크리덴셜 피싱은 특정 종류의 피싱 공격자가 이메일 계정, 비즈니스 시스템 및 기타 보안 리소스에 무단으로 액세스하기 위해 사용자의 자격증명(일반적으로 사용자 아이디와 비밀번호)을 훔쳐서 사용하는 것을 목표로 하는 사이버 공격입니다. 이러한 유형의 인증 정보 도용은 일반적으로 신용카드 또는 은행 계좌 정보, 주민등록번호, 고객 데이터나 지적 재산과 같은 중요한 조직 정보 등 다양한 유형의 민감한 정보를 훔치려는 피싱의 하위 집합입니다.
한 연구에 따르면 크리덴셜 피싱은 점점 더 큰 문제로 대두되고 있습니다. 인증정보 피싱 703% 증가 2024년 하반기에는 전체 이메일 기반 피싱 위협이 202% 증가에 그칠 것으로 예상됩니다. (202% 증가가 상대적으로 낮은 수치로 여겨질 수 있다는 것은 큰 문제입니다.) 이러한 큰 폭의 증가는 여러 가지 요인이 복합적으로 작용한 결과입니다:
- AI 기반 피싱 공격 를 사용하면 사이버 범죄자들이 사용자가 가짜 인증 정보 요청에 넘어가도록 설계된 설득력 있는 메시지를 그 어느 때보다 쉽게 생성할 수 있습니다.
- 사회 공학, 피싱 메시지에 포함된 링크를 클릭하도록 사용자를 속이는 데 매우 효과적인 이 공격은 크리덴셜 피싱에서 점점 더 많은 역할을 하고 있습니다.
- 멀티 채널 이메일뿐만 아니라 SMS, 소셜 미디어, 협업 플랫폼까지 사용하는 크리덴셜 피싱은 공격자의 도달 범위를 넓혀줍니다.
위의 모든 상황은 인증정보 도용이 오랫동안 발생해 왔고 지금도 계속되고 있다는 사실의 맥락에서 일어나고 있습니다. 적은 노력, 높은 보상 공격 유형.
좋은 소식은? 인증정보 피싱 공격이 증가하고 있지만, 피싱을 방지하기 위한 조직의 보안 노력도 다음과 같이 증가하고 있습니다. 비밀번호 없는 인증 및 다단계 인증(MFA) 에서 AI 기반 방어 도구까지. 인증정보 피싱이 시간이 지남에 따라 어떻게 진화했는지, 이러한 유형의 공격에 사용되는 가장 일반적인 수법, 인증정보 피싱에 대응하기 위해 사용할 수 있는 도구와 전략에 대해 자세히 알아보려면 계속 읽어보세요.
1990년대 중반: 그리고 초기 크리덴셜 피싱 는 1990년대 중반에 사기꾼들이 AOL 직원을 사칭하여 사용자의 로그인 정보를 노출하도록 속여 발생한 것으로 보입니다. 사기꾼들의 목적은 단순히 인터넷 액세스 비용을 지불하지 않기 위한 것이었지만, 이들의 활동은 향후 더 정교하고 파괴적이며 비용이 많이 드는 사기의 길을 열어주었습니다.
2000년대 초반: 2000년대 초반의 인증정보 피싱은 대부분 비교적 정교하지 않았으며, 사람들이 로그인 인증정보를 공유하도록 유도하기 위해 단순하고 대량 생산된 메시지에 의존하는 경우가 많았습니다. 2003년은 변화의 시작이었습니다. 이 패턴에서 공격자들은 사용자가 인증 정보를 입력하도록 속이기 위해 eBay 및 PayPal과 같은 합법적인 사이트와 거의 동일한 버전을 만들기 시작했습니다.
2010-2020: 스피어 피싱은 2010년대 들어 특히 조직 차원의 인증정보 도용을 변화시키기 위해 등장했습니다. 스피어 피싱은 인사, 청구 또는 IT 지원과 같은 중요 부서에서 보낸 것처럼 잘 만들어진 메시지로 특정 사람을 표적으로 삼아 교묘하게 작동합니다. 비즈니스 이메일 침해(BEC) 은 매우 정교한 이메일 사칭(예: 최고 경영진의 가짜 요청) 형태의 피싱을 사용하여 수신자가 조직 내 누군가에게 응답하는 것처럼 속도록 하는 일종의 소셜 엔지니어링 공격입니다.
2020-현재: 오늘날 크리덴셜 피싱은 점점 더 다음과 같은 방식으로 이루어지고 있습니다. AI 기반, 를 통해 공격자는 문법적으로 완벽하고 문맥에 완벽하게 들어맞으며 그 어느 때보다 진짜처럼 보이는 피싱 이메일을 생성할 수 있습니다. 또한 제너레이티브 AI는 새롭고 더욱 매력적인 메시지를 매우 빠르고 쉽게 생성할 수 있게 해줍니다. IBM, 생성 AI를 사용하는 사기꾼은 수작업으로 몇 시간이 걸리는 대신 단 5분 만에 효과적인 메시지를 개발할 수 있습니다.
인증정보 피싱에서 공격자는 일반적으로 사용자의 고용주, 은행 또는 자주 사용하는 웹사이트 등 신뢰할 수 있는 출처를 사칭하여 사용자에게 이메일, 문자 또는 기타 유형의 메시지를 보내 인증정보 유출로 이어질 수 있는 조치를 취하도록 유도합니다. 이러한 일반적인 프레임워크 내에서 공격자는 다양한 전술을 사용하여 인증정보 피싱 공격을 수행할 수 있습니다:
사기성 이메일
사기성 이메일은 많은 인증정보 피싱 공격의 전형적인 진입 지점입니다. 이러한 유형의 이메일은 수신자가 신뢰할 수 있는 출처에서 보낸 것처럼 보이므로 의심을 사지 않기 때문에 인증정보 피싱의 수단으로 자주 성공합니다. 이메일 커뮤니케이션이 진짜인 것처럼 보일수록 발신자는 이러한 신뢰를 악용하여 공격에 성공할 가능성이 높습니다.
기만적인 통신을 사용하는 인증정보 피싱 공격의 특징은 다음과 같습니다:
- 사칭: 수신자가 이미 알고 있는 합법적인 출처에서 보낸 것으로 보이는 커뮤니케이션입니다.
- 설득: 제목 및/또는 처음 몇 단어는 긴급함, 두려움 또는 호기심과 같은 반응을 유도하기 위해 작성됩니다. 사이버 범죄자들은 사용자가 행동 여부를 고려할 시간을 갖기보다는 빠르게 반응하도록 유도하는 경향이 있기 때문에 긴급함을 잘 활용합니다.
- 기만: 극도로 긴급한 조치가 필요하지 않다는 점을 강조하는 메시지입니다.
- 실행 가능성: 피싱 이메일에는 다음 단계로 쉽게 넘어갈 수 있는 링크나 첨부 파일이 포함되어 있는 경향이 있습니다.
- 더 많은 속임수: 수신자의 행동이 자격 증명이 캡처되는 가짜 로그인 페이지로 연결됩니다.
가짜 로그인 페이지
가짜 로그인 페이지는 조직 환경에서 인증정보 피싱 공격에 가장 많이 사용되는 도구 중 하나입니다. 피싱 방지 MFA가 없는 조직에서 매우 효과적입니다.
가짜 로그인 페이지를 사용한 공격은 공격자가 정찰을 통해 조직에서 일반적으로 사용하는 플랫폼의 서비스(예: Microsoft 365 또는 Google Workspace)와 조직의 이메일 형식 및 브랜딩을 파악하는 것으로 시작됩니다. 여기에서 공격자는 내부 부서 또는 알려진 공급업체에서 보낸 것으로 보이며 긴박감을 불러일으키는 제목("비밀번호 만료-즉시 조치 필요" 또는 "송장이 준비되었습니다-안전하게 보기")과 가짜 로그인 페이지로 연결되는 눈에 띄는 링크를 포함하는 인증정보 피싱 이메일을 제작할 수 있습니다.
직원이 링크를 클릭하고 사칭된 로그인 페이지에 자격 증명을 입력하면 공격자에게 자격 증명이 전달되고, 공격자는 이를 사용하여 조직 시스템에 로그인하고 네트워크를 통해 데이터를 유출하거나 멀웨어를 심거나 추가 BEC 공격을 시작하거나 손상된 계정에서 피싱을 하는 등 횡적으로 움직일 수 있습니다.
멀티 채널 전술
이메일만이 인증 정보를 피싱하는 유일한 방법은 아니며, 사용자가 이메일 기반 인증 정보 피싱에 대한 인식이 높아지고 이를 방어하는 데 능숙해지면서 공격자들은 다음과 같은 다른 공격 수단으로 영역을 확장하고 있습니다:
- 스미싱(SMS 피싱) 를 사용하여 가짜 로그인 알림, 패키지 추적 알림 또는 2단계 인증 프롬프트를 문자로 전송하여 사용자가 링크를 클릭하도록 유도할 수 있습니다.
- 비싱(보이스 피싱) 는 헬프 데스크 또는 IT 지원팀으로 가장하여 사용자를 피싱 웹사이트로 안내하는 전화로 구성됩니다.
- 협업 플랫폼을 통한 피싱 는 Slack, Teams, LinkedIn 또는 기타 플랫폼의 메시지를 사용하여 사용자가 가짜 링크를 클릭하거나 업무 관련 콘텐츠로 보이는 첨부파일을 다운로드하도록 유도합니다.
- QR코드 피싱 는 인증정보 수집 사이트로 연결되는 QR 코드가 포함된 인증정보 피싱 이메일을 보내는 것으로, QR 코드를 사용하면 기존의 링크 스캔 필터를 우회할 수 있습니다.
자격 증명 스터핑
크리덴셜 스터핑은 사이버 범죄자가 훔친 대량의 인증정보를 사용하여 여러 사이트에 걸쳐 로그인을 시도하는 것으로, 인증정보 피싱과 함께 사용되어 인증정보 피싱의 피해를 극대화하는 수법입니다. 인증정보 피싱을 통해 인증정보를 수집한 다음 여러 공격 대상에 적용하는 계층형 공격에서 이 두 가지를 함께 사용할 수 있습니다.
예를 들어 공격자는 Microsoft 365 계정의 로그인 자격 증명을 피싱한 다음 자격 증명 스터핑을 사용하여 다양한 다른 사이트 또는 서비스(예: Salesforce, Google(메일, 문서, 비밀번호 관리자))에서 Microsoft 자격 증명을 시도할 수 있습니다. 공격자는 기본적으로 누군가가 여러 사이트에서 동일한 자격 증명을 사용한다는 도박을 하는 것입니다.
비밀번호 스프레이
크리덴셜 스터핑과 마찬가지로 비밀번호 스프레이는 특히 조직 환경에서 피싱 공격의 범위와 성공을 극대화하기 위해 크리덴셜 피싱과 함께 사용됩니다. 이러한 유형의 수법에서는 공격자:
- 자격 증명 피싱을 통해 사용자 이름 목록 수집
- 사용자 아이디와 추측하기 쉬운 비밀번호(예: password123 또는 welcome123)를 결합하여 여러 계정에 액세스합니다.
비밀번호 스프레이가 효과가 있는 가장 명백한 이유는 취약한 비밀번호 보안을 악용하기 때문입니다. 사람들이 추측하기 쉬운 비밀번호를 사용하지 않는다면 이 수법은 멀리 가지 못할 것입니다. 또한 고급 모니터링 도구 없이는 대규모로 탐지하기도 어렵습니다.
정밀 검증 피싱
2025년에 등장한 정밀 검증 피싱 공격자가 피싱을 통해 탈취한 인증정보가 실제로 유효한 온라인 계정과 연결되어 있는지 확인하는 방법입니다. 통합 API 또는 JavaScript를 사용하여 피싱 시도가 발생하기 전에 이메일 주소를 실시간으로 확인합니다. 사전 검증 피싱을 사용하면 부정확한 자격 증명을 사용하려고 노력하거나 에너지를 낭비하지 않고 훨씬 더 효율적이고 정확하게 자격 증명 피싱을 수행할 수 있습니다.
인증정보 피싱은 조직에 많은 피해를 입힐 수 있습니다. 인증정보 피싱은 IBM 데이터 유출 비용 보고서 에 따르면 피싱은 데이터 유출의 가장 빈번하고 비용이 가장 많이 드는 원인 중 하나로, 평균 1억 4천 488만 달러의 비용이 발생하고 평균 261일이 소요되는 것으로 나타났습니다.
하지만 인증정보 피싱 방지는 인증정보 피싱 시도를 차단하는 데 도움이 될 수 있습니다. RSA는 인증정보 피싱 예방과 관련된 주요 영역에서 다양한 제품과 서비스를 제공합니다.
비밀번호 없는 인증
뻔하게 들릴 수 있지만, 중요한 점을 짚고 넘어가야 합니다: 도난당한 인증정보에 의존하는 사이버 범죄는 도용할 인증정보가 없으면 효과가 없습니다. 그렇기 때문에 비밀번호 없는 인증 인증정보 피싱을 막는 데 매우 유용합니다.
의 일원으로서 FIDO 얼라이언스, RSA는 암호가 필요 없는 세상, 암호와 관련된 보안 문제가 없는 세상을 만들기 위해 최선을 다하고 있습니다. RSA 비밀번호 없는 인증은 가장 중요한 곳, 즉 자격증명 기반 공격에 특히 취약한 ID 수명 주기 지점에서 액세스를 보호합니다. RSA는 99.99% 가용성을 갖춘 비밀번호 없는 인증을 제공합니다. 하이브리드 장애 조치 네트워크 연결 없이도 인증이 가능한 기능으로, 다음을 제공합니다. 다양한 비밀번호 없는 옵션:
- 일회용 비밀번호(OTP)
- 모바일 패스키를 포함한 패스키
- 푸시 승인과 같은 앱 기반 옵션
- 생체 인식
피싱 방지 MFA
비밀번호 없는 인증이 자격 증명 피싱이 도용하려는 자격 증명을 제거하는 것처럼, 피싱 방지 MFA는 자격 증명을 도용하는 메커니즘인 피싱을 제거합니다.
RSA 아이쉴드 키 2 시리즈 인증기 는 자격증명 기반 공격으로부터 보호하도록 특별히 설계되었으며, 피싱 방지 하드웨어 기반 MFA를 제공하고 FIPS 140-3 레벨 3 인증 암호화 모듈과 AAL3 하드웨어 인증을 통합합니다. RSA iShield 시리즈의 장점은 다음과 같습니다:
- 암호화 보안에 대한 최신 연방 표준 준수
- 제로 트러스트 아키텍처를 발전시키는 ID 보안 기능
- 안전하고 마찰 없는 암호 없는 여정을 위한 FIDO2 인증
- 패스키의 유연한 배포 및 관리
ID 공급자를 통한 싱글 사인온
여러 사이트와 서비스에 로그인할 때 ID 공급자의 중앙 집중식 인증 서비스를 사용하면 공격자의 잠재적 진입 지점이 수백 개에서 단 한 개로 크게 줄어들고, 수십 개의 다른 로그인보다 하나의 진입 지점을 보호하고 모니터링하기가 훨씬 쉬워집니다.
RSA 마이 페이지 는 사용자가 편리한 단일 포털을 통해 중요한 애플리케이션 및 기타 리소스에 대한 액세스를 빠르고 안전하게 관리할 수 있도록 지원하는 클라우드 호스팅 SSO 솔루션입니다:
- 하나의 자격 증명으로 여러 애플리케이션에 대한 빠른 사용자 액세스
- 편리한 인증자 셀프 등록 및 자격증명 셀프 관리
- 헬프 데스크 직원 및 IT 관리자의 업무 부담 감소 및 비용 최소화
- 헬프 데스크 지원이 합법적으로 필요한 경우 대기 시간 단축
패스키
패스키는 비밀번호를 입력할 필요 없이 웹사이트와 애플리케이션에 로그인할 수 있는 방법으로, 로그인 프로세스를 더욱 안전하게(도용할 비밀번호가 없음), 더욱 편리하게(기억해야 할 비밀번호가 없음) 만들어 줍니다. 패스키는 비밀번호와 같은 방식으로 재사용되지 않고 피싱에 강하기 때문에(가짜 웹사이트에 속아 로그인할 가능성을 없애기 때문에) 비밀번호보다 훨씬 안전합니다.
RSA 인증자 앱의 패스키 는 비밀번호가 필요 없는 피싱 방지 인증을 사용자의 모바일 장치에 직접 제공합니다. 이 패스키 기능:
- 소셜 엔지니어링 및 자격 증명 피싱을 해결하여 제로 트러스트 지원
- 조직이 다음에 대한 규제 요구 사항을 준수하도록 지원합니다. 피싱 방지 MFA
- 기존 IT 환경에 쉽게 통합
- 디바이스에 바인딩되어 있어 디바이스를 벗어나지 않으므로 최고의 보안을 보장합니다.
제로 트러스트
제로 트러스트로 피싱 방지 조직이 조직의 리소스에 액세스하려는 사람의 신뢰성을 항상 확인할 수 있는 환경을 조성하기 때문입니다. 조직은 제로 트러스트의 원칙 인증 정보를 피싱하려는 악의적인 공격자가 인증 정보에 침입하거나 인증 정보를 넘어 권한을 상승시키는 방법을 찾기가 훨씬 더 어려워집니다.
제로 트러스트 지원 NIST 제로 트러스트 프레임워크 내에서 작업하는 데 기본이 되는 ID 및 액세스 관리(IAM)의 구성 요소를 제공합니다. 여기에는 다음이 포함됩니다:
- MFA
- ID 거버넌스 및 관리(IGA)
- 위험 기반 분석
- 역할 기반 액세스
- 속성 기반 액세스
AI
AI는 크리덴셜 피싱 공격을 수행하는 사이버 범죄자들에게는 큰 도움이 되었지만, 크리덴셜 피싱을 막기 위해 싸우는 반대편에 있는 사람들에게도 매우 유용합니다. 에 따르면 2025 RSA ID IQ 보고서, 설문조사에 참여한 조직의 78.3%가 사이버 보안 스택에 자동화, 머신 러닝 또는 다른 형태의 AI를 즉각적으로 구현할 계획이 있다고 답했습니다.
RSA는 인증 및 액세스 관리 분야에서 AI 기반 기능을 개발하여 조직이 크리덴셜 피싱 공격을 탐지, 대응 및 예방할 수 있도록 지원합니다:
- RSA 리스크 AI 는 행동 분석과 머신 러닝을 사용하여 피싱 기반 계정 탈취 시도를 탐지하므로 IT 팀은 피해가 발생하기 전에 이를 해결할 수 있습니다.
RSA 거버넌스 및 수명 주기 는 AI를 사용하여 액세스 요청의 이상 징후를 감지하여 관리자에게 잠재적으로 위험한 액세스가 허용되는 것을 방지하는 데 필요한 정보를 제공합니다.
앞으로의 크리덴셜 피싱은 AI, 딥페이크 기술, 고급 소셜 엔지니어링이 개입될 가능성이 높다고 합니다. 최근 보고서. 사이버 범죄자들이 이러한 수법과 기타 새로운 첨단 기술 중심의 전술을 사용하여 성공을 거둔 것을 고려하면 이는 놀라운 일이 아닙니다.
하지만 좋은 소식은 공격을 막기 위해 AI 및 기타 기술을 적용하는 데 똑같이 전념하는 조직과 점점 더 많이 맞닥뜨리게 될 것이라는 점입니다.
오늘날 인증정보 피싱의 잠재적 피해자들은 피싱 방지 MFA 및 비밀번호 없는 솔루션을 도입하고, 제로 트러스트를 향해 노력하고, AI와 싸우고, 기타 방어 조치를 취하는 등 스스로를 방어하기 위해 노력하고 있습니다. 그리고 2025 RSA ID IQ 보고서 에 따르면 응답자의 801%는 향후 5년 동안 AI가 조직의 사이버 보안에 도움이 될 것이라고 생각한 반면, 5분의 1만이 그 기간 동안 AI가 위협 행위자를 더 많이 지원할 것이라고 생각했습니다.
조직이 계속해서 크리덴셜 피싱에 맞서 싸우고 있다면 다음과 같은 기능을 갖춘 RSA의 도움을 받으십시오. 비밀번호 없는 인증 (패스키 포함) 및 AI의 지원을 받는 피싱 방지 MFA는 모두 SSO를 포함한 보안 우선 사용자 환경에 배포되며, 오늘날 사이버 방어에 필수적이며 앞으로도 중요하게 유지될 제로 트러스트 원칙에 대한 전반적인 노력에 통합되어 있습니다.
