피싱과 스피어 피싱

새해 아침이 되면 ‘올 한 해 좋은 일 많이 있고 복 많이 받으십시오'는 메시지를 주고받곤 합니다. 한편으로는 잊지 않고 연락을 주어 감사한 마음이 들면서도 다른 한편으로는 아무런 특색 없는 이 메시지를 얼마나 많은 사람에게 보냈을까 하는 생각이 들기도 하는데요. 그래서 어떤 사람들은 수신자가 좀 더 특별한 느낌을 받을 수 있도록 ‘강 부장님'이나 ‘홍길동 교수님'과 같은 이름이나 호칭을 메시지에 넣기도 합니다. 비록 뒤따라오는 내용은 여느 단체 메시지와 다를 게 없지만 그래도 같은 내용에 수신자만 잔뜩 입력하여 보내는 메시지보다는 상대방의 정성이 더 느껴지지요. 내용도 좀 더 살펴보게 되고요. 일반적인 피싱과 스피어 피싱의 차이도 이와 비슷한 원리로 이해할 수 있는데요. 한번 살펴보겠습니다.

피싱Phishing은 개인정보Private data와 낚는다Fishing의 합성어로 악의적인 이메일, 문자 메시지, 또는 음성 통화 등을 사용하여 누군가를 속이고 중요한 데이터(주민등록번호, 계좌 비밀번호 등)를 탈취하거나 악성코드를 유포하는 사이버 공격입니다. 일반적인 피싱은 동일한 메시지를 불특정 다수에게 전송하는 방식으로 이루어지는데 이때 메시지 내용이 특색이 없기 때문에 수신자 중 관심을 가지고 이메일이나 첨부파일을 열어보는 사람은 극히 제한적입니다. 따라서 공격자는 피싱 성공률을 높이기 위해 한두 사람이 아닌 수많은 사람들을 대상으로 피싱을 시도하게 됩니다.

반면 스피어 피싱Spear Phishing은 대상을 특정하여 진행하는 표적 공격입니다. ‘창', ‘찌르다’를 뜻하는 스피어Spear를 통해서도 간접적으로 의미를 유추해 볼 수 있습니다. 비록 스피어 피싱은 일반 피싱에 비해 공격 반경이 좁지만 무작위 공격이 아닌 맞춤형 공격을 한다는 점에서 피싱 시도별 성공률은 더 높습니다. 스피어 피싱의 진행 과정은 먼저 공격 대상을 정한 후 상대방에 대한 정보를 수집하고요. 이를 토대로 맞춤형 메시지를 만듭니다. 이때 사용하는 주요 전략은 개인화Personalisation인데요. 이메일의 제목이나 본문에 수신자의 이름, 회사 내 직위, 개인적 관심사, 과거 수행했던 프로젝트명 등 개인화된 정보들을 삽입하고요. 발신자도 수신자와 친한 친구나 직장 동료, 회사 임원 등 수신자와 긴밀한 관계가 있는 사람으로 설정합니다. 이렇게 해서 메시지를 발송하면 수신자가 메일을 열어보거나 본문 내 첨부된 링크를 클릭할 확률이 높아지지요.