Phishing피싱

피싱(Phishing)은 공격자가 신뢰할 수 있는 기관(은행, 포털, IT 부서 등)을 사칭해 사용자의 자격증명, 금융 정보, 개인 데이터를 탈취하는 사회공학 공격이다.

피싱 유형

전형적인 피싱 시나리오

1. 공격자: "귀하의 계정에 비정상 로그인이 감지됐습니다.
            즉시 확인하세요" (긴박감 조성)
2. 링크: https://bank-security-verify.evil.com  (가짜 사이트)
3. 피해자: 로그인 정보 입력 → 공격자 탈취
4. 공격자: 실제 은행 사이트에서 자금 이체

피싱 식별 방법

• •발신 이메일 도메인 확인 (paypal-support.com ≠ paypal.com)
• •URL 주소창 도메인 검증 (HTTPS만으로는 안전하지 않음)
• •긴박감 조성 문구에 의심
• •첨부파일(.exe, .docm, .js 등) 주의

기술적 방어

SPF: 발신 IP가 도메인 허가된 서버인지 검증
DKIM: 이메일 내용 디지털 서명
DMARC: SPF+DKIM 실패 시 이메일 처리 정책
→ 세 가지 모두 설정 시 스푸핑 이메일 차단

관련 개념

• •사회 공학 공격 — 피싱이 속하는 상위 개념
• •2단계 인증 — 자격증명 탈취 후 추가 방어
• •제로 트러스트 — 피싱 이후에도 접근 제한
• •OWASP — 피싱 관련 보안 가이드라인