"신뢰하는 상대인 척하며 가짜 사이트로 유인한다" — 이것이 피싱입니다. 유형과 더 확실한 방어법을 설명합니다(공격 절차 없음).
동작 원리: "소프트웨어의 구멍"이 아니라 사람을 노린다
XSS나 SQL 인젝션이 소프트웨어의 결함을 악용하는 반면, 피싱은 사람의 판단을 악용합니다. "계정이 정지되었습니다"나 "긴급 — 지금 확인하세요" 같은 메시지는 긴급함, 권위, 두려움을 이용해 멈춰서 생각할 순간을 빼앗고, 픽셀 단위로 완벽한 가짜 사이트로 유인해 비밀번호를 입력하게 만듭니다. 기술적 취약점이 전혀 없는 사이트라도 사용자가 속으면 자격 증명이 유출됩니다.
유형 (이름은 달라도 핵심은 같다)
대량 피싱
많은 사람에게 뿌림
스피어 피싱
특정 개인/조직을 노림
BEC
거래처/임원을 사칭해 송금을 지시
스미싱
SMS를 통해
비싱
전화를 통해
AiTM
로그인을 실제 사이트로 중계, MFA 무력화
이름은 달라도 핵심은 같습니다. 신뢰를 위장해 유인한다입니다. 특히 **BEC(비즈니스 이메일 침해)**는 악성코드가 전혀 없이도 — 그저 "거래처에서 온 것처럼 보이는 송금 요청"만으로 — 큰 금전 손실을 일으킵니다. 기술이 아니라 업무 프로세스 확인으로 막는 유형입니다.
방어: 경계심이 아니라 메커니즘으로 막아라
피싱에 강한 MFA 사용 (가장 중요)
가짜 사이트에 반응하지 않는 메커니즘이 진짜 답입니다. 패스키 / 하드웨어 보안 키(FIDO2) 는 도메인에 묶여 있어, 가짜 도메인에서는 인증이 애초에 완료될 수 없습니다 — 중간자(AiTM)조차 중계하지 못합니다. SMS/인증 앱 코드는 중계될 수 있으니, 왕국의 열쇠(이메일, 도메인, 결제)부터 먼저 강한 MFA로 옮기세요(→ MFA 고르기).
링크를 클릭하지 말고 직접 공식 사이트로
이메일이나 SMS의 링크를 누르지 말고, 북마크나 주소 직접 입력으로 공식 사이트에 도달하세요. "계정 확인", "결제", "배송"을 사칭하는 메시지일수록 그 링크가 아니라 스스로의 방식으로 열어야 합니다.
기술로 이메일 위장 차단
도메인의 SPF/DKIM/DMARC 를 올바르게 설정해, 당신의 도메인을 사칭한 위장 메일이 수신 측에서 거부되게 하세요(→ SPF/DKIM/DMARC란). 비밀번호 관리자는 가짜 도메인에서는 자동 입력하지 않으므로, "자동 입력이 안 됐다"는 것 자체가 가짜 사이트라는 단서입니다.
긴급함/권위 앞에서 멈추고, 결제는 별도 채널로 검증
"지금 당장", "임원으로부터", "당신이 막을 수 있다" — 그 압박이 함정의 신호입니다. 재촉당할 때일수록 멈추세요. 결제나 자격 증명이 관련된 요청은 행동하기 전에 전화 같은 별도 채널로 본인을 확인하세요(BEC 방어의 핵심).
쉽게 무력화됨
비밀번호와 SMS/인증 앱 코드만. 픽셀 단위로 완벽한 가짜 사이트가 코드를 중계하면(AiTM), 신중한 사람도 자격 증명을 빼앗깁니다. "나는 알아챌 수 있다"를 가정하는 방어입니다.
실제로 막아냄
도메인에 묶인 패스키/하드웨어 키. 가짜 도메인에서는 인증이 완료될 수 없어, 속은 사용자도 침해되지 않습니다. "알아채지 못해도 안전한" 메커니즘입니다.
본 사이트의 견해: '조심하기'는 방어 전략이 아니다
피싱에 대해 "직원 교육"과 "인식 제고"에만 기대는 것은 위태롭다고 봅니다. 중간자(AiTM)가 일상이 된 지금, 아무리 신중한 사람이라도 픽셀 단위로 완벽한 가짜 사이트와 코드 중계를 이길 수는 없습니다. 인식은 도움이 되지만 마지막 방어선이 될 수는 없습니다. 진짜 답은 메커니즘입니다 — 왕국의 열쇠부터 도메인에 묶인 피싱에 강한 MFA 를 도입하세요. "알아챌 수 있는 사람을 키우려" 애쓰기보다 "알아채지 못해도 깨지지 않는" 설계에 투자하는 편이 낫습니다. 그것이 현대의 답입니다.
맹점: "나는 속지 않는다"가 가장 위험한 믿음
피싱 방어에서 가장 큰 함정은 "나는 알아챌 수 있다"는 과신입니다. 중간자(AiTM)는 픽셀 단위로 완벽한 화면을 보여 주고, 입력한 비밀번호와 일회용 코드를 그 자리에서 실제 사이트로 중계합니다. 다시 말해, 신중하게 올바른 코드를 입력해도 그 올바른 코드까지 탈취됩니다. 그러므로 "알아채려는 경계심"에 방어의 기초를 두는 것 자체가 실수이며, 옳은 길은 메커니즘으로의 전환 — 가짜 도메인에서는 완료될 수 없는 인증(피싱에 강한 MFA) — 입니다. "조심하기"에서 멈추기를 거부하는 것이 현대 피싱 방어의 출발점입니다.
다음으로 읽기
- 학습: 올바르게 MFA 고르기 (피싱에 강한 MFA란 무엇인가)
- 용어집: SPF/DKIM/DMARC란 (기술로 위장 메일 차단)
- 용어집: 랜섬웨어란 (피싱이 그 최대 진입 경로)
- 학습: 비밀번호를 안전하게 저장하기 (탈취된 자격 증명의 악용 막기)
- 용어집: 오픈 리디렉션이란 (정당한 도메인을 악용해 사용자를 가짜 사이트로 보냄)
FAQ
Q조심하면 피싱을 알아챌 수 있지 않나요?
'나는 알아챌 수 있다'는 믿음은 위험한 과신입니다. 현대 피싱은 픽셀 단위로 완벽한 가짜 사이트와 '중간자(AiTM)' 중계를 사용해, 입력한 비밀번호와 일회용 코드를 실시간으로 실제 사이트에 곧바로 전달합니다. 그래서 신중한 사람도 비밀번호와 함께 SMS나 인증 앱 코드를 탈취당합니다. 그렇기 때문에 진짜 방어는 경계심이 아니라 가짜 사이트에 반응하지 않는 메커니즘 — 도메인에 묶인 피싱에 강한 MFA(패스키/보안 키) — 입니다.
Q피싱에는 어떤 유형이 있나요?
흔한 것으로: 많은 사람에게 뿌리는 대량 피싱, 특정 개인이나 조직을 노린 스피어 피싱, 임원이나 거래처를 사칭해 송금을 지시하는 BEC(비즈니스 이메일 침해), SMS를 통한 스미싱, 전화를 통한 비싱이 있습니다. 여기에 더해 로그인을 실제 사이트로 중계하는 중간자(AiTM) 피싱은 일반 MFA를 무력화할 수 있어 특히 위험합니다.
QMFA를 켜면 피싱을 막을 수 있나요?
MFA는 강력히 권장되지만 유형에 따라 다릅니다. SMS와 인증 앱의 일회용 코드는 중간자가 실시간으로 코드를 중계하면 무력화될 수 있습니다. 중계할 수 없는 것은 패스키나 하드웨어 보안 키(FIDO2)처럼 도메인에 묶인 피싱에 강한 MFA입니다. 가짜 도메인에서는 인증이 애초에 완료될 수 없습니다. 자세한 내용은 MFA 고르기 가이드를 참고하세요.