피싱

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

피싱(Phishing)은 신뢰할 수 있는 주체로 위장하여 개인 정보를 탈취하는 사이버 공격 기법이다. 1990년대 초반부터 등장하여 2000년대에 조직적이고 표적화된 공격으로 발전했으며, 이메일, 문자 메시지, QR 코드, 보이스 피싱 등 다양한 형태로 나타난다. 피싱 공격은 링크 조작, 사회 공학, 웹사이트 모방 등 다양한 기술을 사용하며, 스피어 피싱, 클론 피싱, 웨일링, 스미싱, 큐싱 등 유형으로 분류된다. 피싱 피해를 예방하기 위해 사용자 교육, 기술적 접근, 법적 대응 등의 노력이 이루어지고 있으며, 대한민국에서는 관련 법률에 따라 처벌하고 신고 및 예방 정보를 제공한다.

2. 역사

피싱 방지 실무 그룹은 2009년 3분기에 미국과 중국이 각각 25% 이상의 피싱 페이지를 호스팅하면서 소비자로부터 115,370건의 피싱 이메일 보고서를 받았다고 보고했다.^[67]

2005년 11월, 지바 은행을 사칭하여 각 기업에 CD-ROM을 우편으로 발송하고, 그 CD-ROM을 컴퓨터에 넣으면 피싱 사이트에 자동으로 연결되어 돈을 갈취하는 사건이 일본에서 발생했다. 2012년 10월에는 국내 주요 은행의 인터넷 뱅킹 서비스를 열면, 상주하는 멀웨어가 가짜 로그인 화면을 팝업하여 암호 등을 입력하게 하는 수법으로, 부당하게 예금이 인출되는 피해가 발생했다.

최근에는 야후! 재팬 등 포털 사이트에서 인터넷 옥션 회원이나 전자 지갑 등의 다양한 서비스가 하나의 ID와 비밀번호로 통합되어 제공되고 있는 상황도 있어, 일본 국내에서도 이러한 계정 탈취를 목적으로 한 피싱으로 보이는 무차별적인 메일 발송이나, 가짜 사이트가 보고되고 있다. 이 경우, 계정이 탈취되면 자신의 이름으로 거짓 옥션 출품물이 게시되거나, 정당한 출품자로부터 출품물을 사취하는 데 이용되거나, 이차적으로 옥션 사기의 공범이 되는 상황에 빠질 우려가 있다.

또한 최근 Chrome에서 방문자 설문 조사라는 사이트도 다발하고 있다.

피싱은 주로 미국 국내를 중심으로 피해가 급증하고 있으며, 예시로 10만 달러를 피싱 사이트에 송금한 피해자가 있다. 영국의 메시지랩사의 조사에 따르면, 2003년 9월에는 월간 약 280건의 발견이었으나, 2004년 3월에는 월간 약 22만 건으로 증가했으며, 스팸 메일의 새로운 형태로도 두드러지게 나타나고 있다. 일본에서도 2004년 12월에 국내 최초의 피싱 피해가 확인되었다고 경찰청이 밝혔다.

2. 1. 초기 역사 (1990년대)

1990년대 초, 블랙 햇 해커와 warez 커뮤니티가 AOL을 사용하여 신용 카드 정보를 훔치는 등 온라인 범죄를 저지르면서 초기 피싱 기술이 등장했다. "피싱"이라는 용어는 스패머이자 해커인 칸 C. 스미스에 의해 만들어졌다고 알려져 있으며,^[51] 1994년에 출시된 해킹 도구인 AOHell에서 처음으로 이 용어가 기록되었다. AOHell은 해커가 AOL 직원을 사칭하여 피해자에게 인스턴트 메시지를 보내 비밀번호를 공개하도록 하는 기능을 포함하고 있었다.^[52]^[53] AOL은 이에 대응하여 피싱 방지 조치를 시행하고, 결국 자사 플랫폼에서 warez scene을 폐쇄했다.^[54]^[55]

"피싱"이라는 단어의 어원에 대해서는 여러 가지 설이 존재한다. "fishing"(낚시)을 해커식 슬랭(리트식 바꿔 쓰기)으로 표현한 것이라는 설, "f"가 "ph"로 바뀐 것은 이전 프리킹에서 유래되었다는 설, "password harvesting fishing"의 약어라는 설 등이 있다. 일본 총무성은 "낚시(fishing)와 세련됨(sophisticated)에서 만들어진 조어"라고 설명하기도 한다.

2. 2. 2000년대

2000년대에 들어서면서 피싱 공격은 더욱 조직적이고 표적화되었다. 2001년 6월에는 결제 시스템인 E-gold를 공격하려는 시도가 처음으로 알려졌으며, 9.11 테러 직후에는 "9.11 이후 신원 확인"을 위장한 피싱 공격이 나타났다.^[56] 2003년 9월에는 소매 은행을 대상으로 한 최초의 피싱 공격이 보고되었다.^[57]

2004년 5월부터 2005년 5월까지 미국에서 약 120만 명의 컴퓨터 사용자가 피싱으로 피해를 입었으며, 총 피해액은 약 9.29억달러에 달했다.^[58] 피싱은 블랙 마켓의 조직적인 부분으로 인식되었고, 전 세계적으로 특화된 분야가 등장하여 조직적인 갱단에 피싱 소프트웨어를 제공했다.^[59]^[60] 2005년 영국 은행의 웹 뱅킹 사기로 인한 손실은 2004년에 비해 거의 두 배로 증가했다.^[61]^[62] 2006년에는 피싱 절도의 거의 절반이 상트페테르부르크에 기반을 둔 러시아 비즈니스 네트워크를 통해 운영되는 그룹에 의해 저질러졌다.^[63] 미국 국세청을 사칭한 이메일 사기도 미국 납세자로부터 민감한 데이터를 훔치는 데 사용되었다.^[64]

소셜 네트워크 서비스는 신원 도용에 사용될 수 있는 개인 정보가 있기 때문에 피싱의 주요 표적이 되었다.^[65] 2007년에는 360만 명의 성인이 피싱 공격으로 32억달러의 피해를 입었다.^[66]

2. 3. 2010년대

2010년대에는 피싱 공격 횟수가 크게 증가했다. 2011년에는 RSA SecurID 보안 토큰의 마스터 키가 피싱 공격을 통해 도난당했다.^[68]^[69] 같은 해, 중국의 피싱 캠페인은 미국과 대한민국 정부 및 군 고위 관계자, 중국 정치 운동가들을 대상으로 삼았다.^[70]^[71] 2010년 187,203건에서 2012년 445,004건으로 피싱 공격이 증가했다.

2013년 8월에는 Outbrain이 스피어 피싱 공격을 받았고,^[72] 11월에는 피싱된 하청업체 계정을 통해 타겟 고객 1억 1천만 명의 고객 및 신용 카드 기록이 도난당했다.^[73] 이후 CEO와 IT 보안 담당자가 해고되었다.^[74]

2014년 8월, 유명인 사진의 iCloud 유출은 피해자들에게 애플 또는 구글에서 온 것처럼 보이는 피싱 이메일에 기반했다.^[75] 11월에는 ICANN에 대한 피싱 공격으로 중앙 집중식 존 데이터 시스템에 대한 관리자 권한이 획득되었으며, 시스템의 사용자 데이터와 ICANN의 공개 정부 자문 위원회 위키, 블로그 및 whois 정보 포털에 대한 접근 권한도 얻었다.^[76]

2015년 8월, Fancy Bear는 국방부 이메일 시스템에 대한 스피어 피싱 공격과 연관되었으며,^[77]^[78] 이 그룹은 백악관과 NATO에 대한 스피어 피싱 공격에서 Java의 제로데이 익스플로잇을 사용했다.^[79]^[80] 2016년 1분기에 Fancy Bear는 민주당 전국 위원회와 관련된 이메일 주소에 대해 스피어 피싱 공격을 수행했다.^[81]^[82] 같은 해 8월, 독일 연방 의회 의원과 좌파당 원내 대표 사라 바겐크네히트, 청년 연합, 그리고 자르란트의 기독교 민주 연합과 같은 정당이 Fancy Bear가 수행한 것으로 의심되는 스피어 피싱 공격의 대상이 되었다. 또한 같은 달 세계 반도핑 기구는 러시아 해킹 그룹인 Fancy Bear와 일치하는, 공식 WADA인 것처럼 주장하는 피싱 이메일을 데이터베이스 사용자에게 받았다고 보고했다.^[83]^[84]^[85]

2017년에는 조직의 76%가 피싱 공격을 경험했으며, 설문 조사에 참여한 정보 보안 전문가의 거의 절반이 2016년보다 증가했다고 보고했다. 같은 해 상반기에는 카타르의 기업과 주민들이 3개월 동안 93,570건이 넘는 피싱 사건을 겪었다.^[86] 8월에는 아마존 고객이 아마존 프라임 데이 피싱 공격에 직면했는데, 해커들이 아마존 고객에게 겉보기에 합법적인 거래를 보냈다. 아마존 고객이 "거래"를 이용하여 구매를 시도했을 때 거래가 완료되지 않아 소매점 고객이 손상되고 도난될 수 있는 데이터를 입력하도록 유도했다.^[87]

2018년에는 EOS.IO 블록체인을 개발한 회사인 block.one이 피싱 그룹의 공격을 받아 모든 고객에게 피싱 이메일을 보내 사용자의 암호화폐 지갑 키를 가로채려 했고, 이후 공격은 에어드롭 토큰을 대상으로 했다.^[88]

2. 4. 2020년대

피싱 공격은 2020년대에 들어 사회 공학적 요소를 포함하도록 발전했는데, 이는 2020년 7월 15일 트위터 해킹 사건에서 잘 드러났다. 이 사건에서 17세의 해커와 공범들은 원격 근무 직원이 사용하는 트위터 내부 VPN 제공업체를 모방한 가짜 웹사이트를 만들었다. 헬프 데스크 직원으로 위장하여 여러 트위터 직원들에게 전화를 걸어 가짜 VPN 웹사이트에 자격 증명을 제출하도록 지시했다.^[89] 의심하지 않은 직원이 제공한 정보를 사용하여 버락 오바마, 일론 머스크, 조 바이든, 애플의 회사 계정을 포함한 여러 유명 사용자 계정을 장악할 수 있었다. 해커들은 이후 트위터 팔로워들에게 비트코인을 요청하는 메시지를 보내 거래 가치를 두 배로 늘려주겠다고 약속했다. 해커들은 12.86 BTC(117000USD)를 모금했다.^[90]

3. 유형

피싱은 다양한 형태로 나타나며, 각각 다른 수법을 사용해 사용자를 속이고 정보를 탈취한다. 주요 유형은 다음과 같다:

유형	설명
이메일 피싱	금융 기관, 이메일, 클라우드 제공업체, 스트리밍 서비스 등을 사칭한 이메일을 통해 개인 정보를 훔치거나 악성코드를 설치한다.
스미싱(Smishing)	‘SMS’와 피싱(Phishing)의 혼성어로, 휴대폰 문자 메시지를 이용해 개인 정보를 빼내는 사이버 공격이다.^[181]
큐싱(Qshing)	QR 코드를 통해 악성 사이트로 이동하게 하거나 악성 앱을 다운로드하도록 유도하는 공격이다.^[182]
페이지 하이재킹	합법적인 웹 페이지를 침해하여 사용자를 악성 웹사이트 또는 익스플로잇 킷으로 리디렉션하는 행위이며, 주로 크로스 사이트 스크립팅을 사용한다.
스피어 피싱(Spear Phishing)	특정 개인이나 회사를 대상으로 하는 피싱이다.^[162]
클론 피싱(Clone Phishing)	과거에 전달된 적법한 이메일과 거의 동일하거나 복제된 이메일을 만들어, 수신자 주소와 내용을 사용하는 방식이다.^[164]
웨일링(Whaling)	고위 경영 간부 등 비즈니스 내 고위직을 대상으로 하는 피싱 공격이다.^[163]

이러한 피싱 공격은 사회 공학적 기법을 사용하여 사용자를 속이며, 개인 정보나 금융 정보를 탈취하거나 악성 코드를 설치하는 것을 목표로 한다.

3. 1. 이메일 피싱

금융 기관, 이메일, 클라우드 제공업체, 스트리밍 서비스 등을 대상으로 하는 대량 공격은 가장 흔한 피싱 유형이다. 이러한 공격은 사기성 이메일이나 메시지를 보내 가짜 로그인 페이지로 유도하는 사회 공학적 공격이다.^[179]

악의를 가진 제3자가 회원제 웹사이트나 유명 기업을 사칭하여, "'''사용자 계정의 유효 기간이 다 되었습니다'''", "'''새로운 서비스로의 이전을 위해 등록 내용을 다시 입력해 주십시오'''", '''"고객 부재로 인해 짐을 가지고 돌아갔습니다"''' 등과 같이 진짜 웹사이트를 사칭한 가짜 웹사이트로의 URL 링크를 첨부한 메일을 보내 신용 카드의 회원 번호와 같은 개인 정보나 은행 예금 계좌를 포함한 각종 서비스의 ID와 비밀번호를 획득하는 것을 목적으로 한다.

스피어 피싱(spear phishing): 특정한 개인이나 회사들을 대상으로 시도하는 피싱이다.^[179]
클론 피싱(clone phishing): 링크나 첨부 파일이 포함된, 과거에 전달된 적법한 이메일에 거의 동등하거나 복제된 이메일을 만드는데 사용되는 수신자 주소와 내용이 포함된다.
웨일링(whaling): 고위 경영 간부와 비즈니스 내 기타 고위직을 대상으로 하는 피싱 공격이다.^[180]

3. 2. 스미싱 (Smishing)

스미싱(Smishing)은 ‘SMS’와 피싱(Phishing)의 혼성어로, 휴대폰 문자 메시지를 이용해 개인 정보를 빼내는 사이버 공격이다.^[181]^[27]^[28]^[29] 공격자는 미끼 메시지를 보내 피해자가 링크를 클릭하거나, 전화 또는 이메일로 연락하도록 유도한다.^[30] 이후, 피해자는 다른 웹사이트 로그인 정보와 같은 개인 정보를 제공하도록 요청받는다. 모바일 브라우저는 URL 표시가 제한적이기 때문에, 부적절한 링크를 식별하기가 더 어렵다.^[31] 많은 스마트폰이 빠른 인터넷 연결을 지원하므로, 스미싱은 이메일 피싱만큼 효과적일 수 있다. 스미싱 메시지는 특이한 전화번호에서 올 수도 있다.^[32]

3. 3. 큐싱 (Quishing)

퀴싱은 온라인 사기 활동의 비교적 새로운 추세이다. 이 용어는 "QR"(퀵 응답) 코드와 "피싱"의 합성어이다. 사기범들은 QR 코드의 편리성을 이용하여 악성 웹 사이트 링크가 포함된 코드를 스캔하도록 속여 사용자들이 민감한 데이터를 넘겨주도록 한다. 기만적인 이메일이나 웹사이트에 의존하는 기존의 피싱과 달리, 퀴싱은 QR 코드를 사용하여 이메일 필터를 우회^[34]^[35]하고 피해자들이 사기에 걸려들 가능성을 높인다. 사람들은 QR 코드를 신뢰하는 경향이 있으며 URL이나 이메일 링크만큼 주의 깊게 살펴보지 않을 수 있기 때문이다. 가짜 코드는 이메일, 소셜 미디어, 또는 경우에 따라 광고 포스터 및 주차장 안내문과 같은 실물 QR 코드에 스티커 형태로 부착되어 전송될 수 있다.^[36]^[37] 피해자가 휴대폰이나 장치로 QR 코드를 스캔하면 개인 정보, 로그인 자격 증명 또는 금융 정보를 훔치도록 설계된 가짜 웹사이트로 리디렉션된다.^[34]

QR 코드가 결제, 행사 체크인, 제품 정보 등과 같은 목적으로 더 널리 사용됨에 따라, 퀴싱은 디지털 보안에 심각한 문제로 떠오르고 있다. 영국 국가 사이버 보안 센터(NCSC)가 다른 유형의 미끼보다 위험도가 훨씬 낮다고 평가하지만, 사용자들은 익숙하지 않은 QR 코드를 스캔할 때 주의를 기울이고 신뢰할 수 있는 출처에서 온 것인지 확인하도록 권장된다.^[38]

3. 4. 페이지 하이재킹

페이지 하이재킹은 합법적인 웹 페이지를 침해하여 사용자를 악성 웹사이트 또는 익스플로잇 킷으로 리디렉션하는 행위를 포함하며, 종종 크로스 사이트 스크립팅을 사용한다. 보안 해커는 MPack과 같은 익스플로잇 킷을 침해된 웹사이트에 삽입하여 해당 서버를 방문하는 합법적인 사용자를 악용할 수 있다. 페이지 하이재킹은 또한 악성 인라인 프레임 삽입을 포함할 수 있으며, 이를 통해 익스플로잇 킷을 로드할 수 있다. 이 전술은 종종 기업을 대상으로 하는 워터링 홀 공격과 함께 사용된다.^[33]

3. 5. 스피어 피싱 (Spear Phishing)

특정 개인이나 회사를 대상으로 하는 피싱을 스피어 피싱(spear phishing, 작살 낚시)이라고 한다.^[179]^[162]

3. 6. 클론 피싱 (Clone Phishing)

클론 피싱은 링크나 첨부 파일이 포함된, 과거에 전달된 적법한 이메일과 거의 동일하거나 복제된 이메일을 만드는데 사용되는 수신자 주소와 내용이 포함되어 있는 경우이다.^[179] 이전에 전송된 정규 이메일을 사용하여 행해진다.^[164]

3. 7. 웨일링 (Whaling)

여러 피싱 공격이 고위 경영 간부와 비즈니스 내 기타 고위직을 대상으로 이루어졌으며, 이러한 종류의 공격을 웨일링이라고 부른다.^[180] 그중 비즈니스 분야의 간부를 표적으로 하는 것을 '''웨일링'''(whaling: 포경)이라고 부르기도 한다.^[163]

4. 기법

피싱은 사용자가 링크를 클릭하거나 첨부 파일을 열거나 민감한 정보를 공개하도록 속이기 위해 사회 공학 기술을 사용한다. 이는 신뢰할 수 있는 대상을 가장하고 피해자의 은행 또는 보험 계정을 폐쇄하거나 압류하겠다고 위협하는 등 긴박감을 조성하는 경우가 많다.^[47]

사칭 기반 피싱의 또 다른 기술은 가짜 뉴스 기사를 이용하여 피해자가 악성 링크를 클릭하도록 속이는 것이다. 이러한 링크는 합법적으로 보이는 가짜 웹사이트로 연결되지만, 실제로는 공격자가 운영하며 멀웨어를 설치하거나 피해자에게 가짜 "바이러스" 알림을 표시하려고 시도할 수 있다.^[50]

이러한 행위는 악의를 가진 제3자가 회원제 웹사이트나 유명 기업을 사칭하여, "사용자 계정의 유효 기간이 다 되었습니다" 또는 "새로운 서비스로의 이전을 위해 등록 내용을 다시 입력해 주십시오", "고객 부재로 인해 짐을 가지고 돌아갔습니다. 여기서 확인하십시오" 등, 진짜 웹사이트를 사칭한 가짜 웹사이트로의 URL 링크를 첨부한 메일을 보내 신용 카드의 회원 번호와 같은 개인 정보나 은행 예금 계좌를 포함한 각종 서비스의 ID와 비밀번호를 획득하는 것을 목적으로 한다. 또한, DNS 변조 등을 통해 올바른 URL을 입력했음에도 가짜 웹사이트로 유도되는 파밍이라는 유사한 수법도 있다. 그리고 택배 부재중 알림을 사칭한 가짜 SMS를 보내 악성 앱을 다운로드하게 하는 수법도 있다. 그 결과로 허위 청구 사기나 예금 인출·사칭 등에 이용되어, 다중 피해자가 되거나 간접적으로 가해자가 되는 경우도 눈에 띄게 증가하고 있다.

4. 1. 링크 조작

피싱 공격은 합법적인 조직에서 보낸 것처럼 보이는 가짜 링크를 생성하는 것을 포함한다.^[39] 이러한 링크는 사용자를 속이기 위해 오타 URL 또는 서브도메인을 사용할 수 있다. 훈련되지 않은 사용자는 URL 예시(http://www.yourbank.example.com/)를 보고 'yourbank' 웹사이트의 ''example'' 섹션으로 이동하는 것처럼 보일 수 있다. 그러나 이 URL은 ''example'' 웹사이트(사기꾼의 도메인 이름)의 "''yourbank''"(즉, 피싱 서브도메인) 섹션을 가리킨다. 또 다른 전술은 링크에 표시되는 텍스트는 신뢰할 수 있게 보이도록 하면서 실제 링크는 피싱범의 사이트로 연결되도록 하는 것이다. 많은 이메일 클라이언트와 웹 브라우저는 링크의 대상을 확인하기 위해 마우스를 위에 올리면 상태 표시줄에 URL을 표시한다. 그러나 일부 피싱범은 이 보안 조치를 우회할 수 있다.^[40]

국제화 도메인 이름(IDN)은 IDN 스푸핑^[41] 또는 동형이의어 공격^[42]을 통해 악의적인 공격자가 합법적인 웹사이트와 시각적으로 동일한 주소를 가진 가짜 웹사이트를 만들 수 있도록 악용될 수 있다. 이러한 공격은 피싱범이 신뢰할 수 있는 웹사이트에서 열린 URL 리디렉터를 사용하여 악성 URL을 위장하는 데 사용되었다.^[43]^[44]^[45] SSL과 같은 디지털 인증서조차도 피싱범이 유효한 인증서를 구매하여 정품 웹사이트를 모방하거나 SSL 없이 피싱 사이트를 호스팅하기 위해 콘텐츠를 변경할 수 있으므로 이러한 공격으로부터 보호하지 못할 수 있다.^[46]

4. 2. 사회 공학

피싱은 종종 사용자가 링크를 클릭하거나 첨부 파일을 열거나 민감한 정보를 공개하도록 속이기 위해 소셜 엔지니어링 기술을 사용한다. 이는 종종 신뢰할 수 있는 대상을 가장하고 피해자의 은행 또는 보험 계정을 폐쇄하거나 압류하겠다고 위협하는 것과 같이 긴박감을 조성하는 것을 포함한다.^[47]

사칭 기반 피싱의 대안적인 기술은 피해자가 악성 링크를 클릭하도록 속이기 위해 가짜 뉴스 기사를 사용하는 것이다. 이러한 링크는 종종 합법적으로 보이는 가짜 웹사이트로 연결되지만, 실제로는 공격자가 운영하며 멀웨어를 설치하거나 피해자에게 가짜 "바이러스" 알림을 표시하려고 시도할 수 있다.^[50]

4. 3. 웹사이트 모방

웹사이트 모방은 텍스트, 이미지뿐만 아니라 주소 표시줄까지도 모조될 수 있다. 이 경우에는 자바스크립트나 이미지가 사용된다.^[166]

공격자가 사용자가 신뢰하는 본래 웹사이트의 취약점을 공략할 수 있다는 우려가 있다. 크로스 사이트 스크립팅 공격으로 본래 웹사이트와 모조 사이트가 연동되어, 마치 본래 사이트처럼 기능하게 된다.^[166]

이러한 공격 도구로 BeEF가 존재한다.^[167]

5. 특징

'''메일을 이용해서 신뢰할 수 있는 메일 주소로 가장한다.''' 피싱 메일은 대부분 송신자를 사칭하고 있다. 예를 들어 사기꾼이 시티은행인 것으로 속인다면, 이 경우는 「info＠citi.com」와 같이 정상적인 메일 주소로 가장해서 무작위로 보낸다.
'''신용카드 번호나 패스워드 입력을 요구한다.''' 피싱 사기꾼의 최종 목적이다. 이러한 정보를 입력해서는 절대로 안 된다.
'''백신 소프트웨어에 검출되지 않는다.''' 피싱 사기의 경우 아무런 특색 없는 단순한 메일 형태로 첨부 파일 등이 없는 HTML 메일로서 URL을 숨길 수 있기 때문이다. 첨부 파일이나 취약성을 공격하는 HTML 메일은 피싱과 구별된다.
'''웹 사이트를 만드는 기술 이외의 특별한 기술은 아무것도 필요가 없다.''' 피싱 사기를 하는 방법으로 웹사이트를 만들고 메일을 보낸다. 기술이라고 해봤자 웹사이트를 작성하는 기술뿐이기 때문에 누구라도 만들 수 있다. 대기업 사이트와 비슷하게 만드는 것도 실제 웹사이트로부터 HTML 소스와 사진을 가져올 수 있기 때문에 그렇게 어렵지 않다.

6. 대한민국 현황 및 사례

경찰청은 2004년 12월에 대한민국에서 최초의 피싱 피해를 확인했다고 밝혔다.^[29] 이후 인터넷 뱅킹 서비스와 야후! 재팬 등의 포털 사이트 계정을 노리는 피싱이 증가하였다. 이러한 계정 탈취는 옥션 사기 등 2차 피해로 이어질 수 있다. 최근에는 Chrome 방문자 설문 조사로 위장한 피싱 사이트도 다수 발생하고 있다.

6. 1. 현황

2004년 12월, 경찰청은 국내 최초의 피싱 피해를 확인하였다.^[29] 이후 인터넷 뱅킹 서비스와 야후! 재팬 등의 포털 사이트 계정을 노리는 피싱이 증가하였다. 이러한 계정 탈취는 옥션 사기 등 2차 피해로 이어질 수 있다. 최근에는 Chrome 방문자 설문 조사로 위장한 피싱 사이트도 다수 발생하고 있다.

6. 2. 사례

2005년 11월, 일본 지바 은행을 사칭한 CD-ROM이 기업에 발송되었다. 이 CD-ROM을 컴퓨터에 넣으면 자동으로 피싱 사이트에 연결되어 금전을 갈취하는 사건이 발생했다.

2012년 10월, 대한민국 주요 은행의 인터넷 뱅킹 서비스에서 멀웨어가 가짜 로그인 화면을 띄워 암호 등을 입력하게 하는 수법으로 예금이 부당하게 인출되는 피해가 발생했다.

미국 이베이 사이트에서 '보안상의 위험으로 계정이 차단됐으니 재등록해야 한다'는 메일을 보내, 첨부된 링크를 통해 개인 정보와 금융 정보를 탈취하는 피해가 발생했다.

7. 대응

피싱 방지 웹사이트는 인터넷에 유포된 피싱 메시지를 게시하여 사용자들에게 정보를 제공한다. FraudWatch International 및 Millersmiles와 같은 사이트에서는 특정 메시지에 대한 구체적인 세부 정보를 확인할 수 있다.^[91]^[92]

2007년까지 기업들의 피싱 방지 전략 채택률은 낮았다.^[93] 그러나 피싱에 대응하기 위한 다양한 기술이 개발되었으며, 여기에는 법률 및 기술적 조치가 포함된다. 개인과 조직 모두 피싱 방지를 위한 조치를 취할 수 있으며, 전화, 웹 사이트, 이메일 피싱은 당국에 신고할 수 있다.

피싱은 주로 미국에서 피해가 급증하고 있으며, 영국과 일본에서도 피해 사례가 보고되고 있다. 특히 일본에서는 지바 은행을 사칭한 CD-ROM을 이용한 피싱, 인터넷 뱅킹 서비스의 가짜 로그인 화면을 이용한 피싱 등 다양한 수법이 등장하고 있다. 최근에는 야후! 재팬과 같은 포털 사이트의 계정 탈취를 노리는 피싱 메일도 보고되고 있다.

2005년에는 피싱 대책 협의회가 설립되었으며, 경찰과 IPA 정보 보안 안심 상담 창구 등에서 사이버 범죄 상담을 받을 수 있다.

피싱 사기 피해를 방지하기 위한 기술적 대책과 구체적인 내용은 다음과 같다.

대책	내용
개인 정보 입력 전 진위 확인	신용카드 번호, 비밀번호 등 개인 정보를 입력하기 전에 접속한 사이트가 가짜 사이트가 아닌지 도메인 이름을 다시 한번 확인한다.
URL 진위 확인
웹 브라우저 및 백신 소프트웨어의 피싱 방지 기능 활성화
서비스 보안 시스템 이해
이메일 발신자 정보 확인
이메일 링크 클릭 주의
사이트 동작 확인
웹 브라우저 확장 기능 설치	Microsoft Edge나 Google Chrome 등에 경고 확장 기능을 설치한다.
다중 인증 이용	일회용 비밀번호 설정을 통해 공격자의 로그인을 어렵게 할 수 있다.^[174] 단, 세션 하이재킹 등으로 돌파될 수 있다.^[175]

7. 1. 사용자 교육

개념적 지식^[94] 및 피드백^[95]^[96]을 포함한 효과적인 피싱 교육은 모든 조직의 피싱 방지 전략에서 중요한 부분이다. 피싱에 대한 취약성을 줄이는 데 있어 교육의 효과에 대한 자료는 제한적이지만^[97], 위협에 대한 많은 정보가 온라인에서 제공된다.^[48]

조직에서 가짜 피싱 이메일을 보내 직원의 교육을 테스트하는 모의 피싱 캠페인은 그 효과를 평가하는 데 일반적으로 사용된다. 국립 의학 도서관의 연구에서 한 조직은 1개월 테스트 기간 동안 858,200개의 이메일을 받았으며, 이 중 139,400개(16%)는 마케팅 관련이었고 18,871개(2%)는 잠재적인 위협으로 식별되었다. 이러한 캠페인은 의료 데이터가 해커에게 가치 있는 표적이 되기 때문에 의료 산업에서 자주 사용된다.^[98]

회사에서 고객에게 보내는 거의 모든 정당한 이메일 메시지에는 피셔가 쉽게 얻을 수 없는 정보가 포함되어 있다. 예를 들어 페이팔과 같은 일부 회사는 이메일에서 항상 고객에게 사용자 이름으로 주소를 지정하므로, 이메일에서 수신자에게 일반적인 방식으로 주소를 지정하는 경우("친애하는 페이팔 고객") 피싱 시도일 가능성이 높다.^[99] 또한 페이팔은 스푸핑 이메일을 식별하는 다양한 방법을 제공하며, 의심스러운 이메일을 스푸핑@PayPal.com 도메인으로 전달하여 다른 고객에게 조사하고 경고하도록 권장한다. 그러나 개인 정보의 존재만으로 메시지가 합법적이라고 가정하는 것은 안전하지 않으며,^[100] 일부 연구에 따르면 개인 정보의 존재가 피싱 공격의 성공률에 큰 영향을 미치지 않는 것으로 나타났다.^[101] 이는 대부분의 사람들이 그러한 세부 사항에 주의를 기울이지 않는다는 것을 시사한다.

은행 및 신용 카드 회사의 이메일에는 부분 계좌 번호가 포함되는 경우가 많지만, 사람들은 첫 번째 숫자와 마지막 숫자를 구별하지 않는 경향이 있다는 연구 결과가 있다.^[102]

게임 환경에서의 피싱 공격에 대한 연구에 따르면 교육 게임은 플레이어에게 정보 공개에 대해 효과적으로 교육하고 피싱 위험에 대한 인식을 높여 위험을 완화할 수 있다.^[103]

7. 2. 기술적 접근

스팸 필터는 머신 러닝,^[105] 자연어 처리^[106]^[107] 기술을 사용하여 피싱 이메일을 분류하고 위조된 주소를 가진 이메일을 거부하여^[108] 수신자의 받은 편지함에 도달하는 피싱 이메일 수를 줄인다.

세이프 브라우징^[109]과 같은 서비스를 통해 알려진 피싱 사이트 목록을 유지하고 웹사이트를 확인하는 방식으로 피싱에 대응한다. 구글 크롬, 인터넷 익스플로러 7, 모질라 파이어폭스 2.0, 사파리 3.2, 오페라^[110]^[111]^[112]^[113]^[114] 등은 이러한 피싱 방지 조치를 포함하고 있다. 2006년 보고서에 따르면, 파이어폭스 2가 인터넷 익스플로러 7보다 사기 사이트 탐지에 더 효과적이었다.^[116]

특수 DNS 서비스를 통해 알려진 피싱 도메인을 필터링하는 방법도 2006년 중반에 도입되었다.^[117]

피싱 사이트가 이미지(예: 로고)를 사용하여 피해자 사이트를 사칭하는 것을 막기 위해, 사이트 소유자는 이미지를 변경하여 방문자에게 사이트가 사기일 수 있음을 알린다.^[118]^[119]

뱅크 오브 아메리카는 사용자에게 개인 이미지(SiteKey)를 선택하게 하고 비밀번호 요청 양식에 이 이미지를 표시했지만,^[120]^[121] 이후 SiteKey 사용을 중단했다. 여러 연구에 따르면 이미지가 없을 때 비밀번호 입력을 자제하는 사용자는 거의 없었다.^[122]^[123] 이 기능은 2단계 인증과 같이 다른 공격에 취약하다.^[124]^[125]

색상 상자 안에 색상이 있는 단어로 구성된 "ID 큐"를 표시하는 시스템도 사용된다.^[126] 보안 스킨^[127]^[128]은 사용자가 선택한 이미지를 로그인 양식 위에 겹쳐서 양식이 합법적이라는 시각적 신호로 사용한다.

동적 이미지 그리드를 사용하여 로그인 시마다 다른 이미지를 표시하고, 사용자가 미리 선택한 범주의 사진을 식별하게 하는 방법도 있다.^[129]

이중 인증 또는 다단계 인증(MFA)을 구현하여 사용자가 로그인 시 최소 2개의 요소를 사용하도록 요구할 수 있다. 예를 들어 스마트 카드와 비밀번호를 모두 제시해야 한다. WebAuthn과 같은 MFA 방식은 설계상 이러한 문제를 해결한다.

7. 3. 법적 대응

CAN-SPAM 법에 따라 배심원에게 유죄 판결을 받은 최초의 피고는 캘리포니아의 제프리 브렛 구딘이다. 그는 AOL 사용자에게 수천 개의 이메일을 보내 개인 정보와 신용 카드 정보를 제출하도록 유도한 혐의로 유죄 판결을 받았다. 그는 70개월의 징역형을 선고받았다.^[155]^[156]^[157]^[158]

2004년 1월 26일, 미국 연방거래위원회는 아메리카 온라인을 모방한 웹페이지를 만들어 신용카드 정보를 훔친 혐의로 한 캘리포니아 10대 청소년을 상대로 첫 소송을 제기했다.^[138]

패트릭 리히 상원의원은 2005년 3월 1일에 미국 의회에 2005년도 반피싱법을 제출했다. 이 법안은 가짜 웹사이트와 이메일을 사용하여 소비자를 속인 범죄자에게 최대 25만달러의 벌금과 최대 5년의 징역형을 부과하는 것을 목표로 했다.^[144]

기업들도 피싱 근절에 동참했다. 마이크로소프트는 2005년 3월 31일 미국 워싱턴 서부 지방 법원에 117건의 연방 소송을 제기했고, 2006년 11월에는 형사 및 민사 소송을 합쳐 129건의 소송을 시작했다.^[149] AOL은 2006년 초 버지니아 컴퓨터 범죄법의 2005년 수정안에 따라 총 1800만달러을 요구하는 3건의 소송을 제기하여 피싱 방어 노력을 강화했고,^[151]^[152]^[153] Earthlink는 코네티컷에서 피싱 사기로 기소된 6명의 남자를 식별하는 데 도움을 주었다.^[154]

영국에서는 2006년 사기 방지법으로^[145] 최대 10년의 징역형으로 처벌받는 일반적인 사기 범죄를 도입했고, 사기를 목적으로 피싱 키트를 개발하거나 소유하는 것을 금지했다.^[146] 2005년 6월, 영국 당국은 피싱 사기에 연루된 두 남자를 투옥했는데,^[140] 이 사건은 미국 비밀경호국의 Operation Firewall과 관련이 있었다.^[141]

다른 국가들도 피싱범을 추적하고 체포하는 조치를 취했다. 브라질에서는 피싱 거물 발디르 파울로 데 알메이다가 2년 동안 1800만달러에서 3700만달러 사이의 금액을 훔친 최대 규모의 피싱 범죄 조직을 이끈 혐의로 체포되었다.^[139] 2006년, 일본 경찰은 가짜 야후 재팬 웹사이트를 만들어 1억엔 (87만달러 상당)을 챙긴 혐의로 8명을 체포했고,^[142] 연방수사국(FBI)은 Operation Cardkeeper에서 미국과 유럽에서 16명의 갱단을 구금했다.^[143]

한국에서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)에 의거하여 피싱을 규제하고 처벌한다.

7. 4. 신고 방법 (대한민국)

피싱으로 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰에 신고하거나 한국정보보호진흥원 (02-1336 또는 02-118)에 신고한다.^[130]

7. 5. 피싱 메일 구별 유형 (대한민국)

은행, 카드사 등을 사칭하며 계좌 번호, 카드 번호, 비밀번호 등의 확인 또는 갱신을 유도하거나, 이러한 조치를 취하지 않을 경우 거래가 중지된다는 식의 문구를 사용한다.^[27]
포털 사이트나 쇼핑몰 등을 사칭해 경품 당첨 안내나 이벤트 참가 등을 유도하며 주민 번호, 핸드폰 번호 등의 개인 정보를 입력하도록 유도한다.^[27]
바이러스에 감염되었다거나 이메일 저장 공간이 가득 찼다는 등의 문제를 알리며 조치를 취하도록 유도한다.^[27]

7. 6. 예방 (대한민국)

안랩이 제시하는 예방법은 다음과 같다.^[174]

메신저 비밀번호를 주기적으로 변경한다.
사용하지 않는 메신저 계정이나 대화 목록은 삭제한다.
단기 가입 사이트는 탈퇴한다.
웹사이트 아이디와 비밀번호는 가급적 다르게 설정한다.
메신저를 최신 버전으로 업데이트하고 보안 기능을 최대로 설정한다.
보안 백신을 설치, 정기적으로 업데이트하고 바이러스 검사를 실시한다.
메신저 피싱이 의심될 경우 즉각 대화 상대에게 알리고 송금 중지를 요청하며 경찰, 은행에 신고한다.
메신저를 통한 금전 요청 시 전화로 본인 여부를 확인하고 타인 명의 통장으로 송금하지 않는다.
인터넷 브라우저를 최신 버전으로 업데이트하고 보안 기능을 활용한다.
공용 PC 이용 시 보안 검사를 실시하며, 이용 후 반드시 로그아웃한다.

기타 예방법은 다음과 같다.^[174]

신뢰할 수 없는 메일의 링크를 클릭하지 않는다.
의심스러운 경우 직접 사이트를 방문한다.
메일 헤더를 확인한다.
링크 주소가 IP 주소인지 도메인인지 확인한다. IP 주소일 경우 피싱 사이트일 가능성이 높다.

피싱 피해 방지를 위한 기술적 대책은 다음과 같다.

개인 정보 입력 전 진위 확인: 신용카드 번호, 비밀번호 등 개인 정보를 입력하기 전, 접속한 사이트가 가짜가 아닌지 도메인 이름을 확인한다.

URL 진위 확인: 이메일 등으로 제시된 URL이 아닌, 즐겨찾기에 등록된 URL을 사용한다. 타인이 제시한 URL은 웹 브라우저의 보안 취약점 등으로 인해 위장되었을 수 있으므로, 주소창만으로 확인하는 것은 불충분하다. 웹 페이지의 속성을 확인하는 것이 더 효과적이다. 웹 브라우저의 보안 취약점 개선을 위해 최신 버전으로 업데이트한다.

최근에는 공식 사이트와 가짜 사이트 모두 서브도메인과 도메인 이름이 길어 즉시 판단하기 어려운 경우가 많다. 정규 사이트의 메인 페이지에서 링크를 따라가는 방법이 유효하다.

웹 브라우저 및 백신 소프트웨어의 피싱 방지 기능 활성화: 대부분의 웹 브라우저에는 피싱 방지 기능이 구현되어 있다.
Internet Explorer 7.0 이후^[169]
Google Chrome^[170]
Mozilla Firefox 2.0 이후^[171]
Opera 9.10 이후^[172]
Safari 3.2 이후^[173]

서비스 보안 시스템 이해: 이용하려는 서비스의 보안 시스템을 이해하는 것이 중요하다. 어느 한 곳이라도 보안이 허술하면 위장되었을 가능성이 있다. 최근에는 SSL 보안을 획득한 피싱 사이트도 등장하여 간파하기 어려워지고 있다.

이메일 발신자 정보 확인: 이메일 발신자 주소 위조는 비교적 쉽다. 혼란스러운 도메인을 이용해 메일을 보내는 경우도 있어, 이메일 주소를 육안으로 확인해야 한다.

이메일 링크 클릭 주의^[174]: 링크 클릭 시 이메일 주소가 특정될 수 있다. 브라우저 주소창이나 즐겨찾기를 이용해 직접 접속하고, 사이트에 이메일과 동일한 내용의 공지가 있는지 확인한다. 사이트에서 "이메일을 발송하지 않는다"고 명시하거나 대책 방법을 공개하는 경우도 있으므로, 보안 대책을 참고한다.

사이트 동작 확인: 피싱 사이트는 ID, 비밀번호 수집이 목적이므로, 잘못된 정보를 입력해도 로그인되는 경우가 많다. 잘못된 입력을 해보는 습관을 들이면 피싱 사이트를 간파할 가능성이 높다. 피싱이 의심되는 경우, 전화나 이메일로 서비스 제공 업체에 상담하고, 서비스 중단 및 비밀번호 변경 조치를 취한다. 신용카드 회사나 은행은 서면으로 정보 확인을 요청하며, 웹으로는 확인하지 않는다.

웹 브라우저 확장 기능 설치: Microsoft Edge나 Google Chrome 등에 경고 확장 기능을 설치한다.

다중 인증 이용: 일회용 비밀번호 설정을 통해 공격자의 로그인을 어렵게 할 수 있다.^[174] 단, 세션 하이재킹 등으로 돌파될 수 있다.^[175]

8. 피싱 공격 도구

BeEF - 가짜 웹사이트를 생성하여 공격하는 도구이다.^[167]
Spoofbox - SMS, 이메일, iMessage를 전송할 수 있는 사이트이다. 사용 시 과금이 필요하다.^[167]
Wi-Fi Phisher - Wi-Fi에서 가짜 액세스 포인트 (Evil Twin 공격)에 연결하여 비밀번호를 훔치는 도구이다.^[167]
Metasploit - 악성 링크나 파일을 이메일에 첨부하여 전송하는 모듈이 있다.^[167]

9. 향후 위험성

최근에는 취약점이 방치된 DNS 서버에 간섭하여, 원래의 호스트명에 대해 가짜 IP 주소를 반환하도록 동작을 변경함으로써, 원래 사이트에 유효한 링크를 따라가고 있음에도 불구하고 (즉, 브라우저의 주소 표시줄에는 '''올바른 주소가 표시되고 있음'''에도 불구하고), 공격자가 설치한 사이트로 유도되는 파밍이 지적되고 있다.^[6] 같은 원리의 공격으로, 최근 급속도로 보급된 무선 LAN의 핫스팟에 숨어, 가짜 DNS 서버에 접속하도록 설정된 함정 액세스 포인트를 설치하는 수법 (Evil Twin 공격)도 성립할 수 있다.^[6]

또한, 기술적인 가능성으로는 라우터를 크랙하여 인터넷상에서 라우팅되는 IP 패킷을 임의로 제어하거나, 그것이 피싱에 응용될 가능성도 있다.^[6]

게다가, 멀웨어 중에는, PC 내의 통신 제어 (라우팅 테이블, 네임 리졸버 API 등, 또는 단순한 hosts 파일)을 탈취하거나 다시 쓰거나 하여, 링크 대상과는 다른 사이트를 열게 하는 트로이 목마도 발견되고 있다.^[6] 실제로 특정 은행 사이트에 대한 조작에만 반응하여, 피싱 사이트로 유도하는 것도 확인되고 있다.^[6] 또한 hosts 파일을 수정하여, 가짜 DNS 서버를 참조하게 하고, 가짜 사이트로 유도하려는 웜의 존재도 확인되었기 때문에, 컴퓨터 바이러스 대책을 포함하여, 이러한 피싱에 대한 경계를 해야 할 필요가 있다.^[6]

참조

_[1] 논문 Phishing for phishing awareness http://www.tandfonli[...] 2011-11-09
_[2] 서적 Handbook of Information and Communication Security Springer
_[3] 웹사이트 Internet Crime Report 2020 https://www.ic3.gov/[...] U.S. Federal Bureau of Investigation 2021-03-21
_[4] 웹사이트 The Phishing Guide: Understanding and Preventing Phishing Attacks http://www.technical[...] 2006-07-10
_[5] 논문 The Big Phish: Cyberattacks Against U.S. Healthcare Systems. 2016-10-01
_[6] 팟캐스트 AOL Underground https://anchor.fm/ao[...] Anchor.fm 2022-01
_[7] 뉴스 A Leet Primer http://www.technewsw[...] TechNewsWorld 2005-07-12
_[8] 웹사이트 Phishing http://itre.cis.upen[...] 2021-03-21
_[9] 웹사이트 Security Usability Principles for Vulnerability Analysis and Risk Assessment. https://www.research[...] 2020-11-11
_[10] 논문 Susceptibility to Spear-Phishing Emails: Effects of Internet User Demographics and Email Content 2019-09
_[11] 웹사이트 Email Nightmare: 94% of Firms Hit by Phishing Attacks in 2023 https://www.infosecu[...] 2024-12-08
_[12] 웹사이트 2019 Data Breach Investigations Report https://www.phishing[...] Verizon Communications 2021-03-21
_[13] 논문 Fifteen years of phishing: can technology save us? https://www.research[...] 2021-03-21
_[14] 웹사이트 Spoofing and Phishing https://www.fbi.gov/[...] Federal Bureau of Investigation
_[15] 웹사이트 The Black Market for Netflix Accounts https://www.theatlan[...] 2016-02-11
_[16] 웹사이트 Spear phishing https://docs.microso[...] 2019-03-04
_[17] 웹사이트 Spear phishing: Who's getting caught? http://www.firmex.co[...] 2014-07-27
_[18] 뉴스 NSA/GCHQ hacking gets personal: Belgian cryptographer targeted https://www.infosecu[...] 2018-09-10
_[19] 뉴스 RSA explains how attackers breached its systems https://www.theregis[...] 2018-09-10
_[20] 뉴스 Epsilon breach used four-month-old attack https://www.itnews.c[...] 2018-09-10
_[21] 논문 What phishing e‑mails reveal: An exploratory analysis of phishing attempts using text analyzes https://papers.ssrn.[...] 2020-11-02
_[22] 웹사이트 Threat Group-4127 targets Google accounts https://www.securewo[...] 2017-10-12
_[23] 뉴스 How the Russians hacked the DNC and passed its e‑mails to WikiLeaks https://www.washingt[...] 2019-02-22
_[24] 논문 Phishing attacks: A recent comprehensive study and a new anatomy
_[25] 서적 Proceedings of the 5th annual conference on Information security curriculum development 2008
_[26] 서적 Proceedings of the 4th international conference on Security and privacy in communication netowrks 2008
_[27] 웹사이트 Phishing, Smishing, and Vishing: What's the Difference? https://www.belvoirc[...] 2008-08-01
_[28] 뉴스 Vishing and smishing: The rise of social engineering fraud https://www.bbc.co.u[...] BBC 2016-01-01
_[29] 논문 Falling for Social Engineering: A Qualitative Analysis of Social Engineering Policy Recommendations http://journals.sage[...] 2022-08-05
_[30] 웹사이트 SMS phishing article at ConsumerAffairs.com http://www.consumera[...] 2020-07-29
_[31] 서적 2019 Twelfth International Conference on Contemporary Computing (IC3) IEEE 2019-08
_[32] 웹사이트 What is Smishing? https://us.norton.co[...] Symantec Corporation 2018-10-18
_[33] 웹사이트 What Is a Watering Hole Attack? https://www.fortinet[...] 2024-07-18
_[34] 웹사이트 Banks and regulators warn of rise in ‘quishing’ QR code scams https://www.ft.com/c[...] The Financial Times Ltd. 2024-10-27
_[35] 웹사이트 5 scams you need to know about in 2024 https://www.which.co[...] 2024-02-19
_[36] 웹사이트 Thornaby: Woman targeted in £13k railway station QR code scam https://www.bbc.co.u[...] 2023-11-18
_[37] 웹사이트 5 scams you need to know about in 2024 https://www.which.co[...] 2024-02-19
_[38] 웹사이트 QR Codes - what's the real risk? https://www.ncsc.gov[...] 2024-03-11
_[39] 웹사이트 Get smart on Phishing! Learn to read links! http://www.bustspamm[...] 2016-12-11
_[40] 웹사이트 Hidden JavaScript Redirect Makes Phishing Pages Harder to Detect http://news.softpedi[...] Softpedia 2016-06-15
_[41] 웹사이트 The State of Homograph Attacks Rev1.1 http://www.shmoo.com[...] 2005-08-11
_[42] 간행물 The Homograph Attack https://www.cs.techn[...] 2002-02
_[43] 뉴스 Barclays scripting SNAFU exploited by phishers https://www.theregis[...] 2006-08-15
_[44] 웹사이트 Goin' phishing with eBay http://q.queso.com/a[...] 2006-12-14
_[45] 뉴스 Cybercrooks lurk in shadows of big-name websites https://www.theregis[...] 2007-12-12
_[46] 뉴스 Black Hat DC 2009 http://www.thoughtcr[...] 2011-05-15
_[47] 서적 HCI International 2020 - Posters 2020
_[48] 간행물 Developing a measure of information seeking about phishing 2020-01-01
_[49] 간행물 Susceptibility to Spear-Phishing Emails: Effects of Internet User Demographics and Email Content 2019-09
_[50] 뉴스 Fake news can poison your computer as well as your mind http://www.archersec[...] archersecuritygroup.com 2017-01-27
_[51] 뉴스 EarthLink wins $25 million lawsuit against junk e-mailer http://www.bizjourna[...]
_[52] 뉴스 AOL Acts to Thwart Hackers http://simson.net/cl[...] 1995-09-08
_[53] arXiv Early Phishing
_[54] 웹사이트 Phishing http://www.wordspy.c[...] 2006-09-28
_[55] 웹사이트 History of AOL Warez http://www.rajuabju.[...] 2006-09-28
_[56] 웹사이트 GP4.3 – Growth and Fraud — Case #3 – Phishing https://financialcry[...] 2005-12-30
_[57] 간행물 The Battle Against Identity Theft 2003-09
_[58] 뉴스 How Can We Stop Phishing and Pharming Scams? http://www.csoonline[...] CSO 2005-07-19
_[59] 웹사이트 In 2005, Organized Crime Will Back Phishers http://itmanagement.[...] 2004-12-23
_[60] 웹사이트 The economy of phishing: A survey of the operations of the phishing market http://firstmonday.o[...] 2005-09
_[61] 뉴스 UK phishing fraud losses double http://www.finextra.[...] Finextra 2006-03-07
_[62] 뉴스 Brits fall prey to phishing https://www.theregis[...] 2005-05-03
_[63] 뉴스 Shadowy Russian Firm Seen as Conduit for Cybercrime https://www.washingt[...] 2007-10-13
_[64] 웹사이트 Suspicious e-Mails and Identity Theft https://www.irs.gov/[...] 2006-07-05
_[65] 뉴스 Phishing Scam Takes Aim at MySpace.com http://www.pcworld.c[...] IDG Network 2006-06-02
_[66] 뉴스 Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks http://www.gartner.c[...] Gartner 2007-12-17
_[67] 웹사이트 Phishing Activity Trends Report http://apwg.org/repo[...] 2013-11-04
_[68] 웹사이트 Anatomy of an RSA attack https://blogs.rsa.co[...] RSA FraudAction Research Labs 2014-09-15
_[69] 뉴스 Data Breach at Security Firm Linked to Attack on Lockheed https://www.nytimes.[...] 2011-05-27
_[70] 웹사이트 Suspected Chinese spear-phishing attacks continue to hit Gmail users http://www.computerw[...] 2011-08-13
_[71] 웹사이트 Report: Chinese TV doc reveals cyber-mischief https://web.archive.[...] 2011-08-22
_[72] Webarchive Syrian hackers Use Outbrain to Target The Washington Post, Time, and CNN http://www.theatlant[...] The Atlantic Wire 2013-08-15
_[73] 뉴스 Report: Email phishing scam led to Target breach http://bringmethenew[...] 2014-02-12
_[74] 웹사이트 Target CEO Sack http://247wallst.com[...]
_[75] Webarchive Prosecutors find that ‘Fappening’ celebrity nudes leak was not Apple’s fault https://techcrunch.c[...] Techcrunch 2016-03-15
_[76] 웹사이트 ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented https://www.icann.or[...] 2014-12-16
_[77] 뉴스 Russia hacks Pentagon computers: NBC, citing sources https://www.cnbc.com[...] 2015-08-07
_[78] 뉴스 Official: Russia suspected in Joint Chiefs email server intrusion http://edition.cnn.c[...] 2015-08-07
_[79] 뉴스 Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House http://boingboing.ne[...] 2015-08-28
_[80] 웹사이트 New Spear Phishing Campaign Pretends to be EFF https://www.eff.org/[...] EFF 2015-08-27
_[81] 뉴스 D.N.C. Says Russian Hackers Penetrated Its Files, Including Dossier on Donald Trump https://www.nytimes.[...] 2016-06-14
_[82] 뉴스 Bear on bear https://www.economis[...] 2016-09-24
_[83] 웹사이트 Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say http://www.ibtimes.c[...] 2016-08-23
_[84] 웹사이트 What we know about Fancy Bears hack team http://www.bbc.co.uk[...] 2016-09-15
_[85] 뉴스 Researchers find fake data in Olympic anti-doping, Guccifer 2.0 Clinton dumps https://arstechnica.[...] Ars Technica 2016-10-06
_[86] 뉴스 Qatar faced 93,570 phishing attacks in first quarter of 2017 http://www.gulf-time[...] 2017-05-12
_[87] 뉴스 Amazon Prime Day phishing scam spreading now! https://www.komando.[...]
_[88] 웹사이트 Cryptocurrency Hackers Are Stealing from EOS's $4 Billion ICO Using This Sneaky Scam https://fortune.com/[...]
_[89] 웹사이트 Twitter Investigation Report - Department of Financial Services https://www.dfs.ny.g[...] 2020-10-14
_[90] 웹사이트 Three Individuals Charged For Alleged Roles In Twitter Hack https://www.justice.[...]
_[91] 웹사이트 Millersmiles Home Page https://web.archive.[...] Oxford Information Services
_[92] 웹사이트 FraudWatch International Home Page http://www.fraudwatc[...] FraudWatch International
_[93] 간행물 Organizations Respond to Phishing: Exploring the Public Relations Tackle Box
_[94] 간행물 Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks' 2012-06-01
_[95] 웹사이트 Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System http://www.cylab.cmu[...] 2006-11
_[96] 간행물 Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing 2017-03-23
_[97] 간행물 Don't click: towards an effective anti-phishing training. A comparative literature review 2020-12
_[98] 간행물 Phishing in healthcare organisations: threats, mitigation and approaches 2019-09-04
_[99] 웹사이트 Protect Yourself from Fraudulent Emails https://web.archive.[...]
_[100] 뉴스 Phishing Messages May Include Highly-Personalized Information http://isc.incidents[...] The SANS Institute 2006-03-17
_[101] 웹사이트 Designing Ethical Phishing Experiments https://archive.toda[...]
_[102] 웹사이트 What Instills Trust? A Qualitative Study of Phishing http://www.informati[...]
_[103] 간행물 How persuasive is a phishing email? A phishing game for phishing awareness https://www.medra.or[...] 2019-10-11
_[104] 웹사이트 APWG Phishing Attack Trends Reports https://www.antiphis[...]
_[105] 간행물 Obtaining the Threat Model for E-mail Phishing 2011-07
_[106] 웹사이트 Phishing E-mail Detection Based on Structural Properties http://www.albany.ed[...] 2006-03
_[107] 웹사이트 Learning to Detect Phishing Emails http://reports-archi[...] 2006-11-30
_[108] 웹사이트 Landing another blow against email phishing (Google Online Security Blog) http://googleonlines[...] 2012-06-21
_[109] 웹사이트 Google Safe Browsing https://www.google.c[...] 2017-11-30
_[110] 웹사이트 Safe Browsing (Google Online Security Blog) http://googleonlines[...] 2012-06-21
_[111] 웹사이트 Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers https://docs.microso[...] 2020-02-10
_[112] 웹사이트 Bon Echo Anti-Phishing https://www.mozilla.[...] 2006-06-02
_[113] 웹사이트 Safari 3.2 finally gains phishing protection https://arstechnica.[...] 2008-11-15
_[114] 뉴스 Gone Phishing: Evaluating Anti-Phishing Tools for Windows https://archive.toda[...] 3Sharp 2006-10-20
_[115] 웹사이트 Two Things That Bother Me About Google's New Firefox Extension http://www.oreillyne[...] 2007-07-01
_[116] 웹사이트 Firefox 2 Phishing Protection Effectiveness Testing https://www.mozilla.[...] 2007-01-23
_[117] 웹사이트 DNS Gets Anti-Phishing Hook http://www.darkreadi[...] 2006-10-08
_[118] 뉴스 Using Images to Fight Phishing https://web.archive.[...] Security Fix 2006-08-31
_[119] 뉴스 Spotting Phish and Phighting Back http://www.eweek.com[...] eWeek 2006-12-14
_[120] 웹사이트 How Bank of America SiteKey Works For Online Banking Security http://www.bankofame[...] 2007-01-23
_[121] 뉴스 Bank of America Personalizes Cyber-Security https://www.washingt[...] 2017-09-08
_[122] 뉴스 Study Finds Web Antifraud Measure Ineffective https://www.nytimes.[...] 2007-02-05
_[123] 웹사이트 The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies http://www.deas.harv[...] 2007-05
_[124] 뉴스 Phishers target Nordea's one-time password system http://www.finextra.[...] Finextra 2005-12-20
_[125] 뉴스 Citibank Phish Spoofs 2-Factor Authentication https://web.archive.[...] Security Fix 2006-07-10
_[126] 웹사이트 More doom on phishing https://web.archive.[...] 2009-04-08
_[127] 웹사이트 Security Skins http://www.schneier.[...] 2006-12-03
_[128] 웹사이트 The Battle Against Phishing: Dynamic Security Skins http://people.deas.h[...] 2005-07
_[129] 웹사이트 Dynamic, Mutual Authentication Technology for Anti-Phishing http://www.confident[...] Confidenttechnologies.com 2012-09-09
_[130] 웹사이트 Anti-Phishing Working Group: Vendor Solutions https://web.archive.[...] 2006-07-06
_[131] 간행물 CANTINA+: A Feature-Rich Machine Learning Framework for Detecting Phishing Web Sites https://doi.org/10.1[...] 2020-11-25
_[132] 서적 2019 IEEE 18th International Symposium on Network Computing and Applications (NCA) IEEE 2020-11-25
_[133] 뉴스 New sites let users find and report phishing https://web.archive.[...] LinuxWorld 2006-03-28
_[134] 웹사이트 PhishTank http://www.schneier.[...] 2006-10-05
_[135] 웹사이트 Report a Phishing Page https://safebrowsing[...] 2019-09-13
_[136] 웹사이트 How to report phishing scams to Google http://consumerscams[...] Consumer Scams.org 2013-04-14
_[137] 뉴스 Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise https://www.pcmag.co[...] 2019-03-07
_[138] 뉴스 Phishing scams reel in your identity http://www.cnn.com/2[...] CNN 2006-04-08
_[139] 뉴스 Brazilian cops net 'phishing kingpin' http://www.channelre[...] 2005-08-19
_[140] 뉴스 UK Phishers Caught, Packed Away http://www.eweek.com[...] eWEEK 2005-09-03
_[141] 웹사이트 Nineteen Individuals Indicted in Internet 'Carding' Conspiracy https://www.justice.[...] justice.gov 2015-10-13
_[142] 뉴스 8 held over suspected phishing fraud 2006-05-31
_[143] 웹사이트 Phishing gang arrested in USA and Eastern Europe after FBI investigation http://www.sophos.co[...] 2006-12-14
_[144] 뉴스 Phishers Would Face 5 Years Under New Bill http://informationwe[...] 2005-03-04
_[145] 웹사이트 Fraud Act 2006 http://www.opsi.gov.[...] 2006-12-14
_[146] 뉴스 Prison terms for phishing fraudsters https://www.theregis[...] 2017-08-10
_[147] 웹사이트 Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime http://www.microsoft[...] 2005-08-24
_[148] 뉴스 Microsoft launches legal assault on phishers http://news.zdnet.co[...] ZDNet 2006-05-20
_[149] 뉴스 MS reels in a few stray phish https://www.theregis[...] 2017-08-10
_[150] 웹사이트 A History of Leadership – 2006 http://corp.aol.com/[...]
_[151] 웹사이트 AOL Takes Fight Against Identity Theft To Court, Files Lawsuits Against Three Major Phishing Gangs http://media.aoltime[...] 2006-03-08
_[152] 웹사이트 HB 2471 Computer Crimes Act; changes in provisions, penalty. http://leg1.state.va[...] 2006-03-08
_[153] 뉴스 Va. Lawmakers Aim to Hook Cyberscammers https://www.washingt[...] 2017-09-08
_[154] 웹사이트 Earthlink evidence helps slam the door on phisher site spam ring http://www.earthlink[...] 2006-12-14
_[155] 뉴스 Man Found Guilty of Targeting AOL Customers in Phishing Scam https://www.pcmag.co[...] 2017-09-08
_[156] 뉴스 AOL phishing fraudster found guilty https://www.theregis[...] 2017-08-10
_[157] 뉴스 AOL phisher nets six years' imprisonment https://www.theregis[...] 2017-08-10
_[158] 뉴스 California Man Gets 6-Year Sentence For Phishing http://www.informati[...] 2007-07-01
_[159] 웹사이트 フィッシング詐欺に注意 https://www.soumu.go[...] 総務省 2022-04-01
_[160] 뉴스 フィッシング詐欺を全国初摘発 https://www.itmedia.[...] ITmedia エンタープライズ 2015-06-01
_[161] 뉴스 ネットバンキングの不正送金事件、「偽ポップアップ」による巧妙な手口 http://trendy.nikkei[...] 日経トレンディネット 2012-12-01
_[162] 뉴스 spear phishing http://searchsecurit[...] TechTarget 2015-06-01
_[163] 뉴스 whaling http://searchsecurit[...] TechTarget 2015-06-01
_[164] 뉴스 Phishing and Social Engineering Techniques http://resources.inf[...] INFOSEC INSTITUTE 2015-06-01
_[165] 뉴스 Cybercrooks lurk in shadows of big-name websites http://www.theregist[...] The Register 2015-06-01
_[166] 뉴스 フィッシング詐欺に新手法，本物のSSLサイトから偽サイトにリダイレクト https://xtech.nikkei[...] ITpro 2015-06-01
_[167] 서적 Getting Started Becoming a Master Hacker v.1.3 Independently published
_[168] 법률 e-GOV 法令検索「平成十一年法律第百二十八号不正アクセス行為の禁止等に関する法律」 https://laws.e-gov.g[...]
_[169] 뉴스 SmartScreen フィルター機能: FAQ http://windows.micro[...] Microsoft 2015-06-03
_[170] 뉴스 フィッシングや不正なソフトウェアに関するアラート https://support.goog[...] Google Chrome ヘルプ 2015-06-03
_[171] 뉴스 偽装サイトとマルウェアからの防護機能の動作 https://support.mozi[...] mozilla support 2015-06-03
_[172] 뉴스 Opera's Fraud and Malware Protection http://www.opera.com[...] Opera browser 2015-06-03
_[173] 뉴스 Safari 8 (Yosemite): 暗号化された Web サイトを識別して詐欺 Web サイトを避ける https://support.appl[...] Apple 2015-06-03
_[174] 웹사이트 피싱 대책-경찰청 HP https://www.npa.go.j[...]
_[175] 뉴스 Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise https://www.pcmag.co[...] 2019-09-09
_[176] 웹인용 Spam Slayer: Do You Speak Spam? http://www.pcworld.c[...] 2006-08-16
_[177] 웹인용 Phishing, n. OED Online, March 2006, Oxford University Press. http://dictionary.oe[...] 2006-08-09
_[178] 웹인용 Phishing https://web.archive.[...] 2006-08-09
_[179] 웹인용 What is spear phishing? https://web.archive.[...] 2011-06-11
_[180] 웹인용 Fake subpoenas harpoon 2,100 corporate fat cats https://web.archive.[...] The Register 2008-04-17
_[181] 문서 네이버지식백과
_[182] 웹인용 큐싱(Qshing) https://terms.naver.[...] 매일경제용어사전 2022-06-09

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com