“음성 피싱”의 약자인 비싱(보이스피싱, Vishing)은 전화 통화 또는 음성 기반 통신을 사용하여 개인을 속여 은행 계좌 세부 정보, 로그인 자격 증명 또는 개인 식별 정보(PII)와 같은 민감한 정보를 공개하도록 유도하는 소셜 엔지니어링 공격의 일종입니다.
목차
비싱(보이스피싱, Vishing) 이해하기
피싱 이메일은 더 일반적으로 인식되지만, 비싱(보이스피싱) 공격은 증가하고 있으며 종종 레이더 아래로 날아갑니다. 디지털 채널을 표적으로 하는 다른 사이버 공격과 달리 비싱(보이스피싱)은 직접적인 음성 상호작용을 통해 인간의 신뢰를 조작하여 사기꾼을 위한 강력한 도구입니다.
비싱(보이스피싱) 공격에 사용되는 일반적인 기술
비싱(보이스피싱) 공격은 조작 기법의 조합에 의존하여 계획을 설득합니다. 다음은 가장 많이 사용되는 몇 가지 전술입니다.
프리텍스팅
공격자는 통화를 정당화하기 위해 조작된 스토리 또는 'pretext'를 생성합니다. 그들은 피해자의 은행에서 온 것이라고 주장하고 계좌에 의심스러운 활동이 있다고 말할 수 있습니다. 그들은 피해자가 생각하지 않고 대응하고 민감한 정보를 포기할 수 있도록 자신의 전제에 긴박감을 조성하려고 노력할 것입니다.
발신자 ID 스푸핑
공격자는 발신자 ID 정보를 조작하여 통화가 합법적인 소스에서 온 것처럼 보이게 합니다. 이는 표적의 방어를 낮추고 발신자를 신뢰할 가능성을 높이기 위한 것입니다.
긴급 전술
비싱에서 가장 효과적인 기술 중 하나는 긴박감을 조성하는 것입니다. 공격자는 사기 또는 재정적 손실을 방지하기 위해 즉각적인 조치가 필요하다고 주장할 수 있으며, 피해자가 비판적으로 생각하거나 발신자의 신원을 확인할 시간이 있기 전에 조치를 취하도록 압박할 수 있습니다.
비싱(보이스피싱) 사기의 실제 사례
기술 지원 사기
공격자는 일반적으로 잘 알려진 기술 회사의 고객 지원 담당자로서 피해자의 컴퓨터가 침해되었다고 주장합니다. 피해자가 원격 액세스 권한을 부여하거나 가짜 수리 비용을 지불하도록 설득하여 종종 데이터 도난 또는 재정적 손실을 초래합니다.
은행 사칭 사기
이러한 사기 행위에서 사기범은 은행 담당자를 사칭하여 피해자의 계좌에 의심스러운 활동을 주장합니다. 공격자는 계정 보안에 따라 암호 또는 PIN과 같은 민감한 정보를 요청하여 재무 데이터에 무단 액세스합니다.
배송 사기
배송 사기에는 패키지에 문제가 있다고 주장하는 공격자가 배송 서비스에서 온 것처럼 가장하는 것이 포함됩니다. 피해자는 문제를 해결하기 위해 개인 정보 또는 지불 정보를 제공하도록 요청받고, 사기꾼은 이를 사기로 악용합니다.
기업과 개인을 위한 비싱의 위험
개인에 대한 위험
- 신원 도용 및 무단 계정 액세스: 공격자는 도난당한 개인 정보를 사용하여 금융 계좌를 제어하고 자금을 유출하거나 민감한 데이터에 액세스할 수 있습니다.
- 금융 사기: 범죄자는 직접 돈을 훔치거나 피해자의 정보를 사용하여 새 계좌를 개설하거나 대출을 신청하거나 자신의 이름으로 사기성 구매를 할 수 있습니다.
- 다크 웹 영업: 손상된 개인 데이터는 다크 웹에서 판매할 수 있으므로 다른 범죄자들이 다양한 불법 활동을 위해 피해자의 신원을 악용할 수 있습니다.
기업에 대한 위험
- 데이터 침해: 직원을 대상으로 한 비싱 공격은 고객 정보, 독점 데이터 및 기밀 통신의 침해로 이어질 수 있으며, 광범위한 보안 문제를 일으킬 수 있습니다.
- 규제 및 법적 결과: 금융, 의료 및 기술 같은 산업에서 위반은 막대한 규제 벌금, 영향을 받는 당사자의 소송 및 경쟁 우위의 손실을 초래할 수 있습니다.
- 고객 신뢰 상실: 비싱으로 인한 데이터 유출은 회사의 평판을 심각하게 손상시켜 고객 충성도를 잃고 장기적인 재정적 손실을 초래할 수 있습니다.
비싱(보이스피싱) 공격의 표적이 되고 있는 징후
- 비싱(보이스피싱) 공격을 인식할 수 있으면 예방할 수 있습니다! 주의해야 할 몇 가지 경고 신호는 다음과 같습니다.
민감한 정보를 요청하는 원치 않는 통화
계정 번호 또는 암호와 같은 개인 정보를 요청하는 예상치 못한 전화를 받는 경우 위험 신호입니다. 합법적인 조직은 일반적으로 사전 확인 없이 전화로 민감한 데이터를 요청하지 않습니다.
신속하게 행동해야 한다는 압박
비싱(보이스피싱) 사기꾼은 종종 계좌 정지 또는 자금 손실과 같은 부정적인 것을 방지하기 위해 즉각적인 조치가 필요하다고 주장하며 긴급한 느낌을 줍니다. 확인 없이 빠른 결정을 내리도록 압력을 가하는 발신자에 주의하십시오.
사전 통지 없이 개인 데이터 요청
주민등록번호 또는 로그인 자격 증명과 같은 개인 정보를 확인하도록 요청하는 전화에 각별히 주의하십시오. 예정에 없던 전화 통화라면 반드시 의심해야 합니다. 합법적인 조직은 일반적으로 대체 검증 프로세스를 허용합니다.
비싱(보이스피싱) 공격을 방지하는 방법
- 비싱(보이스피싱) 공격으로부터 개인과 조직을 보호하고 그 영향을 줄이기 위해 다음과 같은 모범 사례를 고려할 수 있습니다.
원치 않는 전화에 대해 회의적이어야 합니다.
개인 정보를 요청하는 원치 않는 전화를 받는 경우 항상 공식 채널을 통해 조직에 직접 연락하여 발신자의 신원을 확인하십시오. 발신자 ID만 사용하면 스푸핑될 수 있으므로 믿지 마십시오.
전화로 민감한 정보를 공유하지 마십시오.
계정 번호, 암호 또는 PIN과 같은 개인 정보를 전화로 공유하지 마십시오. 합법적인 조직은 요청하지 않은 통화에서 이 정보를 요청하지 않습니다.
직원 교육
기업은 비싱 시도를 인식하고 의심스러운 통화를 보고하는 프로토콜을 수립하는 방법을 배울 수 있도록 직원을 대상으로 정기적인 사이버 보안 교육을 수행해야 합니다.
통화 차단 및 인증 도구
스팸 통화를 필터링하는 통화 차단 앱 또는 서비스 사용을 고려하십시오. 기업은 음성 인증 도구를 사용하여 특히 민감한 정보가 관련될 때 발신자의 신원을 확인할 수 있습니다.
트렌드마이크로 이메일 보안 및 협업 애플리케이션 보안 솔루션
Trend Vision One™ Email and Collaboration Security는 이메일 및 협업 플랫폼을 표적으로 하는 지능형 위협에 대해 업계 최고의 보호를 제공합니다. AI 기반 위협 탐지 및 동적 샌드박스 분석을 통해 피싱, 비즈니스 이메일 침해(BEC), 랜섬웨어 및 기타 표적 공격을 차단합니다.
발신자 ID를 검증하고, URL과 첨부 파일을 실시간으로 스캔하고, 세대 간 위협 방어 기술을 활용하여 클라우드 기반 통신 채널에 대한 포괄적인 가시성과 제어를 제공합니다.