구독해서 새 게시물에 대한 알림을 받으세요.

피싱이 난무했던 한 주간과 그러한 피싱이 여러분에게 의미하는 것

2024-08-16

6분 읽기
이 게시물은 English, 繁體中文, Français, Deutsch, 日本語, Español简体中文로도 이용할 수 있습니다.

인터넷상에서 악당 노릇을 하는 건 정말 수지 맞는 사업입니다. 사이버 보안 사고의 90% 이상에서 피싱이 공격의 근본 원인입니다. 이번 8월 셋째 주에는 미국 선거 및 미국, 이스라엘, 이란 간의 지정학적 분쟁을 겨냥한 피싱 공격이 보고되었으며, 기업에 6,000만 달러의 손실을 입힌 것으로 보도되었습니다.

30년 동안 이메일이 공격과 위험의 가장 큰 매개체가 되어 왔기 때문에 이제는 손을 쓸 수 없다고 생각할 수도 있지만, 그렇게 생각하는 것은 악의적인 공격자의 능력을 과신하는 것이며, 감지에 집중하는 방어자가 제어 능력을 장악하고 승리할 수 있다는 현실을 오해하는 것입니다.

피싱은 이메일 전용이거나 이에 관한 특정 프로토콜에 관한 것이 아닙니다. 쉽게 말해 피싱은 여러분이나 저 같은 사람으로 하여금 행동을 하여 자신도 모르게 피해를 입게 하려는 시도를 말합니다. 이 공격은 회사의 CEO 또는 CFO인 것처럼 가장하여 시각적으로 또는 조직 차원에서 진짜처럼 보이기 때문에 효과가 있습니다. 그 공격 유형을 분석해보면 Cloudflare에서 고객을 보호하는 악의적 이메일에서 가장 큰 영향을 미친 세 가지 주요 공격 벡터가 있습니다. 1. 링크 클릭(속임수 링크는 위협 지표의 35.6%) 2. 파일이나 맬웨어 다운로드(악성 첨부 파일은 위협 지표의 1.9%) 3. 링크나 파일이 없이 돈이나 지적 재산을 요구하는 비즈니스 이메일 침해(BEC) 피싱(위협 지표의 0.5%)

오늘날 Cloudflare에서는 저희가 멀티 채널 피싱이라고 부르는 현상이 증가하고 있음을 목격하고 있습니다. 링크, 파일을 보내고 BEC 작업을 유도할 수 있는 다른 채널로는 무엇이 있을까요? SMS(문자 메시지)와 공개 및 비공개 메시지 애플리케이션이 있습니다. 이는 점점 더 흔해지는 공격 벡터로, 이러한 채널을 통해 링크를 보낼 수 있는 기능과 사람들이 정보를 소비하고 작업하는 방식을 이용합니다. 그리고 공격자가 Google Workspace, Atlassian, Microsoft Office 365와 같이 일반적으로 사용되는 협업 도구에서 링크, 파일 및 BEC 피싱에 의존하는 클라우드 협업이 있습니다. 마지막으로, LinkedIn 및 X에서 사람들을 겨냥하는 웹 및 소셜 피싱이 있습니다. 궁극적으로, 피싱을 막으려는 모든 시도는 이러한 다양한 벡터를 감지하고 방어할 만큼 포괄적이어야 합니다.

여기에서 해당 기술과 제품에 대해 자세히 알아보세요

실제 사례

여러 가지 사실을 설명할 수도 있겠지만, 멀티 채널 피싱이 정교한 공격자를 통해 어떻게 악용되는지에 대한 예를 하나 들고 싶습니다.

다음 경우에는 임원에게 보낸 이메일 통지가 정크 폴더에 있습니다. Cloudflare Email Security 제품에서 뭔가 문제가 있음을 발견하고 해당 메일을 그곳으로 옮겼지만, 해당 이메일이 그 임원이 작업하고 있는 프로젝트와 관련이 있기 때문에 그 임원을 이를 합법적이라고 생각합니다. 회사 조직도에 대한 요청이 있고, 공격자는 이런 종류의 이메일을 계속 보낼 경우 발각될 수 있음을 알고 있으므로 실제 Google 양식에 대한 링크를 포함합니다.

  • 그 임원이 링크를 클릭하면 이는 합법적인 Google 양식이므로 다음과 같은 사항이 표시됩니다.

  • 조직도를 업로드해달라는 요청이 있는데, 다음과 같이 시도합니다.

  • 그 임원이 데이터를 끌어오기는 하지만, 문서에 '내부 전용' 워터마크가 있어 게이트웨이디지털 손실 방지(DLP) 엔진에서 감지되므로 결국 업로드되지 않습니다 .

  • 고도의 기술을 보유한 공격자는 더 나은 결과를 얻기 위해 긴급성을 이용합니다. 여기에서 공격자는 컨설턴트가 CEO에게 다시 보고해야 할 기한이 임박했다는 사실을 그 임원에게 알립니다. 문서를 업로드할 수 없게 되자, 임원은 공격자에게 다시 대응합니다. 공격자는 다른 업로드 방법을 시도하거나 최악의 경우 문서를 WhatsApp으로 보낼 것을 제안합니다.

  • 임원은 두 번째 이메일에서 제공한 웹사이트에 조직도를 업로드하려고 시도하는데, 이 사이트가 맬웨어를 로드할 것이라는 사실을 알지 못하지만, Cloudflare의 브라우저 격리에 로드되어 있어서 임원의 기기가 안전하게 보호되었습니다. 가장 중요한 점은 중요한 회사 문서를 업로드하려고 할 때 작업이 다시 중단된다는 것입니다.

  • 마지막으로 WhatsApp을 사용해도 저희가 이를 차단합니다.

사용 편의성

보안 솔루션을 설정하고 유지 관리하는 것은 장기적으로 보안에 매우 중요합니다. 하지만 IT 관리팀에서 각 제품을 지속해서 조정하고, 구성을 조정하며, 각 사용자의 요구 사항을 모니터링하게 하는 것은 비용이 많이 들고 관리팀에 상당한 오버헤드를 안겨주기 때문에 위험하기도 합니다.

앞선 예에서 임원을 보호하는 데는 네 단계만이 필요했습니다.

  1. 보호를 위해 Cloudflare의 장치 에이전트를 설치하고 로그인

단 몇 번의 클릭만으로, 장치 에이전트 클라이언트가 있는 모든 사람이 멀티 채널 피싱으로부터 보호받을 수 있으므로 최종 사용자와 관리자가 쉽게 사용할 수 있습니다. 클라이언트 설치가 허용되지 않는 조직의 경우 에이전트 없는 배포도 사용할 수 있습니다.

2.  Cloudflare의 보안 웹 게이트웨이를 통해 라우팅되는 모든 사용자 트래픽에 적용되는 정책을 구성. 이러한 정책을 통해 피싱 캠페인에 참여하는 것으로 알려진 사이트 등 고위험 사이트에 대한 액세스를 완전히 차단할 수 있습니다. 새로 등록된 도메인과 같이 의심스러울 수 있는 사이트의 경우 격리된 브라우저 액세스를 통해 사용자가 웹 사이트에 액세스할 수 있지만, 사용자 간의 상호 작용이 제한됩니다.

또한 이 임원은 조직도를 무료 클라우드 스토리지 서비스에 업로드하지 못했습니다. 조직에서 Cloudflare One의 Gateway브라우저 격리 솔루션을 사용하고 있었기 때문입니다. 이 솔루션은 원격 격리 환경에서 모든 무료 클라우드 스토리지 웹사이트를 로드하도록 구성되어 업로드가 불가능했을 뿐만 아니라 정보를 복사하여 붙여넣는 기능도 제거되었습니다.

또한, 이 임원은 WhatsApp을 통하여 악의적인 행위자와 대화를 할 수 있었지만, 이들의 파일은 관리자가 WhatsApp의 모든 업로드 및 다운로드를 차단하도록 구성한 Cloudflare One의 Gateway 솔루션으로 인해 차단되었습니다.

3. 업로드, 입력 또는 복사하여 붙여넣기 등을 해서는 안 되는 항목에 따라 DLP 정책을 설정합니다.

조직에서 Cloudflare One의 Gateway 및 DLP 솔루션을 사용하고 있으므로 이 임원은 조직도를 Google 양식에 업로드할 수 없었습니다. 이러한 보호 기능은 Google과 같은 유효한 웹 사이트에서도 모든 DLP 위반을 차단하도록 Gateway를 구성함으로써 구현됩니다.

4. Email Security를 배포하고 감지된 이메일 유형에 따라 자동 이동 규칙을 설정합니다.

앞선 예에서 임원은 Cloudflare의 이메일 보안이 받은 편지함을 보호했으므로 자신에게 전송된 여러 악의적 이메일을 전혀 받지 못했습니다. 도착한 피싱 이메일은 이메일 서명과 일치하지 않는 사람을 사칭하고 있었고, 이메일 보안의 구성이 임원의 IT 관리자가 설정한 원클릭 구성으로 인해 자동으로 스팸 폴더로 이동시켰기 때문에 스팸 폴더로 이동했습니다.

하지만 동급 최고의 감지 기능을 갖추고 있더라도, 모든 메트릭을 드릴 다운하여 지속적인 공격의 영향을 받는 개별 사용자에 대해 알 수 있는 능력을 갖추는 것이 중요함은 두말할 나위가 없습니다. 다음은 곧 출시될 개선된 이메일 보안 모니터링 대시보드의 목업입니다.

다음 단계

피싱은 30년 동안 존재해 왔음에도 여전히 명백하고 현존하는 위험이지만, 오늘날에는 원활하고 포괄적인 솔루션으로 효과적으로 감지하는 것이 자체적으로 보호할 수 있는 유일한 방법입니다.

단순히 이메일 보안만을 구매하려고 생각하고 있다면 그것만으로는 충분하지 않은 이유를 알 수 있습니다. 작업과 데이터가 이메일에만 국한되지 않기 때문에, 요즘 인력을 보호하려면 다중 계층 보호가 절대적으로 필요합니다. 다중 계층 보호는 모든 곳, 모든 장치에서 작동합니다. 피싱 방지 기능도 필요합니다.

여러 벤더를 함께 연결하여 이를 수행할 수는 있지만, 모두 함께 작동하는 것은 아닙니다. 멀티 벤더 접근 방식을 이용하면 비용 말고도, 일반적으로 조사, 유지 관리에 드는 오버헤드, 이미 허술한 IT 팀의 경우 균일성도 증가합니다.

Cloudflare 사용 여정의 시작 초기에 있는지 여부와 관계없이, Cloudflare One 제품군의 다양한 부분을 통합하면 전체적으로 피싱에 도움이 될 수 있음을 확인할 수 있습니다. 이미 Cloudflare와 함께하는 여정에 참여하고 있고, Fortune 500대 기업, 글로벌 조직, 정부 기관이 신뢰하는 99.99% 효과적인 이메일 감지 솔루션을 찾고 있으면 Cloudflare 이메일 보안이 도움이 될 수 있습니다.

Office 365를 실행하고 있고, 현재 이용하는 공급자는 불가능하지만 Cloudflare에서 제공할 수 있는 기능을 확인하고 싶으면 지금 Retro Scan을 시작할 수 있습니다.

이미 Cloudflare 이메일 보안 솔루션을 사용하고 있으면 여기에서 포괄적인 보호 기능에 대해 자세히 알아볼 수 있습니다.

Cloudflare에서는 전체 기업 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효과적으로 구축하도록 지원하며, 웹 사이트와 인터넷 애플리케이션을 가속화하고, DDoS 공격을 막으며, 해커를 막고, Zero Trust로 향하는 고객의 여정을 지원합니다.

어떤 장치로든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어 주는 Cloudflare의 무료 앱을 사용해 보세요.

더 나은 인터넷을 만들기 위한 Cloudflare의 사명을 자세히 알아보려면 여기에서 시작하세요. 새로운 커리어 경로를 찾고 있다면 채용 공고를 확인해 보세요.
Cloudflare OneEmail Security (KO)Remote Browser IsolationDLPSecure Web GatewayPhishing

X에서 팔로우하기

Pete Pang|@growthpang
Cloudflare|@cloudflare

관련 게시물

2024년 9월 24일 오후 1:00

A safer Internet with Cloudflare: free threat intelligence, analytics, and new threat detections

Today, we are taking some big steps forward in our mission to help build a better Internet. Cloudflare is giving everyone free access to 10+ different website and network security products and features....

2024년 5월 30일 오후 1:00

Disrupting FlyingYeti's campaign targeting Ukraine

In April and May 2024, Cloudforce One employed proactive defense measures to successfully prevent Russia-aligned threat actor FlyingYeti from launching their latest phishing campaign targeting Ukraine...

2024년 5월 30일 오후 12:12

Cloudflare acquires BastionZero to extend Zero Trust access to IT infrastructure

We’re excited to announce that BastionZero, a Zero Trust infrastructure access platform, has joined Cloudflare. This acquisition extends our Zero Trust Network Access (ZTNA) flows with native access management for infrastructure like servers, Kubernetes clusters, and databases...