이란이 최근 미국 대선 관계자들을 대상으로 피싱 공격을 시도하고 있습니다. 주된 방법은 1)스피어 피싱으로, 이란 혁명수비대(IRGC)와 연관된 해커들이 특정 대선 캠페인의 고위 관계자에게 피싱 이메일을 보냈습니다. 이 이메일은 신뢰할 만한 발신자처럼 보이도록 조작되어 있으며, 링크를 클릭하면 해커가 제어하는 도메인으로 연결된 후 실제 웹사이트로 2)리디렉션됩니다. 또한, 해커들은 대규모로 일반적인 비밀번호를 사용하여 여러 계정에 침입하는 "패스워드 스프레이" 공격도 시도했습니다.
1)스피어 피싱이란 특정 개인이나 조직을 목표로 한 맞춤형 피싱 공격입니다. 일반적인 핏싱이 대규모로 불특정 다수를 노린다면, 스피어 피싱은 공격 대상의 개인 정보, 직무, 관심사 등을 사전에 파악해 그에 맞춘 신뢰할 수 있는 메시지를 보내는 것이 특징입니다. 해커는 주로 신회할 만한 발신자로 가장하여, 이메일이나 메시지를 통해 악성 링크나 첨부파일을 전송하여 정보를 탈취하거나 시스템에 접근합니다. 스피어 피싱은 표적이 명확하고 공격 수법이 정교하기 때문에 일반적인 피싱보다 성공률이 높으며, 기업 임원, 정부 관계자, 특정 프로젝트의 담당자 등이 주된 목표가 됩니다.
2)리디렉션이란 특정 목적을 달성하기 위해서 사용자를 접속 페이지가 아닌 다른 페이지로 보내는 것을 의미합니다.
예방법
1. 이메일 검증 : 이메일 발신자의 주소를 확인하고, 의심스러운 도메인이나 비정상적인 이메일 주소가 발견되면 해당 이메일을 열지 말고 즉시 삭제합니다.
2. 링크 클릭 자제: 이메일이나 메시지에 포함된 링크를 클릭하기 전에 해당 링크의 목적지를 확인하기, 링크를 클릭하면 의심스러운 웹사이트로 리디렉션되는 경우가 있으므로 주의가 필요합니다.
3. 이중 인증(2FA): 계정 보안을 강화하기 위해 이중 이중 인증을 활성화하세요. 이렇게 하면 비밀번호가 유출되더라도 추가적인 보안 단계가 있어 계정 접근이 어려워집니다.
4. 패스워드 관리: 복잡하고 유일한 비밀번호를 사용하고, 주기적으로 변경하기. 패스워드 매니저를 이용해 비밀번호를 안전하게 관리할 수도 있습니다.
5. 교육 및 제고: 피싱 공격에 대한 교육을 통해 직원들과 관련자들이 이러한 위협을 인식하고 대응할 수 있도록 합니다.
구체적인 예방법
1. 이메일 인증 강화: DMARC, DKIM, SPF 설정을 통해 이메일 발신자 신원을 검증하여 피싱 이메일을 차단합니다.
2. 제로 트러스트 모델 도입: 모든 사용자와 장치를 신뢰하지 않고 지속적인 인증을 요구하는 보안 모델을 구현합니다.
3. 정기적인 보안 훈련: 직원들을 대상으로 모의 피싱 테스트와 보안 교육을 실시해 피싱 인식을 강화합니다.
4. AI 기반 필터링 사용: 인공지능을 활용한 이메일 필터링으로 의심스러운 이메일을 자동으로 차단합니다.
5. 명확한 정책 수립: 피싱 이메일 발견 시 보고 절차를 정하고, 중요한 정보는 이메일로 주고받지 않도록 합니다.
SPF(Sender Policy Framework)
- 기능: 발신 도메인이 허가한 IP 주소에서만 이메일을 보낼 수 있도록 설정합니다.
- 작동 방식: 수신 서버가 SPF 레코드를 확인하여, 해당 이메일이 지정된 IP 주소에서 전송된 것인지 검증합니다. 허가되지 않은 IP에서 전송된 이메일은 차단되거나 스팸처리됩니다.
DKIM(DomainKeys Identified Mail)
- 기능: 이메일 헤더에 암호화된 디지털 서명을 추가하여 발신자의 도메인이 위조되지 않았음을 보장합니다.
- 작동 방식: 수신 서버는 발신 도메인의 공개 키를 사용해 서명을 확인하고, 이메일이 전송 중 변조되지 않았는지 검증합니다.
DMARC(Domain-vased Message Authentication, Reporting & Conformance)
- 기능: SPF와 DKIM을 결합해 이메일의 유효성을 확인하고, 발신 도메인 소유자가 정책을 설정하여 스팸 처리, 격리, 또는 삭제 등의 행동을 지정할 수 있게 합니다.
- 작동 방식: 수신 서버는 SPF와 DKIM 검사를 기반으로 DMARC 정책을 적용하여 이메일을 처리합니다. DMARC는 또한 검증 결과를 발신 도메인 소유자에게 보고합니다.
이 세 가지 프로토콜을 함께 사용하면, 이메일이 정당한 발신자에게서 온 것인지, 그리고 전송 중 변조되지 않았는지 강력하게 보장할 수 있습니다.