피싱

피싱은 공격자가 합법적인 실체를 가장하여 피해자를 속이기 위해 '미끼'를 사용하는 수법을 말한다. 용어는 낚시를 뜻하는 'Fishing'에서 유래하였으며, 개인정보(Private Data)와 낚시의 합성어로 해석되기도 한다. 또한 1970년대 전화망 해킹을 뜻하던 '프리킹(Phreaking)'의 영향을 받은 것으로 추정된다.

공격자는 두려움, 공감, 탐욕과 같은 인간의 감정을 조작하여 피해자가 스스로 민감한 정보를 공유하거나 악성 소프트웨어를 다운로드하도록 유도한다. 이는 시스템의 기술적 허점을 뚫는 대신 사람의 심리적 취약점을 공략하기 때문에 사이버 보안에서 매우 치명적인 위협으로 간주된다.

피싱 공격은 다양한 채널을 통해 수행되며 다음과 같은 특징을 가진다.

• 메시지 위장: 동료, 상사, 권위자 또는 유명 브랜드의 대표자로 사칭하여 이메일이나 문자를 발송한다.
• URL 삽입: 메시지 내에 사기성 링크를 포함하여 가짜 웹사이트로 접속을 유도한다. 통계에 따르면 피싱 시도의 약 81.36%가 URL 삽입 방식을 사용한다.
• 심리적 압박: 인보이스 지불, 출금 안내, 대출 승인 등 긴급하거나 중요한 사안인 것처럼 꾸며 피해자가 냉정한 판단을 내리지 못하게 한다.
• 악성 첨부 파일: 이메일에 첨부된 문서나 실행 파일을 열도록 유도하여 랜섬웨어 등 맬웨어를 설치한다.
• 채널 병행: 탐지를 피하고 성공률을 높이기 위해 모바일 메신저, 전화, 문자 등을 동시에 활용하는 전략을 취하기도 한다.

피싱은 대상과 수단에 따라 여러 세부 유형으로 분류된다.

2026년 1분기 기준, 피싱 공격의 유형별 비중은 다음과 같다.

• 금융기관 사칭: 53.62%
• 대출 사기: 18.72%
• 정부·공공기관 사칭: 8.49%
• 텔레그램 사칭: 7.95%
• 구인 사기: 5.69%

특히 대출 사기 유형은 직전 분기 대비 205.15% 증가하며 급격한 상승세를 보였다. IBM의 데이터 유출 비용 보고서에 따르면 피싱으로 인한 침해는 조직에 평균 488만 달러의 비용을 초래하는 것으로 나타났다.

피싱 피해를 예방하기 위해서는 다음과 같은 보안 수칙을 준수해야 한다.

1. 출처 불분명한 URL 클릭 금지: 모르는 번호나 이메일로 온 링크는 클릭하지 않는다.
2. 발신처 확인: 민감한 정보를 요구하는 경우 해당 기관에 직접 전화하여 사실 여부를 확인한다.
3. 보안 제품 사용: 스마트폰과 PC에 백신 프로그램을 설치하고 최신 상태를 유지한다.
4. 수신 차단 설정: 불필요한 국제 발신 문자나 광고성 메시지를 차단한다.
5. 교육 및 훈련: 조직 차원에서 정기적인 보안 교육을 통해 피싱 인지 능력을 높인다.

피싱이 의심되거나 피해가 발생한 경우 즉시 해당 금융기관에 지급 정지를 요청하고, 경찰청(112)이나 한국인터넷진흥원(118)에 신고해야 한다.