사회의 빠른 디지털화가 개인 및 상업적 관계를 깊이 변화시킨 것은 비밀이 아닙니다. 2024년 연구에 따르면 온라인 사기로 인한 재정 손실이 1조 100억 원에 달했으며, 전년 대비 171% 증가했습니다.
그러나 이러한 변화는 사이버 범죄자들에게 공격 표면을 더욱 넓히기도 했습니다. 사이버 범죄자들은 점점 더 정교한 사기 계획을 실행하기 위해 사회 공학에 의존하고 있습니다.
가장 일반적인 것들 중에는 피싱, 스미싱, 비싱이 있습니다. 이러한 방법들은 사용하는 방법은 다르지만, 모두 같은 목표를 공유합니다. 즉, 피해자를 속여 민감한 정보, 특히 액세스 자격 증명을 훔치는 것입니다. 일반적으로 소비자를 대상으로 하는 사기와 관련이 있지만, 이러한 사회 공학 형태는 기업 환경에서도 매우 효과적입니다. 사기꾼들은 기업을 표적으로 하여 내부 시스템에 접근하고, 공급망을 손상시키고, 대규모 금융 사기를 실행하려고 합니다.
피싱, 스미싱, 그리고 빙은 같은 위협입니까?
설명을 시작하기 위해, 사회 공학이라는 용어는 사기꾼들이 피해자를 감정적이고 사회적으로 조종하여 자신의 이익에 반하는 행동을 하도록 하고, 그들의 안전을 위협하는 데 사용하는 일련의 기법을 의미한다는 것을 이해하는 것이 중요합니다.
피싱은 이러한 종류의 사기 중 가장 잘 알려진 유형입니다. 이메일 피싱 키트는 다크웹에서 발견될 수 있습니다. 이 분야 전문가가 아닌 사기꾼을 위해, 그들을 위해 이 서비스를 수행하는 사람들이 있습니다. 일반적으로 은행, 소매업체 또는 온라인 서비스와 같은 신뢰할 수 있는 기관을 가장한 이메일 또는 메시지를 보내는 것을 포함합니다.
목표는 수신자를 속여 악성 링크를 클릭하게 하여, 원본과 매우 유사한 가짜 사이트로 연결하고 비밀번호 및 신용카드 정보와 같은 민감한 정보를 획득하는 것입니다. Serpro 자료에 따르면, 피싱은 브라질에서 가장 빈번한 사기 유형 중 하나이며, 범죄자들은 인공지능(AI)과 딥페이크를 사용하여 더욱 설득력 있고 맞춤화된 콘텐츠를 만들면서 전략을 개선하고 있습니다. 최근 사례로는 딥페이크를 사용하여 조작된 마르코스 미온 씨의 이미지와 목소리를 활용한 사기 행각에 연루된 남성이 체포되었습니다.
사기꾼들은 또한, 임직원들이 돈을 이체하거나 자격 증명을 제공하도록 유도하기 위해 경영진을 사칭하는 이메일을 사용하는 Business Email Compromise(BEC) 및 가짜 CEO 사기와 같은 사기를 저지릅니다.
반면에, 스미싱(SMS와 피싱의 결합)은 피해자를 속이기 위해 문자 메시지를 사용합니다. WhatsApp과 Telegram과 같은 메신저 앱의 보급으로 인해 이 방법은 긴급하거나 중요해 보이는 메시지에 빠르게 응답하는 사람들의 경향을 이용하며 발전했습니다.
음성 피싱(vishing)은 사기꾼이 회사나 기관의 직원인 척 전화를 걸어 이루어집니다. 설득력 있는 말투와 이전 데이터 유출로 얻은 정보를 활용하여 피해자들은 전화로 개인 정보를 공유할 가능성이 높아집니다. 이러한 사기는 특히 대기업을 포함한 브라질 기업들에게 점점 더 큰 피해를 주고 있습니다.
과거 계정이 범죄자들에게 가장 귀중한 자산입니다.
이러한 사기의 증가는 계정 기반 생태계가 지닌 가치와 직접적인 관련이 있습니다. 오래되고 신뢰할 수 있는 계정은 범죄자들에게 직접적인 돈 절도보다 더 큰 가치를 지닙니다. 왜냐하면 합법적인 활동 기록이 있는 계정은 기존의 사기 탐지 시스템을 통해 자동으로 감지될 가능성이 훨씬 낮기 때문입니다.
사기꾼들은 피싱과 그 변형을 함께 사용하여 해당 계정에 접근합니다. 이 계정들은 수년간의 관계와 신뢰도를 입증하는 거래 내역을 가질 수 있습니다. 한 번 계정에 침투하면 범죄자는 구매 내역, 행동 패턴을 분석하고, 심지어 일부 경우에는 고객 지원팀과 상호 작용하여 실제 계정 소유자를 가장할 수 있습니다.
네톤의 보고서에 따르면, 일부 사기꾼들은 지원 담당자와 관계를 맺어 계정 변경을 유도하여 사기를 저지르는 경우가 있습니다. 이러한 과정은 계정 탈취(account takeover)로 알려져 있습니다. 이러한 공격은 직접적인 재정적 손실뿐만 아니라 플랫폼과 디지털 서비스에 대한 신뢰를 저해합니다.
인공지능과 자동화가 사기 행위에 미치는 영향
역사적으로, 사회 공학 캠페인은 계획, 시간, 그리고 일정 정도의 수작업 맞춤화가 필요했습니다. 그러나 생성형 언어 모델(LLM)의 대규모 채택으로 이러한 상황이 완전히 바뀌었습니다.
오늘날, 생성형 AI 기반의 자동화된 도구를 통해 범죄자들은 몇 분 만에 피싱 공격을 만들고 실행할 수 있습니다. 예전에는 숙련된 필력이나 시간이 필요했던, 잘 작성된 텍스트는 이제 높은 수준의 정교함으로 자동 생성됩니다. 결과적으로 이러한 공격의 규모와 빈도는 놀라울 정도로 증가했습니다.
이러한 성장은 사기 캠페인의 범위가 확대된 것뿐만 아니라 인공지능(AI)과 자동화를 기반으로 하는 새로운 기술의 효율성을 반영합니다.
피싱, 스미싱, 비싱이 개인 소비자만의 위협이라고 생각하는 사람은 잘못 알고 있습니다. 기업들도, 특히 기업 자격 증명이 다크웹에서 노출될 때, 이러한 사기의 빈번한 희생자입니다. 네톤의 분석에 따르면, 사기꾼들은 직원의 유출된 데이터를 확보하여 내부 시스템 및 민감한 데이터베이스에 특권적인 접근 권한을 얻을 수 있습니다.
그 후, 그들은 미묘한 행동을 합니다. 회사의 구매 또는 거래 행태를 연구하고, 기술 또는 영업 지원팀과 상호 작용을 만들며, 점진적으로 내부 프로세스를 조작하여 의심을 즉각적으로 일으키지 않고 사기 거래를 실행합니다. 이러한 행위는 조직의 보안뿐만 아니라 고객 및 파트너와의 신뢰 관계에도 악영향을 미칩니다.
이러한 위협으로부터 어떻게 보호할 수 있습니까?
피싱, 스미싱, 및 비싱 방지에는 기술, 프로세스 및 인식이 결합되어 있습니다.
교육과 인식 제고 첫 번째 방어선은 항상 사람입니다. 기업과 사용자 모두 이러한 사기 행위의 일반적인 징후, 예를 들어 맞춤법 오류, 메시지의 과도한 긴급성, 민감한 정보 요청, 그리고 비정상적인 소통 채널을 인지하도록 교육받아야 합니다.
다인증 (MFA): 신뢰할 수 있는 자격증이 손상되더라도, 다중 인증 계층을 사용하면 무단 접근이 어려워집니다.
**Credential Monitoring** 암웹에서 자격 증명 노출을 모니터링하는 도구는 기업과 개인이 빠르게 유출 사항을 인지하는 데 필수적입니다.
AI 기반 사기 탐지 시스템 범죄자들과 마찬가지로, 기업들도 잠재적인 침입이나 사기 시도를 나타내는 비정상적인 행동 패턴을 감지하기 위해 인공지능에 의존해야 합니다.
신뢰가 귀중한 자원인 시대에, 자격 증명을 보호하고 경계심을 유지하는 것은 개인과 기업의 디지털 무결성을 지키는 데 필수적입니다.
