피싱 공격으로부터 비즈니스를 보호하는 방법: 징후, 사례 및 예방 전략

피싱 수법은 비즈니스에 큰 혼란을 일으키는 정교한 작업으로 진화했습니다. 어떤 경우에는 피싱 범죄자가 CEO를 사칭합니다. 다른 경우에는 사기성 청구서 요청을 합니다. 2025년 IBM 보고서에 따르면 피싱은 공격당 평균 440만 달러의 비용을 기업에 발생시킵니다(새 창).

하지만 이런 종류의 값비싼 공격을 예방할 방법이 있으며, 이는 직원들로부터 시작됩니다. Verizon의 최근 조사에 따르면 직원의 8%가 전체 피싱 공격의 무려 80%에 책임이 있는 것으로 나타났습니다(새 창). 기술이 그 어느 때보다 빠르게 발전함에 따라 사이버 범죄자들은 보안 안전장치보다는 인간의 행동을 악용하는 새로운 방법을 사용하여 설득, 긴급성, 권위와 같은 감정적으로 조작하는 도구를 사용하여 피해자가 민감한 자료를 쉽게 넘겨주도록 유도하고 있습니다.

이 기사에서는 피싱 경고 징후, 주의해야 할 피싱 공격 사례, 피싱 공격이 비즈니스에 해를 끼치는 것을 막기 위해 구현할 수 있는 10가지 최고의 비즈니스 관행을 제공합니다.

피싱이란 무엇인가요?

피싱은 사람, 종종 직원을 속여 신뢰할 수 있는 실체로 가장하여 개인 정보나 민감한 정보를 공개하도록 설계된 사이버 범죄의 한 형태입니다. 그러나 피싱은 더 이상 이메일과 가짜 웹사이트에서만 발생하지 않습니다. 더 높은 수준의 기술적 기술이 필요한 조직의 소프트웨어를 해킹하는 대신, 피싱 범죄자는 설득, 긴급성, 권위와 같은 감정적으로 조작하는 도구를 사용하여 피해자가 민감한 자료를 쉽게 넘겨주도록 인간 심리와 오류를 악용합니다.

예를 들어, 직원은 CEO, 공급업체 또는 잘 알려진 서비스 제공 업체가 보낸 것처럼 보이는 이메일을 받을 수 있습니다. 메시지는 보안 사고, 누락된 청구서 또는 의심스러운 로그인 시도에 대해 경고하고 수신자에게 즉각적인 조치를 취하도록 촉구할 가능성이 높습니다. 수신자가 첨부된 링크를 클릭하거나 로그인 자격 증명이나 기밀 계정 정보와 같은 민감한 정보로 이메일에 회신하면, 공격자는 비즈니스의 전체 내부 시스템 네트워크에 접근할 수 있게 됩니다.

피싱 공격의 일반적인 유형

사기나 데이터 보안 사고를 초래할 수 있는 피싱 공격에는 여러 유형이 있습니다. 가장 일반적인 유형은 다음과 같습니다:

• 이메일 피싱: 공격자가 회사의 데이터 시스템에 접근할 수 있도록 직원의 로그인 자격 증명을 요청하는 회사 임원이나 B2B 공급업체의 가짜 메시지입니다.
• 스미싱(Smishing): WhatsApp과 같은 SMS 메시지 또는 문자 어플리케이션을 통한 피싱입니다.
• 비싱(Vishing): CEO나 은행 대표와 같은 권위 있는 인물을 가장한 비디오 또는 오디오 사기입니다. 
• 큐싱(Quishing): 피해자를 사기 링크로 유도하는 가짜 QR 코드를 통한 피싱입니다.

주의해야 할 피싱 징후

진짜 이메일과 사기를 구별하는 방법을 잘 모르시나요? 다음은 진짜가 아닌 피싱 이메일을 다루고 있음을 알 수 있는 주요 방법입니다:

• 의심스럽거나 일치하지 않는 이메일 보낸 사람 주소.
• 긴급하거나 공포심을 유발하는 언어.
• 민감한 데이터 요청.
• 오타, 문법 오류, 특이한 어조, 또는 AI의 경우 오류가 전혀 없고 “부자연스러운” 혹은 경직된 어조.
• 공식 웹사이트 도메인과 일치하지 않는 웹사이트로 연결되는 링크.
• 로그인 자격 증명 또는 개인 금융 정보 요청.

피싱 예방 전략 및 모범 사례

조치를 취함으로써 비즈니스와 직원이 피싱 범죄자보다 한발 앞서 나가도록 할 수 있습니다. 따라야 할 모범 사례는 다음과 같습니다:

1. 직원 교육을 통해 피싱 시도를 식별하도록 하고, 메시지가 가짜인지 확실하지 않더라도 팀이 모든 가능한 피싱 공격을 신고하도록 장려하세요.
2. 강력한 이메일 필터링 및 피싱 방지 도구를 구현하세요. 잠재적인 피싱 공격을 표시하는 스마트 스팸 필터 및 내장 PhishGuard가 있는 Proton Mail과 같은 개인정보 우선 이메일 제공 업체로 전환하는 것으로 시작할 수 있습니다. 
3. Proton Authenticator를 사용하여 2단계 인증(2FA)을 활성화하여 귀하와 직원들의 온라인 계정에 추가 보호 계층을 제공하세요.
4. 해커와 피싱 범죄자가 소프트웨어 버그를 통해 데이터에 접근할 수 없도록 운영 체제와 브라우저를 정기적으로 업데이트하세요.
5. 금융 거래 또는 데이터 변경에 대한 모든 요청을 확인하세요.
6. 이 블로그에서 정리한 것과 같은 모의 피싱 훈련을 실시하세요.
7. 강력한 비밀번호 관리 정책을 시행하고 보안 강화를 위해 비밀번호 관리자를 사용하세요.
8. 도메인 스푸핑이나 브랜드를 사칭하는 피싱 범죄자가 있는지 인터넷을 정기적으로 모니터링하세요.
9. 종단간 데이터 암호화를 구현하고 VPN을 사용하세요.
10. 피싱 공격에 대한 명확한 사고 대응 계획을 세우고 직원들이 공격을 올바르게 신고하는 방법을 알도록 하세요.

피싱 공격의 실제 사례

피싱은 사이버 보안의 가장 취약한 연결 고리인 사람을 악용하기 때문에 계속 번성하고 있습니다. 다음은 세간의 이목을 끈 실제 사례입니다:

• 사례 1: 피싱 공격이 자격 증명을 훔치고 계좌 입금 정보를 불법적으로 변경하기 위해 가짜 이메일을 보내 캘리포니아 대학교 직원(새 창)을 표적으로 삼았습니다(새 창). 공격자들은 또한 믿을 만해 보이는 가짜 웹사이트를 통해 사용자 이름과 비밀번호를 훔쳤으며(새 창) 전화 통화와 문자 메시지를 통해 헬프 데스크를 사칭했습니다.
• 사례 2: 피싱 공격이 휠체어 공급업체인 Numotion의 직원들을 표적으로 삼아(새 창) 거의 50만 명의 기록을 노출시켰습니다. 이 보안 사고로 이름, 생년월일, 의료 기록, 금융 정보, 그리고 경우에 따라 사회 보장 번호가 노출되었습니다. Numotion은 민감한 정보를 보호하지 못한 혐의로 여러 소송에 직면해 있습니다.
• 사례 3: 일본에서는 지불 데이터를 훔치기 위해(새 창) Amazon, PayPal, Apple 및 기타 신뢰할 수 있는 브랜드를 사칭한 5억 8천만 개 이상의 가짜 이메일을 보낸 대규모 피싱 사기(새 창)가 발생했습니다.

Proton으로 데이터 안전하게 유지

기업이 보안 시스템에 막대한 투자를 하더라도 피싱 사기의 표적이 된 직원의 한 번의 클릭으로 안전장치가 몇 초 만에 무용지물이 될 수 있습니다.

그 결과는요? 복구하는 데 몇 달이 걸릴 수 있는 막대한 재정적 손실과 데이터 보안 사고입니다. B2B 부문에서 피싱은 파트너와 고객 간의 신뢰를 훼손하여 장기적인 관계를 위태롭게 할 수도 있습니다.

Proton의 개인정보 우선 앱 제품군을 사용하면 비즈니스와 직원이 항상 피싱 범죄자와 해커보다 앞서 나갈 수 있습니다.

직원에게 성공에 필요한 도구를 제공할 준비가 되셨나요? 오늘부터 비즈니스 보호를 시작할 수 있도록 Proton의 암호화된 솔루션에 대해 알아보세요.