피싱 공격 방어하기

피싱이 구식 공격이라고 생각하십니까? 그렇지 않습니다. Anti-Phishing Working Group 에 따르면 이메일 스팸 필터링의 발전에도 불구하고 2014년 마지막 분기에 보고된 피싱 건수는 18%나 증가했고 보안 전문가들은 2016년에도 이 증가 추세가 계속될 것으로 예상하고 있습니다.

피싱은 암호, 보안 코드, 신용카드 번호와 같은 민감한 정보를 도용하는 것은 물론 개인용 장치 및 기업 시스템에 악성 코드를 설치하기 위해 여전히 널리 사용되는 전술입니다. LastPass 계정조차 피싱 공격의 대상이 될 수 있습니다. 피싱 공격으로부터 보호하기 위해서는 더욱 스마트한 감지 기술을 갖춘 소프트웨어 사용은 물론 공격에 대한 제1 방어선으로서 개개인의 철저한 준비도 필요합니다.

다음은 LastPass의 피싱 대처 방법, 피싱 감지 기능 향상을 위해 수행할 수 있는 일, 자신도 모르게 공격을 당했을 때 중요한 정보를 보호하는 방법입니다.

피싱이란?

피싱 공격은 다양한 형태로 행해집니다. 은행을 사칭하여 계정 활동 확인을 요청하는 이메일도 있고, 구매 확인을 위해 첨부한 문서를 다운로드하라는 가짜 청구서도 있습니다. 소셜 미디어의 악성 광고나 링크 형태를 취할 수도 있습니다. 신뢰할 수 있는 잘 알려진 사이트를 거의 똑같이 흉내 낸 로그인 페이지로 유도하기까지 합니다.

스피어피싱의 경우 좀 더 개인적인 수단을 이용하기도 합니다. 공격자는 동료나 상사 또는 회사의 IT 부서를 사칭하여 이메일을 보냅니다. 피해자에 대해 알아낸 정보를 바탕으로 합법적인 요청인 것처럼 위장하여 더 많은 정보를 요구하거나 악성 파일 다운로드 또는 송금을 유도합니다.

피싱 공격 감지 방법

대부분의 피싱 공격은 단순하고 감지하기 쉽지만 매우 교묘한 경우도 있으므로 의심스러운 이메일, 링크, 알림은 일단 조심하는 것이 좋습니다. 기본적인 피싱 공격 감지 방법은 다음과 같습니다.

  • URL 확인: 웹 사이트의 주소 표시줄을 보거나 링크 위로 커서를 올려 브라우저 왼쪽 하단에서 URL을 보고 믿을 수 있는 URL인지 아니면 사칭 URL인지 확인 후 실행하십시오. 예를 들어 LastPass의 경우 항상 https://lastpass.com 또는 https://subdomain.lastpass.com. 이라고 표시됩니다. 하지만 피싱 URL이라면 http://lastpass.otherdomain.com. 과 같은 URL을 사용할 수 있습니다. 이 경우 실제 도메인은 “otherdomain.com”이므로 피해야 합니다.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • 수신 대상 확인: “고객님께”라고 하거나 인사말이 없는 이메일은 의심해 보십시오. 오늘날 대부분의 소매업체에서는 고객 이름을 사용하여 이메일을 발송합니다. 하지만 스피어피싱의 경우 특정 고객을 공격 대상으로 삼아 수행되는 경우가 종종 있으므로 여전히 주의해야 합니다.
  • 직접 웹사이트 실행:확실하지 않은 경우 브라우저에서 새 탭이나 창을 열고 직접 URL을 입력(또는 암호 관리자에서 실행)해보면 합법적인 사이트인지 알 수 있습니다.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • 암호 관리자가 일치하는 로그인 정보를 표시하는지 확인: LastPass를 사용하면 가짜 사이트에서 로그인 정보를 자동 입력하지 않기 때문에 피싱을 방지할 수 있습니다. 도메인이 LastPass에 저장된 것과 일치하지 않으므로 데이터가 자동 입력되지 않습니다. 이 경우 URL을 확인하십시오.
  • 긴급 메시지로 표시된 경우 더 신중할 것: 빠른 조치를 요구하거나 먼저 고민하지 않고 행동하도록 유도할 경우 조심하십시오.
  • 스스로 질문하기: 내가 이 사람에게 첨부 파일 전송을 부탁했는가? 메시지의 성격이 내가 알고 있는 상대방답지 않은가? 의심될 때는 항상 경계하고 물어보십시오.
  • HTTPS://와 자물쇠 아이콘 확인: 웹 사이트에서 항상 보안 연결을 위해 HTTPS를 통해 연결하는지 URL 표시줄을 확인하고 자물쇠 아이콘이 있는지 확인하십시오. 이는 제3자 보안 업체가 해당 사이트를 인증했다는 뜻입니다. Screen Shot 2016-01-20 at 9.16.41 AM (2)

암호 관리자를 공격 대상으로 하는 피싱 공격

피싱 공격은 더 이상 악성 이메일, 광고 또는 소셜 미디어 링크로 제한되지 않습니다. 암호 관리자 가장을 포함하여 브라우저에서 사용하는 확장 기능을 대상으로 하는 피싱 공격도 존재합니다.

예를 들어 악성 웹 사이트에서 브라우저 확장 기능을 가장 하여 사용자 이름, 암호, 2단계 인증 코드와 같은 정보를 요청하는 알림을 표시할 수 있습니다. 이러한 알림의 경우 브라우저 확장 기능이 아니라 악성 웹 사이트에서 보낸 것임을 구분하기 어려울 수 있습니다.

LastPass의 피싱 공격 방지

  • LastPass 페이지가 아닌 페이지에서 마스터 암호가 입력되었음을 경고: LastPass 페이지가 아닌 페이지에서 LastPass 마스터 암호 입력을 시도하면 페이지에 마스터 암호를 제출하기도 전에 LastPass가 강력한 경고 팝업을 표시합니다. 따라서 마스터 암호가 도용되었을 수 있음을 즉시 파악하고 암호를 변경할 수 있습니다.
  • 알 수 없는 위치 또는 장치에서의 로그인에 대해 확인 요구: LastPass는 알 수 없는 위치나 장치에서 로그인을 시도할 때마다 확인 프로세스를 요구합니다. 사용자가 자신도 모르게 마스터 암호와 2단계 데이터를 입력한 경우 공격자가 이 데이터를 사용하려고 시도해도 이메일 확인 단계에서 막히게 됩니다. 공격자는 이메일 계정에 대한 액세스 권한도 얻어야 하는데, 그것 또한 이메일 계정에 대한 2단계 인증으로 차단됩니다. 사용자가 시작하지 않은 확인 요청이 표시된다면 그냥 무시하고 LastPass 저장소 계정 설정에서 마스터 암호를 업데이트하면 됩니다.
  • 로그오프 방지: 악성 페이지에서 가짜 LastPass 알림을 표시하여 로그아웃되었으므로 다시 로그인해야 한다고 하더라도 아직 LastPass 확장 기능에 로그인되어 있는지 확인하고, 이 확장 기능을 통해서만 로그인해야 합니다.

이에 더한 추가 조치로서 LastPass는 브라우저 뷰포트를 벗어난 알림을 안전하게 표시하는 방법을 제공하여 사용자를 보호하도록 Google 및 기타 브라우저에 권장하고 있습니다.

LastPass 계정 보호 방법

보안 조치 외에 다음과 같은 모범 사례를 따르면 더욱 안전하게 저장소를 보호할 수 있습니다.

  • 항상 LastPass 확장 기능을 통해 로그인합니다. LastPass에 로그인하는 가장 안전한 방법은 브라우저 도구 모음에서 확장 기능 아이콘을 클릭하는 것입니다. Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • 마스터 암호는 절대 재사용하지 마십시오. 마스터 암호를 재사용하면 다른 사람이 저장소를 도용할 위험성이 높아집니다. 항상 LastPass를 위한 고유한 마스터 암호를 사용하고 LastPass에 로그인하기 위해서가 아니라 다른 곳에서 마스터 암호를 입력할 경우 경고에 주의를 기울이십시오.
  • LastPass를 다운로드하는 위치에 주의하십시오. LastPass는 항상 LastPass.com 또는 브라우저나 장치에서 제공하는 추가 기능 스토어에서만 다운로드하십시오. 절대 제3자 다운로드 사이트에서 다운로드하지 말고 추가 기능 스토어에서 다운로드하더라도 LastPass와 비슷하지만 게시자 이름이 다르고 등급이 없으면 주의하십시오.
  • 마스터 암호는 절대 공유하지 마십시오. LastPass 팀은 절대로 마스터 암호를 묻지 않습니다. LastPass를 사칭하여 마스터 암호를 요구하는 경우 주의하십시오. 어떤 경우에도 암호를 공개하지 마십시오.
  • 2단계 인증을 추가하십시오. 보안을 강화하기 위해서는 여러 보호 계층으로 위험성을 줄여야 합니다. 2단계 인증 은 계정 액세스 전에 추가 정보를 요구합니다. 그것만으로 완벽한 해결책이 되는 것은 아니지만 계정 보호에 큰 도움이 됩니다.
  • 강력한 암호와 2단계 인증으로 이메일을 보호하십시오. 이메일 계정은 종종 자신의 온라인 세계에 대한 열쇠가 됩니다. 디지털 라이프가 이메일 계정에 달려 있다고 생각하고 보호하십시오. LastPass에서는 원한다면 외울 수 있도록 강도가 높으면서도 “발음할 수 있는” 암호를 생성할 수 있습니다. 이메일 제공업체가 2단계 인증을 제공하는 경우 항상 이 기능을 사용하십시오.

온라인 보안 유지를 위해서는 사용자와 업체가 모두 지속적으로 노력해야 합니다. LastPass가 새로운 위협에 대응하여 제품을 개선하고 보안 연구 커뮤니티와 함께 제품 강화에 힘쓰는 것처럼 사용자 여러분도 항상 보안에 신경 쓰시길 부탁드립니다. 저희도 사용자로서 이러한 보안 모범 사례를 따르기 위해 계속 노력할 것입니다.