arrow_back
search
close

피싱 공격이란 무엇입니까?

스콧 사르게 

- 마지막 업데이트 2026/01/22

tball

피싱 공격에서 위협 행위자는 타인을 사칭하고 사기성 통신을 통해 피해자를 속여 민감한 정보를 공유하게 하거나 멀웨어를 다운로드하게 합니다.

목차

keyboard_arrow_down

피싱(Phishing)은 낚시(Fishing)에서 유래한 용어로, 위협 행위자가 합법적 실체를 가장하여 피해자를 속이기 위해 '미끼'를 사용하는 방법을 말합니다. 이는 속임수와 사기 행동을 사용하여 두려움, 공감, 탐욕과 같은 인간의 감정을 놀리기 때문에 사회 공학 공격으로 간주됩니다.

피싱 체계에서 공격자는 합법적이고 신뢰할 수 있는 사람 또는 기업으로 위장한 이메일, 문자, 전화 또는 소셜 미디어 플랫폼을 통해 연락을 취합니다. 그들은 피해자가 민감한 개인 또는 기업 데이터를 공유하도록 속이기 위해 감정적 조작을 사용합니다. 목표는 다음과 같습니다.

  • 사용자 이름, 암호, 신용 카드 번호, 은행 세부 정보 또는 계정을 해킹하거나 돈을 훔치는 데 사용할 수 있는 민감한 기업 정보와 같은 개인 식별 정보(PII)를 훔칩니다.
  • 평판이 좋은 사람이나 회사로 보이는 사람에게 돈을 이체하도록 사용자를 설득합니다.
  • 멀웨어 또는 랜섬웨어로 사용자의 컴퓨터 감염

피싱 공격은 얼마나 일반적입니까?

피싱은 데이터 침해에서 가장 흔한 초기 공격 경로입니다. 2025년 1분기에 Anti-Phishing Working Group은 2023년 말 이후 가장 많은 수인 백만 건 이상의 피싱 공격을 집계했습니다1. 이러한 공격의 30% 이상이 온라인 결제 및 금융 부문을 표적으로 삼았습니다.

사이버 공격자에게 피싱이 인기 있는 이유는 다음과 같습니다.

  • 비용이 저렴합니다. 진짜 회사에서 온 것처럼 보이는 이메일이나 문자 메시지를 작성하기만 하면 됩니다.
  • 공격이 사전 프로그래밍된 기술이 아닌 인간의 심리를 파고들기 때문에 성공률이 매우 높습니다.
  • 조직의 이메일 의존도가 높아 이메일은 가장 위협적인 공격 벡터 중 하나로 꼽힙니다.
  • 보안 소프트웨어로도 진행 중인 이러한 공격을 포착하는 것이 항상 가능한 것은 아닙니다. 사람이 여전히 링크를 클릭하거나 문서를 열거나 민감한 정보를 공유할 수 있기 때문입니다. Gartner® 보고서에 따르면 “인적 오류는 모든 보안 침해의 약 76%를 차지합니다. 또한 시스템 침입, 기본 웹 애플리케이션 공격 및 소셜 엔지니어링은 전체 침해의 79%를 차지합니다.”

피싱 공격이 시작된 방법

피싱이라는 용어는 1994년에 처음 사용되었으며, 십대 그룹이 AOL에서 의심하지 않는 사용자로부터 신용카드 번호를 수동으로 얻기 위해 노력했습니다.

그 이후로 해커는 인터넷에 연결된 모든 사람의 세부 정보를 수집하는 새로운 방법을 계속 발전시켰습니다. 2000년대 중반까지 '스피어 피싱' 및 '웨일링'과 같은 다른 용어가 등장하여 특히 임원 또는 유명하고 권한이 높은 개인에 초점을 맞춘 공격을 설명했습니다.

2010년대까지 피싱 공격은 이메일이나 채팅방을 통해서만 일어나는 것이 아니었습니다. 공격자들은 모바일 장치, 소셜 미디어 및 메시징 앱을 포함한 여러 플랫폼을 사용하고 있었습니다.

오늘날 위협 범죄자는 AI를 사용하여 전화 통화 및 비디오를 포함한 메시지를 만들고, 더 믿을 수 있는 것처럼 보이고, 문법과 철자 오류를 수정하고, 소셜 미디어에서 데이터를 수집하여 메시지를 개인화하고, 대상 언어로 변환합니다. 또한 누군가의 음성이나 이미지를 캡처하는 데 AI가 자주 사용되는 매우 사실적인 오디오 및 비디오 콘텐츠인 Deepfake를 만들 수 있습니다.

피싱은 어떻게 작동합니까?

일반적으로 피싱 공격을 시작하는 데 사용되는 메시지는 긴급해 보이도록 만들어져 빠른 대응이 필요합니다. 예를 들어 계정이 비활성화되지 않도록 수신자에게 링크를 클릭하거나 민감한 정보를 보내라는 메시지가 표시될 수 있습니다. 사용자가 작업을 완료하면 데이터가 공격자와 공유되거나 멀웨어가 컴퓨터에 다운로드됩니다. 피싱 메시지는 공식 로고, URL 및 기타 기능을 사용하여 합법적인 메시지의 모양과 느낌을 모방하기 때문에 의도적으로 발견하기 어렵습니다.

대부분의 피싱 메시지는 은행과 같이 알려지고 신뢰할 수 있는 출처에서 온 것처럼 보이지만, “나이지아 왕자” 사기로 알려진 초기 피싱 공격의 경우처럼 발신자가 낯선 사람일 때도 있습니다. 피해자는 부유한 왕실이나 공무원이라고 주장하는 사람으로부터 이메일을 받았습니다. 이들은 자국 밖으로 돈을 송금하는 데 도움이 필요했습니다. 수취인이 먼저 금전이나 개인 정보를 보냈을 때 큰 미래 보상을 약속했습니다. 이 전술은 오늘날에도 여전히 사용되고 있습니다.

피싱의 기술적 측면

피싱 공격은 사기성 이메일처럼 간단할 수 있지만, 메시지를 더 설득력 있게 만들고 정보를 더 효과적으로 캡처하기 위해 수년에 걸쳐 개발된 정교한 기술이 많이 있습니다.

  • 도메인 스푸핑: 예를 들어 유사 URL 또는 오타 쿼팅된 도메인(합법적인 웹사이트의 철자 오류 또는 약간의 변형)을 사용하여 이메일 또는 웹사이트를 진짜 도메인에서 온 것처럼 보이도록 위장하는 행위.
  • 가짜 웹 사이트: 실제 웹 사이트를 모방하도록 설계된 사기 웹 사이트를 설정합니다.
  • 이메일 스푸핑: 발신자의 이메일 주소를 위조하여 메시지가 진짜 조직에서 온 것처럼 보이게 합니다.
  • 가짜 SSL 인증서: 도난당하거나 사기성인 보안 인증서를 사용하여 웹 사이트를 안전하게 보이게 합니다. 일반적으로 익숙한 자물쇠 기호를 표시합니다.
  • 가짜/악성 로그인 페이지: 피해자의 사용자 이름과 암호를 캡처하는 실제 로그인 양식의 사본.
  • 악성 링크: 멀웨어를 전달하거나 사용자를 피싱 페이지로 리디렉션하는 URL입니다.
  • 컨택 스크래핑: 이메일 주소, 직원 이름 또는 개인 정보와 같은 데이터를 수집하여 대상 목록을 작성하거나 메시지를 개인화하는 데 사용되는 다양한 기술입니다.
  • DNS 빠른 플럭싱: 탐지를 피하기 위해 악성 도메인에서 사용되는 IP 주소를 빠르게 회전시킵니다.
피싱 시도 인식

피싱은 다른 사이버 공격과 어떻게 다릅니까?

다른 일반적인 유형의 사이버 공격은 멀웨어와 스팸입니다. 피싱의 차이점은 다음과 같습니다.

  • 멀웨어는 사기성 메시지에 응답하지 않고 시스템에 설치할 수 있는 기술적 위협입니다. 피싱은 멀웨어를 전달하는 데 사용될 수 있지만 둘은 다릅니다.
  • 스팸은 원치 않는 광고 또는 콘텐츠와 같은 원치 않는 대량 메시지를 의미합니다. 피싱과 달리 스팸에는 사칭이나 소셜 엔지니어링이 포함되지 않습니다.

피싱 공격의 유형

악의적인 공격자가 사용할 수 있는 많은 매체가 있기 때문에 오늘날 다양한 유형의 피싱 공격이 있다는 것은 놀라운 일이 아닙니다.

  • 앵글러/소셜 미디어 피싱: 악의적인 행위자가 소셜 미디어 플랫폼에서 DM을 통해 피해자에게 연락하여 소셜 미디어 피싱으로 이어집니다.
  • 애플리케이션/앱 내 피싱: 가짜 로그인 화면 또는 악성 팝업 메시지가 합법적인 앱에 나타납니다.
  • 비즈니스 이메일 손상(BEC): 이렇게 심각한 피해를 주는 피싱의 기업 형태는 해킹된 직원 이메일 계정을 사용하여 메시지를 보내거나 사이버 범죄자가 임원 또는 공급업체를 사칭하여 사기성 계좌로 송금을 요청할 수 있습니다. 내부 결제 시스템에 접근하고 자금을 유용하기 위해 회사 내부자가 도난당한 자격 증명을 사용하여 BEC가 내부일 수 있습니다.
  • 피싱 복제: 이전에 수신된 신뢰할 수 있는 정품 메시지는 악성 링크 또는 위험한 첨부 파일과 함께 다시 전송됩니다. 수신자는 초기 메시지를 신뢰했기 때문에 다음 메시지를 믿고 응답할 가능성이 더 높습니다.
  • 이메일 피싱: 해커는 우려, 걱정 또는 흥미를 유발하고 수신자가 링크를 클릭하거나 개인 데이터를 공유하도록 유도하기 위해 합법적인 것처럼 보이는 이메일을 보냅니다. 사이버 범죄자들이 사용할 수 있는 새로운 플랫폼의 여러 가지에도 불구하고 이메일 피싱은 여전히 가장 널리 퍼져 있습니다. 한 가지 이유는 동일한 메시지를 여러 사람에게 개별적으로 보낼 수 있어 성공 가능성이 높기 때문입니다.
  • QR 코드 피싱/퀴싱: 피싱은 QR 코드가 악성 웹사이트로 이어질 때 발생하는 피싱 변형으로, 예를 들어 사용자의 자격 증명이 캡처될 수 있습니다.
  • 스미싱: 사이버 범죄자가 수신자가 링크를 클릭하거나 발신자에게 전화를 걸어 스미싱을 하도록 요청하는 문자 메시지(SMS)를 보냅니다.
  • 스피어 피싱: 해커는 조직이나 개인에게 표적 이메일을 보냅니다. 종종 금융 부서의 누군가가 민감한 데이터에 대한 접근 권한이나 권한이 있기 때문에 표적이 됩니다. 사이버 범죄자는 메시지를 보다 구체적이고 믿을 수 있게 만들기 위해 표적에 대한 정보를 수집하거나 구매할 수 있습니다.
  • 비싱: 위협 범죄자가 유선 전화, 모바일 전화 또는 VoIP 전화를 통해 비싱이라고 하는 대화에 사용자를 참여시킵니다.
  • 고래: Whaling은 스피어 피싱과 유사하지만 일반적으로 고위 경영진을 대상으로 합니다.

피싱 시도 인식

피싱이 널리 퍼져 있기 때문에 모든 직원이 다음을 포함한 피싱 메시지의 징후를 인식하는 것이 중요합니다.

  • 이메일 이름에 '페이팔'을 사용하지만 실제로는 gmail 주소인 accounts.paypal@gmail.com과 같은 의심스러운 발신자 주소입니다.
  • 메시지의 철자 오류 또는 문법 오류.
  • 개인 정보에 대한 조치, 위협 또는 요청에 대한 긴급한 요청.
  • 웹사이트 또는 이메일 서명에 연락처 정보가 없습니다.
  • 사실이 되기에는 너무 좋은 제안입니다.
  • 개인 이름이 없는 이메일, 예: “Dear Madam.”
  • 링크 단축.
  • 이메일 주소의 끝이 공식 웹사이트와 일치하지 않는 일치하지 않는 도메인. 예: name@amaz0n.com 대신 name@amazon.com. 여기서 o는 0으로 바뀌었습니다.
  • 예기치 않은 파일 유형, 특히 .exe 또는 .zip이 있는 첨부 파일.
피싱 시도 인식

성공적인 피싱 공격 사례 연구

최근 몇 년간 악명 높은 피싱 캠페인이 있었습니다.

  • Google Docs Phishing (2017): 피해자들은 Google Doc처럼 보이지만 가짜 OAuth 앱인 것에 대한 접근 권한을 부여해 달라고 요청하는 이메일을 받았습니다. 사용자가 접근 권한을 부여했을 때 공격자는 사용자의 Gmail 연락처에 접근하여 더 많은 피해자에게 메시지를 보낼 수 있었습니다.
  • PayPal 피싱 사기(진행 중): 악의적인 행위자는 의심스러운 활동이나 계좌 문제에 대한 공식적인 PayPal 메시지 경고처럼 보이는 이메일을 보냅니다. 수신자가 링크를 클릭하면 자격 증명과 금융 세부 정보를 도난당하는 가짜 로그인 페이지로 이동합니다.
  • Office 365 자격 증명 공격(2019–현재): 일반적으로 비즈니스를 대상으로 하는 Microsoft의 알림처럼 보이도록 만들어진 이메일입니다. 수신자의 암호가 만료되었거나 BEC 공격에 사용할 기업 자격 증명을 캡처하는 가짜 로그인 포털로 연결되는 링크가 있는 새 음성 메일이 있다고 주장할 수 있습니다.

피싱 공격 방지

피싱은 보편적이지만 개인과 조직이 자신과 비즈니스를 보호할 수 있는 방법은 많습니다.

개인을 위한 모범 사례

  • 회신하기 전에 이메일을 주의 깊게 검사하십시오. 철자 또는 문법 오류를 확인하고 이메일을 통해 재무 또는 개인 데이터를 공유하지 마십시오. 이메일 첨부 파일을 열기 전에 생각하십시오. 친구들이 곤경에 처한 상황으로 인해금전적 요구를 한 적이 있었습니까? 그렇지 않은 경우, 직접 물어보십시오.
  • 클릭하기 전에 URL을 확인하고 알 수 없는 소스의 링크를 클릭하지 마십시오. 링크 위로 마우스를 가져가 합법적인지, 그리고 안전한 사이트임을 나타내는 ‘https’로 시작하는지 확인하십시오. bit.ly 같은 단축 URL을 클릭하지 마십시오.
  • 민감한 데이터를 웹사이트에 입력하기 전에 페이지 상단의 URL을 확인하십시오. 이게 진짜 웹사이트인가요? 이메일 주소에 추가 문자가 삽입되어 있습니까? 0에 대한 O와 같은 숫자로 교체 된 문자가 있습니까? https로 시작합니까?
  • 보안 소프트웨어, 앱, 장치 및 브라우저를 최신 상태로 유지하십시오.
  • 방화벽과 바이러스 백신, 멀웨어 방지 및 피싱 방지 도구를 사용하십시오.
  • 암호를 자주 변경하고 20자 이내 또는 그 이상의 암호를 사용하십시오. 암호에 대문자, 소문자, 숫자 또는 기호를 포함하십시오. 여러 사이트 또는 애플리케이션에 동일한 암호를 재사용하지 마십시오. 암호를 추적하는 데 문제가 있는 경우, 기억할 긴 암호를 만들고 나머지는 암호 관리자에 잠급니다.
  • 계정에서 2단계 인증(2FA)을 활성화합니다.
  • 보안 메시징 플랫폼을 사용하십시오.
  • 친구의 게시물을 클릭하기 전에 생각하십시오. 어떤 것이 사실이라고 하기에는 너무 매력적이고 좋아 아마도 피싱일 가능성이 큽니다. 친구가 곤경에 처해 있고 돈이 필요하다는 게시물에 응답하기 전에 한번 더 생각하십시오. 친구가 정말 이런식으로 당신에게 연락했을까요?
  • 팝업 또는 팝언더를 클릭하기 전 다시 한번 생각하십시오.
  • 신뢰하는 사람과 이야기하는 것에 대해 긍정적이지 않은 한 개인 데이터를 제공하지 마십시오.

조직을 위한 모범 사례

  • 이메일 게이트웨이를 사용하여 스팸 이메일을 차단하고 의심스러운 링크나 첨부 파일이 포함된 이메일을 삭제하십시오.
  • Gartner는 “AI 생성 피싱 및 피싱 시도를 식별하기 위한 이메일 보안 솔루션 머신러닝(ML) 기능에 투자합니다.3” 이러한 도구는 기존 필터가 놓칠 수 있는 정교한 공격을 탐지하는 데 도움이 됩니다.
  • 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 이메일 인증 도구를 사용하여 범죄자가 이메일에서 "보낸 사람" 주소를 스푸핑하지 못하도록 합니다.
  • 악성 URL 탐지 및 콘텐츠 필터링을 수행하는 웹 필터에 투자
  • 엔드포인트 보호 솔루션을 설치하여 조직의 장치를 보호합니다.
  • AI 필터링 방법을 사용하여 BEC 이메일을 찾아냅니다.
  • 서비스 통합 보안 솔루션을 사용하여 조직 내부에서 발생하는 피싱 공격으로부터 보호합니다.
  • 정기적인 피싱 시뮬레이션 및 교육에 피싱 공격을 포함시켜 직원들이 피싱 공격의 위험성을 인식하도록 하십시오.

피싱을 접할 경우 해야 할 일

귀하 또는 귀하의 조직이 피싱 시도에 미리 대처하는 경우, 신속하게 행동하는 것이 중요합니다.

  • 의심스럽거나 예상치 못한 활동이 있는지 금융 계좌를 확인하십시오.
  • 암호를 변경하고 2FA를 활성화합니다.
  • 보안 스캔을 실행하고 바이러스 백신 및 안티멀웨어 소프트웨어를 설치 또는 업데이트합니다.
  • 은행, 소셜 미디어 플랫폼, ISP, IT 부서 및 재무 부서를 포함할 수 있는 관련 당국에 알립니다.
  • 연방거래위원회(FTC)피싱 방지 실무 그룹에 공격을 보고하십시오.
  • Equifax, Experian 또는 TransUnion과 같은 신용 보고 기관에 등록하여 신원 도용으로부터 계속 보호하십시오.

위협에 미리 대비

피싱 시도는 데이터 침해, 재정적 손실, 지적 재산 도난, 랜섬웨어 감염 또는 평판 손상으로 이어질 수 있습니다. 조직들은 계층화된 보안을 채택하고 경계를 유지하며 직원 간의 인식을 높임으로써 적극적으로 자신을 보호하는 것이 중요합니다.

피싱 공격으로부터 보호하는 데 도움을 받으려면 어디에서 해야 합니까?

피싱은 공격자가 조직에 침투하는 가장 효과적이고 비용이 많이 드는 방법 중 하나입니다. 소셜 엔지니어링 기술이 발전함에 따라 기존의 이메일 필터와 대응 방어만으로는 충분하지 않습니다. 보안팀은 인간의 행동을 이해하고, 미묘한 이상을 탐지하고, 위협이 받은 편지함에 도달하기 훨씬 전에 차단하는 도구가 필요합니다. 이것이 바로 최신 AI 기반 이메일과 협업 보안이 필요한 이유입니다.

Trend Vision One™ – Email and Collaboration Security는 조직이 인간의 위험을 사전에 관리하고 오늘날의 가장 진보된 피싱 위협으로부터 방어할 수 있도록 지원합니다. 정적 규칙 또는 서명 기반 탐지에만 의존하는 대신, 커뮤니케이션 패턴, 사용자 행동, 이메일 의도 및 상황별 신호를 분석하여 신뢰할 수 있는 관계에 숨겨진 공격을 발견하는 사이버 보안의 중심에 사람들을 둡니다.

Scott Sargeant

Scott Sargeant

제품 관리 부사장

펜

제품 관리 부사장인 Scott Sargeant는 사이버 보안 및 IT 환경에서 엔터프라이즈급 솔루션을 제공한 25년 이상의 경험을 가진 노련한 기술 리더입니다.

자주 묻는 질문(FAQ)

Expand all Hide all

피싱 공격은 대기업과는 다르게 중소기업에 영향을 미칩니까?

add

피싱 공격은 동일한 사이버 보안 리소스를 가지고 있지 않기 때문에 중소기업의 재정적 손실, 가동 중단 시간 및 평판 손상으로 이어지는 경우가 많습니다.

피싱과 파밍의 차이점은 무엇입니까?

add

피싱은 피해자가 민감한 정보를 공유하도록 속입니다. 파밍은 사용자를 진짜 웹사이트에서 사기성 웹사이트로 비밀리에 리디렉션합니다.

피싱 공격은 2FA(2단계 인증)를 우회할 수 있습니까?

add

네, 그렇습니다. 피싱 키트는 기본적으로 2FA를 우회하여 일회용 코드를 캡처하거나 역방향 프록시를 사용하여 로그인 세션을 해킹할 수 있습니다.

실제 피싱 이메일의 예는 무엇입니까?

add

Amazon에서 보낸 가짜 이메일은 귀하의 계정이 일시 중지되었으며 귀하의 계정이 피싱의 예가 될 수 있는지 확인하기 위해 링크를 클릭하라고 알려줍니다.

사이버 범죄자들은 피싱에서 AI 또는 딥페이크를 어떻게 사용합니까?

add

공격자는 AI를 사용하여 표적이 되고 믿을 수 있는 메시지를 작성하거나 수신자가 알고 있는 사람처럼 보이고 들리는 가짜 음성 또는 동영상을 만듭니다.

피싱 공격의 대상이 되는 산업은 무엇입니까?

add

피싱 공격의 표적이 되는 산업에는 금융 서비스, 의료 및 소매업이 포함되며, 이는 대량의 고객 데이터 및 결제 정보를 저장하기 때문입니다.

모바일 기기 사용자는 피싱으로부터 어떻게 자신을 보호할 수 있습니까?

add

모바일 장치 사용자는 메시지 발신자를 확인하고 모바일 보안 앱을 사용하며 장치 및 브라우저를 최신 상태로 유지하고 의심스러운 링크를 클릭하지 않아야 합니다.

조직이 피싱 공격을 탐지하는 데 얼마나 걸립니까?

add

피싱은 종종 자격 증명이 오용되거나 의심스러운 활동이 발견된 후에만 분명해지기 때문에 피싱 공격을 탐지하는 데 몇 주 또는 몇 달이 걸릴 수 있습니다.

피싱 공격자에게는 어떤 법적 결과가 존재합니까?

add

피싱 공격자에 대한 법적 결과에는 벌금, 징역형, 자산 압류 및 심지어는 연장이 포함됩니다.

피싱을 방지하는 데 DNS 보안은 어떤 역할을 합니까?

add

DNS 보안은 사용자가 알려진 악성 도메인 또는 가짜 사이트에 액세스하지 못하도록 차단하고 DMARC, SPF 및 DKIM과 같은 인증 프로토콜을 지원하여 발신자를 확인합니다.

관련 기사

피싱 신고
초기 피싱
RSA가 해킹된 방법
NIST 비밀번호 안내
스미싱 사례

Trend Vision One™ - 선제적 보안이 시작됩니다.

리소스

지원

트렌드마이크로 정보

국가별 본사

  • 트렌드마이크로 - 한국
  • 테헤란로 508 해성 2빌딩 15층
    (06178) 서울 강남구
  • 전화: +82-2-561-0990

Select a language

close

엔터프라이즈 사이버 보안 플랫폼을 무료로 경험하십시오.

Copyright ©2026 Trend Micro Incorporated. All rights reserved.