짐페리움 랩스(Zimperium Labs)가 발표한 보고서에 따르면, 모바일을 겨냥한 피싱(M-ishing) 공격이 크게 증가하고 있으며, 현재 5개 중 4개 이상의 피싱 사이트가 모바일 기기를 대상으로 하고 있는 것으로 나타났다.
이번 연구 데이터에 따르면, 절반 이상(54%)의 조직은 모바일 기기를 통해 민감하고 기밀한 정보에 부적절하게 액세스한 직원으로 인해 데이터 유출을 경험했다고 밝혔다.
보고서는 “주목할 만한 점은 2023년 짐페리움이 조사한 피싱 사이트의 82%가 특히 모바일 기기를 대상으로 하고 모바일용으로 포맷된 콘텐츠를 제공했다는 것이며, 이는 지난 3년간 7% 증가한 수치다. 이런 추세는 모바일 사용자를 대상으로 하는 피싱 공격이 증가하고 있음을 강조한다”라고 설명했다.
이런 추세의 주요 원인으로는 업무용 개인 기기 사용 증가, 모바일 기기의 낮은 사이버 위생 수준, 그리고 인공지능을 활용한 악의적 행위자가 있었다.
해킹이 더 쉬워지면서 공격 표면이 증가
짐페리움에 따르면 증가 추세는 데스크톱 시스템에 비해 모바일 기기의 보안 조치가 부족한 것과 관련이 있었다. 모바일 기기의 낮은 보안 위생 수준과 작은 화면 크기로 인해 사용자들이 피싱 시도와 숨겨진 URL 표시줄을 알아차리기 어려울 수 있다.
최근 직장에서 모바일 기기 사용이 증가하고 있다는 점을 고려하면, 이들을 대상으로 한 피싱은 즉각적인 관심이 필요한 주제로 떠오르고 있다. 연구에 따르면 직원의 71%가 업무에 스마트폰을 사용하고 있으며, 60%가 모바일 기기로 업무 관련 소통을 하고 있다.
현재 82%의 직원은 어떤 형태로든 개인 기기 사용(BYOD)이 허용되고 있으며, 이로 인해 약 절반(48%)의 직원이 개인 스마트폰을 사용해 업무 관련 정보에 접근하고 있다. 각 직원은 평균적으로 하루 3시간을 업무용 스마트폰 사용에 할애하고 있다.
키퍼 시큐리티(Keeper Security)의 보안 및 아키텍처 부문 부사장인 패트릭 티케는 “모바일 기기가 비즈니스 운영에 필수 요소가 되면서, 특히 다양한 유형의 피싱 공격으로부터 보호하는 것이 매우 중요해졌다”라고 설명했다. 그는 “조직은 강력한 모바일 기기 관리(MDM) 정책을 구현해 회사에서 제공한 기기와 BYOD 기기 모두 보안 표준을 준수하도록 해야 한다. 기기와 보안 소프트웨어를 정기적으로 업데이트하면 취약점을 신속히 패치하여 모바일 사용자를 대상으로 하는 알려진 위협으로부터 보호할 수 있다”라고 조언했다.
정교해지는 모바일 피싱
모바일 피싱은 공공 부문(10%)과 민간 부문 모두에서 모바일 공간을 괴롭히는 최대 보안 과제로 지목됐다. 더 중요한 점은 76%의 피싱 사이트가 HTTPS를 사용하여 사용자에게 통신 프로토콜에 대한 잘못된 인식을 심고 있다는 것이다.
짐페리움의 제품 전략 부사장인 크리슈나 비슈누보틀라는 “HTTPS를 사용한 피싱이 완전히 새로운 것은 아니다. 작년 보고서에 따르면 2021년과 2022년 사이에 모바일 기기를 대상으로 하는 피싱 사이트의 비율이 75%에서 80%로 증가했다. 이미 일부는 HTTPS를 사용하고 있었지만, 대부분 캠페인을 모바일 대상으로 전환하는 데 중점을 두고 있었다”라고 말했다.
비슈누보틀라는 “올해 우리는 모바일 기기에 대한 이 전술이 급격히 증가하는 양상인데, 이는 모바일에서의 전술이 성숙해지고 있다는 신호다. 모바일 폼 팩터는 사용자를 속이기에 유리하다. 모바일 브라우저에서는 URL을 거의 보지 않거나 빠른 리디렉션을 보기 어렵기 때문이다. 게다가 브라우저의 URL 옆에 자물쇠 아이콘이 있으면 링크가 안전하다고 믿게 된다. 특히 모바일에서는 사용자가 자물쇠 아이콘을 확인하고 민감한 정보를 입력하기 전에 웹사이트의 도메인 이름을 주의 깊게 확인해야 한다”라고 진단했다.
슬래시넥스트(SlashNext)의 필드 최고기술책임자인 스티븐 코우스키는 “모바일을 대상으로 하는 피싱 공격이 급증하는 만큼, 실시간으로 정교한 위협을 탐지하고 차단할 수 있는 고급 AI 기반 보안 솔루션이 중요해지고 있다. 위협 행위자들이 HTTPS와 같은 안전한 프로토콜을 점점 더 활용함에 따라 전통적인 보안 조치만으로는 사용자와 조직을 보호하기에 충분하지 않다”라고 설명했다.
MDM, 비밀번호 관리자가 유용
전문가들에 따르면 모바일 기기 관리(MDM)와 비밀번호 관리자가 모바일 피싱으로부터 보호하는 데 중요한 역할을 할 수 있다. MDM 솔루션을 통해 조직은 보안 정책을 시행하고, 앱 권한을 제어하며, 최신 보안 패치로 기기를 업데이트해 피싱 공격의 위험을 줄일 수 있다.
티케는 “기기 상태에 따라 규정 준수를 강제하고 데이터 접근을 제한하는 MDM 솔루션은 OS 업데이트에만 의존하지 않는 종합적인 모바일 보안 전략을 보장한다. 강력한 암호화와 자동화된 패치 관리는 기기를 더욱 보호할 수 있다”라고 설명했다.
한편 비밀번호 관리자는 복잡하고 고유한 비밀번호를 생성하고 저장하여 사용자가 여러 서비스에서 동일한 인증 정보를 재사용하는 것을 방지한다. 따라서 이는 종종 피싱의 대상이 되기도 한다.
티케는 “다중 인증(MFA)을 강제하면 민감한 데이터에 대한 또 다른 보호 계층이 추가된다. 비밀번호 관리자는 강력하고 고유한 비밀번호를 생성하고 저장하며 고급 MFA 방법을 지원함으로써 중요한 역할을 한다”라고 덧붙였다. [email protected]
Read More from This Article: “피싱 사이트 80%가 이제 모바일 기기 겨냥” 짐페리움 랩스 보고서
Source: News