하는 것이 쉽지 않다는 사실로 인해 더욱 악화됩니다.
크리덴셜 피싱의 작동 방식
모든 인증정보 피싱 공격의 대략적인 구조는 다음과 같습니다:
- 공격자는 다양한 필터를 회피하는 메시지를 작성합니다.
- 피해자가 메시지를 수신하고 이를 읽은 후 악성 링크 또는 첨부 파일을 클릭합니다.
- 이 링크는 피싱 사이트(일반적으로 로그인 페이지)로 연결되거나 키로거를 다운로드합니다.
- 피싱 사이트에서는 피해자에게 로그인 자격 증명을 입력하라는 메시지가 표시됩니다.
- 공격자는 이러한 로그인 자격 증명을 받아 피해자의 실제 계정에서 이를 사용합니다.
- 공격자는 진짜 온라인 계정에 액세스하여 조직의 방어망을 뚫을 수 있는 발판을 마련할 수 있습니다.
성공적인 공격의 구조는 로그인 페이지, 메시지, 사용자 자신의 컨텍스트의 세 가지 주요 부분으로 나눌 수 있습니다.
로그인 페이지
성공적인 인증정보 수집 캠페인의 핵심 메커니즘은 랜딩 페이지입니다.
사용자가 캠페인의 합법성에 전적으로 투자하고 실제 사이트에서와 마찬가지로 행동해야 하는 곳입니다. 일부 공격자는 진짜 페이지의 웹 요소를 훔치는 동시에 가짜 보안 문자 화면을 포함시켜 페이지의 합법성을 높입니다:
메시지
그러나 사용자가 매우 긴급한 로그인 요청을 받으면 로그인 페이지를 서둘러서 피싱 공격의 징후를 놓칠 가능성이 훨씬 높기 때문에 악성 메시지도 똑같이 중요할 수 있습니다.
이메일은 현재 상용화된 PII 도용이 방대한 상업용 이메일 주소 데이터베이스를 쉽게 이용할 수 있기 때문에 가장 인기 있는 공격 벡터 중 하나입니다. 공격자는 LinkedIn 계정에서 이메일 주소를 훔치거나 회사 웹사이트에서 이메일 주소를 스크랩할 수 있습니다.
이러한 이메일의 제목은 몇 가지 사항을 모방할 수 있습니다:
- 인사팀의 요청
- 결제 처리업체에서 보낸 가짜 로그인 인증 이메일
메시지 본문은 단축되거나 숨겨진 URL 또는 다운로드할 파일로 사용자를 안내하면서 이 점을 강조합니다.
사용자 컨텍스트
실제 위험 프로필을 이해하려면 사용자의 컨텍스트를 파악하는 것이 중요합니다. Xero 비밀번호 변경을 확인한다는 이메일은 훨씬 더 많은 재무 팀원을 끌어들이는 반면, DevOps는 GitHub 로그인 사기에 속을 가능성이 더 높습니다.
이러한 상황적 차이는 전체 조직을 보호하기 위한 전략을 개발하는 데 있어 핵심적인 요소입니다.
크리덴셜 피싱에 대한 3가지 방어 전략
최상의 방어는 보안 아키텍처를 통해 행동을 강화하는 다각적인 접근 방식을 취합니다.
#1: 정기적으로 직원 교육 및 테스트
인증정보 피싱은 최종 사용자의 바쁜 일정과 촉박한 마감일을 이용하기 때문에 개인 방어를 강화하는 것이 매우 중요합니다. 촉박한 마감일에 대해 할 수 있는 일은 많지 않지만, 직원들에게 자신이 악용당하고 있는 상황을 인식하는 방법을 가르칠 수는 있습니다.
피싱 교육
피싱 교육은 피싱에 대한 기본적인 이해를 높이고 직원의 인식을 제고하는 것을 목표로 합니다. 설명이 필요합니다:
- 자격 증명 피싱의 작동 방식
- 공격자가 사용하는 전술
- 성공적인 공격이 나타내는 위협
최종 목표는 직원들에게 잠재적인 위협을 인식할 수 있는 일반적인 사이버 보안 지식을 제공하는 것입니다.
피싱 교육
반면 피싱 교육은 기본 교육을 넘어 실질적인 기술을 개발하기 위해 노력합니다.
직원들에게 위험 신호를 식별하고 정보를 확인하며 피싱 사기를 방지하는 방법을 교육하는 데 도움이 되는 대화형 모듈과 모의 피싱 캠페인을 사용해야 합니다. 본질적으로 교육에서 얻은 지식을 실제 상황에 적용하는 것이 포함됩니다.
#2: 다중 인증(MFA)
다중 인증은 인증 프로세스에 또 다른 계층을 추가합니다. 사용자가 알고 있는 정보(예: 비밀번호)를 제공해야 할 뿐만 아니라 휴대폰과 같은 무언가를 가지고 있거나 지문을 가진 사람이라는 것을 증명해야 합니다.
이러한 추가 증거 계층을 통해 공격자가 피싱 공격을 성공적으로 수행하더라도 단순히 계정을 탈취하기가 훨씬 더 어려워집니다.
하지만 MFA를 사용하는 직원은 멀티 디바이스 측면을 노골적으로 이용하는 공격에 취약할 수 있다는 점에 유의하세요. 문자 메시지를 통해 사기성 링크를 클릭할 가능성이 높으므로 이러한 점을 교육에 적절히 반영해야 합니다.
#3: 행동 분석
공격자가 사용자 인증 정보를 훔쳐 계정에 액세스하는 데는 매 순간이 중요합니다.
안타깝게도 이 단계에 도달한 후에는 공격을 막는 것이 거의 불가능할 수 있습니다. 사용자 및 엔드포인트 행동 분석 (UEBA)이 가져올 수 있는 차이에 대해 알아보세요:
사용자 및 엔드포인트 행동 분석
테크코의 직원인 조던의 하루 일과는 보통 오전 9시부터 오후 5시까지이며, 주로 서부 해안에 있는 자택에서 근무한다고 상상해 보세요. 하루 동안 평균 50MB를 다운로드하고 몇 가지 주요 클라우드 애플리케이션과 상호 작용합니다. UEBA를 도입한 TechCo 보안팀은 조던의 계정이 갑자기 새벽 2시에 로그인하여 몇 기가바이트의 데이터를 다운로드하기 시작하는 시점을 확인할 수 있습니다.
기존에는 분석가들이 일반적으로 발생하는 로그 및 네트워크 데이터의 홍수 속에서 이런 종류의 정보를 찾아내지 못했지만, UEBA 솔루션은 조던의 계정을 자동으로 잠그고 분석가에게 경고할 수 있습니다.
이렇게 하면 기업 인증정보 도용 및 오용이 발생하더라도 UEBA가 혼자서 공격을 식별하고 방지할 수 있습니다.
체크 포인트로 완벽한 피싱 방어하기 Harmony
Harmony Endpoint 체크포인트의 엔드포인트 보안 솔루션은 오늘날의 매우 복잡한 피싱 위협으로부터 직원을 보호하도록 설계된 포괄적이고 통합된 엔드포인트 보안 솔루션입니다. 이 차세대 보호 기능은 개별 행동 기준을 준수하지 않는 엔드포인트 디바이스를 식별하고 격리하는 기능 덕분에 공격자와 보안 팀 간의 경쟁을 공평하게 만듭니다.
인증정보 피싱 방지 우선 접근 방식은 각 사용자가 방문하는 웹사이트까지 보호 범위를 확장하기 때문에 기업 이메일 보안의 리더로 선정된 이유입니다.
웹사이트 요청에 대한 지속적인 휴리스틱 기반 분석을 통해 인증정보 피싱뿐만 아니라 기타 엔드포인트 중심의 멀웨어를 완벽하게 차단할 수 있습니다. 지금 데모를 통해 조직을 공격으로부터 보호하는 동시에 보안 운영을 간소화할 수 있는 방법을 알아보세요.
피드백