2025년 3월 12일
기술은 커뮤니케이션부터 쇼핑, 온라인 뱅킹에 이르기까지 일상적인 활동을 훨씬 더 쉽게 만들어주었습니다. 보안의 발전으로 디지털 생활도 그 어느 때보다 안전해졌습니다. 하지만 범죄자들은 항상 침입할 방법을 찾고 있으며, 그 중 가장 지키기 어려운 취약점이 바로 인간의 감정입니다.
이번 주에 발표된 연방거래위원회 보고서에 따르면 미국에서만 2024년에 사기로 인해 125억 달러 이상의 손실을 입은 소비자가 2023년에 비해 25%(% ) 증가한 것으로 나타났습니다. 소비자들은 투자자 사기로 인해 570만 달러의 가장 많은 돈을 잃었다고 보고했으며, 사기꾼 사기가 여전히 가장 많이 보고되었습니다. 사기범들이 피해자에게 연락하는 가장 일반적인 방법은 여전히 이메일이었으며, 전화와 문자 메시지가 그 뒤를 이었습니다.
"사이버 범죄자들은 종종 두려움, 호기심, 동정심, 자부심과 같은 인간의 감정에 의존하여 피해자를 속여 사기에 넘어가게 합니다."라고 마스터카드의 기업 보안 교육 및 인식 담당 책임자인 도나 매팅리는 말합니다. 소셜 엔지니어링 사기는 돈을 훔치거나 악성 소프트웨어(멀웨어)를 설치하거나 내부 정보를 얻기 위해 비즈니스 네트워크에 액세스하거나 전체 컴퓨터 네트워크를 다운시키는 데 사용될 수 있습니다. 사기꾼의 수법이 매우 복잡해졌기 때문에 사기꾼이 노리는 대상을 파악하기 어려울 수 있습니다.
또한 설득력도 높아졌습니다. 사이버 사기범들은 피해자를 속이기 위해 가짜 웹사이트를 만들고 정교한 가짜 신원을 만듭니다. 그리고 이제는 생성형 AI 기술을 사용하여 오해의 소지가 있는 이메일, 전화 통화(생성형 AI는 사랑하는 사람의 목소리를 모방할 수 있음), 이미지 및 비디오(딥페이크라고 함)를 매우 정교하게 만들어 가짜로 인식하기가 거의 불가능합니다.
최근 홍콩에서 발생한 사건에서 알 수 있듯이 조심하도록 훈련받은 사람들도 속을 수 있습니다. 한 다국적 금융 회사에서는 직원이 사기를 당해 회사 자금을 범죄 계좌로 이체하는 바람에 2,560만 달러의 손실을 입었습니다. 그는 회사의 CFO를 포함한 동료처럼 보이고 들리는 사람들과 딥페이크 화상 회의 통화에 속았지만 실제로는 컴퓨터로 생성된 사기꾼이었습니다.
사이버 범죄로부터 자신을 보호하려면 어떤 종류의 사기가 있는지 알아두면 이를 피하는 데 도움이 됩니다.
사회 공학은 다른 사람의 행동에 영향을 미치기 위해 속임수와 감정 조작을 사용하는 것입니다. 디지털 세상에서 사이버 범죄자들은 사회 공학적 전술을 사용하여 사람들을 속여 기밀 정보를 공개하거나 자신 또는 고용주에게 금전적 피해를 줄 수 있는 행동을 취하도록 유도합니다.
이러한 유형의 사이버 사기에는 사람들에게 현금을 건네거나 전자적으로 송금하도록 유도하는 것이 포함됩니다. 또한 사기꾼은 이를 이용해 주민등록번호, 신용카드 번호 또는 로그인 인증정보와 같은 개인 정보를 획득하여 나중에 돈을 훔치거나 사기를 저지르거나 다른 범죄자에게 판매할 수 있습니다.
소셜 엔지니어링 사기는 개인 컴퓨터 또는 회사 컴퓨터 네트워크에 액세스하여 데이터 또는 지적 재산을 훔치거나 바이러스 또는 랜섬웨어(사용자가 몸값을 지불할 때까지 파일을 잠그는 유해한 소프트웨어)를 설치하거나 시스템 오작동을 일으켜 업무를 중단시키려고 할 수 있습니다.
이들의 목표는 선거를 흔들거나 금융 시장을 조작하는 것까지 포함할 수 있습니다. 사이버 범죄자는 사람들을 속여 투자를 유도하는 가짜 뉴스, 보도 자료 또는 주식 실적 그래픽을 이메일로 보내거나 게시할 수 있습니다.
범죄자들은 항상 피해자가 있는 곳으로 향하기 때문에 다양한 형태의 소셜 엔지니어링 사기가 존재합니다. 우리가 새로운 소통과 연결 방법을 찾으면서 악의적인 행위자들은 우리의 감정적 취약점을 노리는 새로운 채널에 적합한 수법을 고안해냅니다.
피싱은 사기성 이메일을 통해 수신자를 유인하여 돈을 보내거나 기밀 정보를 공개하도록 유도하는 사회 공학적 수법입니다.
1990년대에 아프리카 왕족이라고 주장하는 사람이 긴급한 재정 지원을 요청했던 '나이지리아 왕자' 이메일을 기억하시나요? 지금은 비웃을지 모르지만, 이 광범위한 사기는 피싱의 가장 초창기이자 가장 기본적인 사례 중 하나였습니다. 초창기 이후 피싱 사기는 그 수와 복잡성이 점점 더 커지고 있습니다.
피싱 이메일의 경고 신호는 공포, 공황 또는 기타 강한 반응을 불러일으키는 메시지입니다. 금융 긴급 상황, 계정에서 '비정상적인 활동' 감지, 미지급 청구서 등 긴급한 상황을 제시하며 위협적으로 보이거나 즉각적인 조치를 취하도록 유도합니다.
사람들이 명확하게 생각할 시간을 갖기 전에 겁을 주어 응답하도록 유도하는 것이 목표입니다. 많은 피싱 이메일은 수신자에게 링크를 클릭하거나 첨부파일을 다운로드하도록 요청하지만, 이렇게 하면 악의적인 웹사이트에 연결되거나 컴퓨터 바이러스가 실행되거나 위험한 소프트웨어가 다운로드되는 등 의도하지 않은 결과를 초래할 수 있습니다.
피싱 링크를 클릭한 경우 컴퓨터나 디바이스의 인터넷 연결을 끊으세요. 이렇게 하면 악성 다운로드를 중단하거나 시작을 차단할 수 있습니다. 신뢰할 수 있는 보안 소프트웨어를 사용하여 시스템을 검사하고 바이러스나 멀웨어가 발견되면 지침을 따르세요.
가짜 웹사이트를 방문하는 동안 계정에 사용자 아이디와 비밀번호를 입력했다면 즉시 합법적인 사이트로 이동하여 변경하세요. 금전적 피해를 입힐 수 있는 정보를 공개했을 가능성이 있는 경우 은행에 문의하여 진행 방법에 대한 지침을 확인하세요.
신용 조회 기관이 있는 국가에 거주하는 경우 해당 기관에 문의하는 것이 좋습니다. 미국에서는 3대 신용 조사 기관이 사용자의 파일에서 의심스러운 활동이 있는지 확인할 수 있습니다. 또한 신용 파일을 무료로'동결'하고 '동결 해제' 할 수 있습니다. 마지막으로, 사이버 사기 또는 사기를 해당 기관에 신고하고 친구나 동료에게 사기에 대해 알려 실수를 반복하지 않도록 하세요.
스피어 피싱은 보다 개인화된 표적 피싱의 한 형태입니다. 사기범은 연락을 시작하기 전에 미리 조사를 하기 때문에 이름을 부르거나 회사 또는 지인을 사칭할 수 있습니다.
소셜 미디어에서 많은 세부 정보를 수집할 수 있는 경우가 많으므로 소셜 미디어 사이트에서 개인정보 보호 설정을 사용하여 게시물의 노출을 제한하는 것이 좋습니다.
웨일링은 기업 임원이나 기타 고위층을 직접 겨냥한 표적 피싱 공격입니다. 다시 말해, 조직의 큰 물고기('고래')를 의미합니다.
비싱은 이메일이 아닌 전화나 음성 메일 메시지를 이용하는 피싱의 한 형태입니다.
스미싱은 피싱의 또 다른 유형으로, SMS(문자) 메시지를 통해 잠재적 피해자를 노립니다.
퀴싱은 사기꾼이 가짜 QR 코드를 스캔하도록 유도하여 악성 웹사이트로 연결한 후 기밀 정보를 제공하거나 유해한 소프트웨어를 다운로드하도록 유도하는 피싱의 한 유형입니다.
지싱은 화상 회의 통화에서 발생하는 피싱 기법으로, 딥페이크 기술을 사용하여 피해자를 속입니다. "z"는 Zoom을 의미하지만 모든 플랫폼에서 발생할 수 있습니다.
앵글러 피싱은 비즈니스 또는 서비스에 대한 불만을 게시한 소셜 미디어 사용자를 대상으로 합니다. 사기범은 가짜 소셜 미디어 프로필을 만든 다음 도움을 원하는 고객 서비스 담당자로 사칭하여 원래 게시자에게 연락합니다. 이들은 개인 정보를 요구하고 범죄 행위에 사용합니다.
이메일 스푸핑은 사기범이 이메일 주소나 표시 이름을 위장하여 자신의 신분을 숨겨 수신자가 아는 사람이 보낸 것처럼 보이도록 하는 것입니다. 때때로 사기꾼은 한 글자만 다를 정도로 매우 유사한 이메일 계정을 사용하여 수신자가 불일치를 알아채지 못하는 경우가 있습니다.
비즈니스 이메일 침해는 사이버 범죄자가 기업 이메일 시스템을 해킹하여 경영진이 보낸 것처럼 보이는 이메일을 생성하는 것을 말합니다. 이 이메일은 다른 직원들이 기밀 금융 정보를 공개하거나 사기성 계좌로 돈을 송금하는 결제 이체를 승인하도록 유도하기 위해 만들어졌습니다.
스케어웨어 공격은 컴퓨터 사용자가 겁을 먹고 악성 소프트웨어를 설치하거나 바이러스에 감염된 파일을 열도록 유도합니다. 사용자는 자신의 컴퓨터가 위험한 바이러스에 감염되었다는 잘못된 경고 팝업 알림을 받을 수 있습니다. 그런 다음 가짜 소프트웨어를 구입하거나 돈을 송금하여 컴퓨터 잠금을 해제하라는 지시를 받습니다.
로맨스 또는 허니팟 사기는 범죄자가 데이트 앱과 웹사이트 또는 소셜 미디어 플랫폼에서 실제와 같은 프로필을 만들어 잠재적인 피해자에게 로맨틱한 관심을 보이는 척하는 것을 말합니다. 연애를 약속하며 금전을 요구하거나, 사기성 투자 또는 암호화폐 사기를 유도하거나, 금융 계좌에 접근하기 위해 개인정보를 요구합니다.
연애 사기범은 대화를 시작한 직후 문자나 이메일로 이동을 제안하는 방식으로 데이트 사이트의 안전장치를 우회하는 경우가 많습니다.
사기를 당했다면 은행 및 금융 계좌를 관리하는 다른 업체에 연락하여 무슨 일이 있었는지 알려주세요. 사용자 이름과 비밀번호를 변경하고 디지털 상호작용을 위한 다단계 인증을 사용 설정하세요. 범죄를 신고하여 미래의 피해자를 도와주세요.
대부분의 국가에는 사이버 사기 및 사기를 처리하는 중앙 기관이 있습니다. 미국에서는 연방거래위원회 웹사이트 또는 877-IDTHEFT(438-4338)로 전화하여 문의하세요. 유로폴은 개별 신고 웹사이트를 운영하는 회원국 목록을 보유하고 있습니다.
이 이야기는 원래 2024년 3월 7일에 게시되었으며 FTC의 새로운 통계로 업데이트되었습니다.