[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

01. 개인 해킹? 기업 침투? 표적은 다르지만 위험은 같다

추석은 가족, 연인, 친구, 반려동물들과 따뜻한 시간을 보낼 수 있는 시간입니다. 그러나, 반가움과 휴식에 우리의 마음이 느슨해지는 빈틈을 노려, 공격을 감행하는 사이버 공격자들도 존재합니다. 단 한 번의 부주의가 마음의 상처와 금전적 피해로 이어질 수 있어, 추석은 그 어느 때보다 면밀한 보안 점검이 필요한 때이기도 합니다. 이번 보안101에서는 추석과 같은 명절 기간 빈번히 발생하는 사이버 공격 유형과 이에 대한 대응책을 알아보도록 하겠습니다.

02. 휴대폰 속 작은 메시지, 큰 피해의 시작 (개인 타깃 공격)

휴대폰 사용자라면 단 한 번도 ‘스미싱(smishing)’ 문자를 안 받아보신 분은 없으실 겁니다. 스미싱은 ‘SMS(Short Message Service)’와 ‘피싱(phishing)’의 합성어이고, 피싱은 ‘개인 정보(private data)’와 ‘낚시(fishing)’의 합성어입니다. 즉, 스미싱은 악의적 의도가 담긴 문자를 이용해 사용자를 속인 뒤, 민감한 개인 정보 혹은 금융 정보를 알아내 사기 등을 저지르는 악성 행위를 의미하죠.

추석 연휴에 주로 발생하는 ‘스미싱’ 유형은 뭐가 있을까요?

✅ 먼저, 지인의 메시지나 선물을 사칭한 문자에 주의를 기울일 필요가 있습니다. 명절 인사 문자, 추석 선물 도착, 기프티콘 지급 등으로 속여 문자 내 포함된 악성 링크 클릭을 유도하는 경우가 적지 않기 때문이죠.

✅ 택배사인양 위장한 공격 시도도 살펴봐야 합니다. 공격자들은 명절 전 많은 선물이 오가는 점에 감안해, ‘주소 불명으로 반송’, ‘배송조회’ 등의 내용으로 실제 택배사 앱과 매우 흡사한 악성 앱을 설치하게 만드는 문자를 보내고 있습니다.

✅ 공공 기관을 사칭하는 문자도 조심해야 합니다. 교통법규 위반 범칙금, 쓰레기 무단투기 과태료와 더불어, 최근에는 민생회복지원금 지급 안내를 사칭한 문자도 증가하고 있는 추세입니다. 특히, 연휴에는 유선전화 확인이 어려울 수 있는 바 각별한 주의가 요구됩니다.

공공기관 사칭 문자는 어떻게 구별하면 좋을까요?

✅ 의심되는 내용이 있다면, 문자 내 링크·첨부 파일을 클릭하지 말고 해당 기관의 공식 번호와 인터넷 웹페이지 주소를 확인하세요. 필요 시에는 기관에 전화하여 사실 여부를 재확인하시는 것이 좋습니다.

- 공공기관은 ‘휴대폰 번호’로 문자를 보내지 않고, 문자로 앱 설치나 로그인 링크를 보내지 않습니다. 또한 주민등록번호, 계좌정보 등의 개인·금융 정보 입력 및 앱 설치를 문자로 요구하지 않습니다.
- 발신 번호가 기관의 공식 번호와 다르거나, URL이 공식 도메인이 아니라면 한번 더 살펴봐야 합니다.

✅ 문자 내용 내 비정상적인 긴급성이 있는지 살펴보세요.

- 공공기관은 ‘미납금 즉시 납부’, ‘계좌 즉시 변경’ 등 판단력을 흐리게 하는 압박성 문구를 포함하여 문자를 보내지 않습니다. 또한, 중요 사안의 경우 SMS 한 통만으로 긴급 통보하지 않고 사전 안내, 우편, 전화 등의 복수 채널로 내용을 통지하니, 문자로만 통보가 온 경우에는 한번 더 의심할 필요가 있습니다.

✅ 문장과 표현이 어색하지 않은지, 기관명과 직책을 과도하게 강조하지 않는지 따져보세요.

- 맞춤법, 띄어쓰기 등 공공기관에서 발신한 문자로 보기에 어색한 표현이 많진 않은지, 공공기관과 부서, 담당자가 실재하는지 여부도 따져보아야 합니다.
- 최근에는 생성형AI를 악용해 자연스러운 문구를 만드는 공격자들도 늘어나고 있는 바, 면밀한 주의가 요구됩니다.

03. 한 번의 클릭, 수억 원이 사라진다 (조직 타깃 공격)

기업의 경우는 어떨까요? 공격자들은 보안 인력 투입이 기존 대비 감소하거나 점검이 느슨해질 수 있는 틈을 노려, 조직의 시스템과 정보·금융 자산을 탈취하는 공격을 감행하고 있습니다. 정보를 암호화하는 ‘랜섬웨어(Ransomware)’, 경영진을 사칭하는 ‘비즈니스 이메일 침해 공격(BEC)’, 임의의 대량 수신자가 아닌 특정 개인과 조직에 맞춤화된 ‘스피어피싱(Spear Phishing)’이 대표적입니다.

먼저, 공격자들은 직장인들의 필수 업무 도구인 이메일을 사용해, 수많은 ‘피싱’ 메일을 보냅니다. 신뢰할 수 있는 기관, 기업, 거래처로 위장한 메일을 보내 특정 사이트 로그인을 유도하거나 첨부 파일을 실행하게 만들어, 정보 탈취 또는 악성코드 감염을 유도하죠.

공격자들은 기업이나 기관의 특정 담당자 이메일 계정을 탈취한 뒤, 이메일 송·수신 과정을 조작해 심리적으로 상대방을 압박하는 기법을 사용하기도 합니다. 최고 재무 책임자(CFO) 인양 위장해 금전 이체 권한을 가진 실무 담당자에게 급박한 금전 이체를 요구하는 식이죠.

공격자들은 랜섬웨어도 보냅니다. 공격자가 특정 기업의 C-레벨 임원(CXO) 이메일을 파악해 랜섬웨어 파일이 첨부된 이메일을 보낸다면 어떻게 될까요? CXO가 이 파일을 열지 않았더라도 CXO가 이를 직원에게 전달한다면, 이 직원이 랜섬웨어를 열어 감염될 가능성이 높아질 것입니다.

공격 목적에 따라 특정 임직원을 표적으로 삼은 더 정교한 공격도 수행합니다. 목표 대상에 대한 장시간의 정찰을 통해 충분한 정보를 습득한 후, 작살 낚시(Spear Phishing)와 유사하게 이 목표만 정확히 겨냥하는 것이죠. 개인화된 내용이 담겨 있으므로 탐지·차단이 더 까다로울 수밖에 없습니다.

공격자들은 접속 관리가 미흡한 계정을 공격의 교두보로 삼아 침투하기도 합니다. 미처 비활성화하지 못한 유지보수업체 계정으로 미인가 로그인 시도를 하거나, 외부에 노출된 장비에 일반적으로 잘 알려진 초기 설정 아이디/비밀번호를 대입하는 식입니다.

공격자들은 외부에 노출된 IT 시스템, 네트워크 장비의 취약점도 공격에 적극 활용합니다. 보안 패치가 지연된 장비의 취약점을 스캔하고 이를 악용해 침투한 뒤, 악성코드 설치, 사용자 권한 탈취 등의 원격 코드를 실행하는 것이 대표적이죠. 관리자 권한 확보 시에는 시스템 전체를 장악할 수도 있습니다.

실제로 이글루코퍼레이션이 조사한 결과에 따르면, 작년 추석 연휴 기간에는 정보 수집(36.1%), 웹 취약점 악용 (29.8%), 비인가 접근 시도(17.8%), 시스템 취약점 악용 (14.4%) 공격이 주로 발생한 것으로 나타났습니다.

04. 추석에도 방심은 금물 – 공격자에 맞서는 우리의 자세

이러한 공격자에 맞서 안전한 추석 연휴를 보내기 위해, 우리는 어떤 준비를 해야 할까요? 개인의 경우에는 하기 예방 수칙을 눈여겨봐 주시고 준수해 주시면 좋겠습니다.

✅ 문자와 이메일 내 출처가 불분명한 URL 누르기 및 첨부 파일 실행 자제하기, 문자/이메일 바로 삭제하기 ✅ 공식 마켓에 업로드된 애플리케이션만 설치하기 ✅ 계좌 변경 또는 결제를 요청하는 내용을 받을 시에는 반드시 전화 등 2차 채널로 재확인하기 (가족, 친척, 지인을 사칭한 공격자일수도 있으므로 반드시 재확인하기) ✅ 스마트폰과 개인용 컴퓨터(PC)에 설치된 안티 바이러스를 최신 상태로 유지하기 ✅ 가족과 친구, 임직원 대상으로 보호 수칙 공유하기

조직의 경우에는 연휴 전, 연휴 중, 연휴 후로 나눠 보안 대책을 마련 및 적용하는 것을 권고드립니다.

구분	점검 항목	세부 내용
연휴 전	계정 관리 강화	- 최초 설정된 기본 패스워드 변경 여부 점검. - 미사용 관리자 계정 비활성화 및 권한 제외. - 주요 시스템에 대한 비밀번호 변경 여부 점검. - 2차 인증 적용 여부 점검. - 관리자 계정 접근 방침 강화. - 유지보수업체의 원격접근 제어 강화. - 외부에 오픈된 시스템 현황 파악 및 불필요한 외부 접속 차단.
연휴 전	비상 연락망 최신화	- 공격 상황 별 대응 시나리오에 기반해 비상 연락망 현행화 - 담당자와 수행 업무, 일원화된 대응 프로세스를 포함한 대응 방법론 적용
연휴 전	데이터 백업	- 중요 자료는 네트워크와 분리된 별도의 저장소에 정기적으로 백업, 사전 복구 테스트 진행.
연휴 전	취약점 점검	- 운영체제, 응용프로그램에 대한 취약점 점검 및 최신 보안 업데이트 적용 (OS·서버·DB·그룹웨어·ERP 등) - 외부에 노출된 조직 IT자산에 대한 공격표면관리(ASM) 수행
연휴 중	모니터링 및 대응 체계 유지	- 24시간 보안관제 체계 유지 - 이상 행위 실시간 모니터링 수행 - 출입통제 강화 (서버, 네트워크 장비실 등) ※만일의 침해사고 발생 시, 한국인터넷진흥원에 신고 (한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)
연휴 후	점검하기	- 연휴 기간 동안의 로그 접속·변경·오류 분석 - 계정 및 권한 재점검 - 발견된 취약점 및 공격 시도 기반 모의 훈련 실시 - 보완이 필요한 보안 요소 도출, 솔루션/서비스 도입 고려

05. 위험은 휴식 없이 다가온다 - 연휴에도 흔들림 없는 보안 태세 유지하세요

보안은 일회성 기능이 아닌 개인, 조직의 안전 철학이자 내재화된 습관입니다. 연휴 전-중-후를 아우르는 보안 모니터링 및 수칙 준수를 통해, 가족과 임직원의 보안 태세를 강화할 수 있습니다.

이글루코퍼레이션 역시 평소와 다름없는 강력한 대응 체계를 유지하고자, ‘이글루코퍼레이션 사이버비상대응체계(i-CERT)’를 토대로 위험 상황을 실시간 전파하고 최적의 대응 방안을 실행합니다. i-CERT 구성원들은 국가 사이버 위기 단계 및 국제침해사고대응협의회(FIRST) 등의 위험정보를 반영한 위기관리체계에 기반해, 국내·외 위협정보를 공유하고 탐지 정책을 적용하고 있습니다.

안전한 보안 관리로 모두가 풍성하고 평온한 추석 연휴 보내시길 기원하겠습니다.

💌 후속 콘텐츠, 계속 받아보세요 ▶