사회가 빠르게 디지털화됨에 따라 개인 및 상업적 관계가 깊이 변화한 것은 비밀이 아니다. 연구에 따르면 2024년 온라인 사기로 인한 재정 손실은 101억 브라질 헤알에 달했으며, 이는 전년 대비 17% 증가한 수치입니다.
그러나 이 변화는 사이버 범죄자들의 공격 표면도 확대시켰으며, 이들은 점점 더 정교한 사기 계획을 수행하기 위해 사회 공학에 의존하고 있습니다.
가장 흔한 것들 중에는 피싱, 스미싱, 비싱이 있는데, 이들은 사용하는 방법이 다르지만 공통된 목표를 가지고 있습니다: 피해자를 속여 민감한 정보를 훔치거나 특히 계정 자격 증명을 빼내는 것. 전통적으로 소비자를 대상으로 한 사기와 관련되어 있지만, 이러한 사회공학 기법은 기업 환경에서도 매우 효과적입니다. 사기꾼들은 내부 시스템에 접근하기 위해 기업을 목표로 삼아 공급망을 손상시키고 대규모 금융 사기를 실행합니다.
피싱, 스미싱, 비싱은 같은 위협인가요?
설명을 시작하기 위해, 사회공학이라는 용어는 사기꾼들이 희생자를 감정적이고 사회적으로 조작하여 자신의 이익에 반하는 행동을 하도록 유도하고 그들의 안전을 위협하는 일련의 기술을 의미한다는 것을 이해하는 것이 중요하다.
피싱은 이 유형의 사기 중 가장 잘 알려진 유형입니다. 이메일 피싱 키트는 다크웹에서 찾을 수 있습니다. 전문가가 아닌 사기꾼들을 위해 그들을 대신하여 서비스를 수행하는 사람들이 있다. 일반적으로 신뢰할 수 있는 기관(은행, 소매업체 또는 온라인 서비스 등)을 가장하는 이메일이나 메시지의 발송을 포함합니다.
목표는 수신자가 악성 링크를 클릭하도록 속여서 가짜 사이트로 연결되게 하는 것으로, 원본과 매우 유사하며 비밀번호 및 신분증 번호 또는 신용카드 정보와 같은 민감한 정보를 탈취하는 것이 목적입니다. Serpro의 데이터에 따르면 피싱은 브라질에서 가장 흔한 사기 유형 중 하나이며, 범죄자들은 인공지능(AI)과 딥페이크를 활용하여 더욱 설득력 있고 맞춤화된 콘텐츠를 만들어내는 전략을 계속해서 발전시키고 있습니다. 최근 사례는 딥페이크를 이용한 영상과 목소리를 조작하여 마르코스 미온 진행자의 이미지를 사용하는 범죄 단체에 가담한 남성을 체포한 것이다.
사기꾼들은 또한 경영진 사칭 이메일(BEC) 및 가짜 CEO 사기와 같은 사기를 수행하며, 임직원을 속여 돈을 이체하거나 자격 증명을 제공하도록 유도하는 이메일을 사용합니다.
반면, 스미싱(문자 메시지와 피싱의 결합)은 문자 메시지를 이용하여 피해자를 속입니다. WhatsApp과 Telegram과 같은 메시징 앱의 대중화로 인해 이 방법이 힘을 얻었으며, 긴급하거나 중요한 것처럼 보이는 메시지에 신속하게 응답하려는 사람들의 경향을 활용하고 있습니다.
그렇다면 음성 피싱(보이스 피싱)은 전화 통화를 통해 이루어지며, 사기꾼이 회사 또는 기관의 대표자인 척하는 방식입니다. 설득력 있는 어조와 이전 유출된 데이터를 활용하는 것이 피해자들이 전화로 기밀 정보를 공유할 가능성을 높입니다. 이러한 유형의 사기는 점점 더 많은 브라질 기업, 특히 대기업들을 대상으로 하고 있습니다.
오래된 계좌는 범죄자들에게 가장 가치 있는 자산입니다
이 사기 행위의 증가는 계정을 기반으로 한 생태계가 나타내는 가치와 직접적으로 관련이 있습니다. 오래되고 신뢰할 수 있는 계정은 범죄자들에게 직접 돈을 훔치는 것보다 더 가치가 있습니다. 이는 정당한 활동 기록이 있는 계정이 전통적인 사기 탐지 시스템에 의해 자동으로 감지될 가능성이 적기 때문입니다.
사기꾼들은 피싱과 그 변형들을 함께 사용하여 이러한 계정에 접근하는데, 이 계정들은 수년간의 관계와 거래를 통해 그들의 평판을 입증할 수 있습니다. 일단 내부에 들어가면 범죄자는 구매 기록, 행동 패턴을 연구할 수 있으며, 경우에 따라 고객 서비스와 상호작용하여 계정의 정당한 소유자인 척할 수도 있습니다.
네스톤 보고서에 따르면, 일부 사기꾼들은 지원 담당자와의 관계를 구축하여 그들을 속이고 계정 변경을 유도하여 사기 실행을 용이하게 하는데, 이를 계정 탈취(account takeover)라고 합니다. 이러한 유형의 공격은 직접적인 재정적 손실을 초래할 뿐만 아니라 디지털 플랫폼과 서비스에 대한 신뢰도도 훼손합니다.
인공지능과 자동화가 사기에 미치는 영향
역사적으로, 사회 공학 캠페인은 계획, 시간, 그리고 일정 수준의 수작업 맞춤화를 필요로 했습니다. 그러나 대규모 생성 언어 모델(LLMs)의 채택은 이 상황을 완전히 바꾸어 놓았습니다.
오늘날, 생성형 AI 기반 자동화 도구를 통해 범죄자들은 몇 분 만에 피싱 캠페인을 생성하고 실행할 수 있습니다. 잘 쓰여진 텍스트는 이전에는 유창성이나 시간이 필요했지만, 이제는 높은 정교함으로 자동 생성됩니다. 그 결과, 이러한 공격의 규모와 빈도가 놀라울 정도로 증가했습니다.
이 성장은 사기 캠페인의 도달 범위 확대뿐만 아니라 인공지능과 자동화에 기반한 새로운 기술의 효율성도 반영합니다.
피싱, 스미싱, 비싱이 개인 소비자에게만 해당하는 위험이라고 생각하는 사람은 오해하고 있다. 기업들도 특히 다크웹에 기업 자격 증명이 노출될 때 이러한 사기의 자주 희생자가 됩니다. 네스톤의 분석에 따르면, 사기꾼들은 직원들의 유출된 데이터를 획득하여 내부 시스템과 민감한 데이터베이스에 대한 특권적 접근 권한을 얻을 수 있습니다.
그때부터 그들은 미묘한 움직임을 보입니다: 회사의 구매 또는 운영 행동을 연구하고, 기술 지원 또는 영업팀과 상호작용을 하며, 내부 프로세스를 점진적으로 조작하여 즉각적인 의심을 불러일으키지 않는 사기 거래를 수행합니다. 이 관행은 조직의 안전뿐만 아니라 고객 및 파트너와의 신뢰 관계도 훼손합니다.
이러한 위협으로부터 어떻게 보호할 수 있나요?
피싱, 스미싱 및 비싱 방지는 기술, 프로세스 및 인식의 조합을 포함합니다.
교육과 인식 제고:첫 번째 방어선은 항상 사람입니다. 기업과 사용자 모두는 철자 오류, 메시지의 과도한 긴급성, 민감한 정보 요청, 비정상적인 커뮤니케이션 채널과 같은 이러한 사기의 일반적인 신호를 인식하도록 교육받아야 합니다.
다중 인증(MFA):자격 증명이 손상되더라도 다중 인증 계층을 사용하면 무단 액세스가 어렵습니다.
자격 증명 모니터링:다크웹에서 자격 증명 노출을 모니터링하는 도구는 기업과 개인이 유출에 대해 신속하게 경고받을 수 있도록 필수적입니다.
인공지능 기반 사기 탐지 시스템범죄자들처럼 기업들도 이상 행동 패턴을 감지하기 위해 인공지능에 의존해야 하며, 이는 잠재적인 침입이나 사기 시도를 나타낼 수 있습니다.
신뢰가 귀중한 화폐인 시대에, 자격 증명을 보호하고 경계 태도를 유지하는 것은 개인과 기업의 디지털 무결성을 지키는 데 필수적입니다.
