피싱 도구도 구독한다? Phishing-as-a-Service

 

피싱 공격, 이제 누구나 할 수 있다?

과거에는 해커가 되려면 고도의 기술이 필요했습니다. 하지만 이제는 다릅니다. 해킹 기술이 없는 사람도 손쉽게 피싱 공격을 수행할 수 있도록 도와주는 '피싱 키트'가 등장했기 때문입니다. 이 피싱 키트는 마치 '해킹 올인원 패키지'처럼 피싱 공격에 필요한 모든 것을 제공합니다. 공격자는 몇 가지 설정만 하면 바로 피싱 사이트를 운영할 수도 있습니다. 이는 피싱 공격이 점점 더 정교해지고, 공격 대상이 확대되고 있음을 의미합니다.

 

---

Phishing-as-a-Service(PhaaS)란?

Phishing-as-a-Service(PhaaS)는 말 그대로 피싱 공격을 서비스 형태로 제공하는 모델입니다. 일반적으로 해킹은 높은 기술력이 필요하지만, PhaaS를 이용하면 누구나 쉽게 피싱 공격을 할 수 있습니다. 마치 클라우드 기반의 SaaS(Software-as-a-Service)처럼, 해킹에 필요한 도구와 인프라를 월 구독료만 내고 사용할 수 있는 것입니다. PhaaS는 다음과 같은 요소를 제공합니다.

• 피싱 웹사이트 템플릿: 유명한 로그인 페이지와 동일한 디자인의 위장 사이트 제공
• 자동화 도구: 이메일 발송, 링크 생성, 피해자 추적 기능 포함
• 호스팅 및 도메인 서비스: 피싱 사이트를 위한 서버와 URL 제공
• MFA 우회 기능: 다중 인증을 무력화하는 고급 기능 지원

이러한 서비스 덕분에 공격자는 별다른 기술 없이도 강력한 피싱 공격을 수행할 수 있습니다.

---

신뢰할 수 있는 서비스도 악용된다

피싱 공격자는 구글, 마이크로소프트, 드롭박스 같은 유명한 플랫폼을 활용합니다. 일반 사용자는 이런 플랫폼을 신뢰하기 때문에 피싱 사이트라고 의심조차 하지 않습니다. 예를 들어, 공격자는 정상적인 지메일 계정을 만들어 피싱 이메일을 보내거나, 구글 드라이브에 피싱 페이지를 업로드할 수도 있습니다. 이렇게 하면 보안 시스템을 우회하면서도 사용자의 신뢰를 쉽게 얻을 수 있습니다.

 

---

피싱 키트, 얼마나 위험할까요?

대표적인 피싱 키트 중 하나인 '이블프록시(EvilProxy)'는 단순한 피싱 사이트를 만드는 것에서 끝나지 않습니다. 이 서비스는 구독형으로 제공되며, 다중인증(MFA)까지 우회할 수 있는 기능을 갖추고 있습니다. 즉, 사용자가 보안을 위해 OTP나 인증번호를 입력해도, 공격자는 이를 가로챌 수 있다는 뜻입니다. 이런 방식으로 계정을 탈취당하면 되찾기조차 어려워집니다.

 

---

AI까지 활용되는 피싱 공격

최근에는 AI 기술도 피싱 공격에 적극적으로 활용되고 있습니다. 챗 GPT 같은 생성형 AI는 자연스럽고 설득력 있는 피싱 이메일을 작성하는 데 사용됩니다. AI가 문법과 표현을 다듬어 인간보다 더 자연스러운 피싱 메시지를 만들 수 있기 때문입니다. 더 나아가, AI 음성 복제 기술을 활용하면 보이스피싱도 더욱 정교해집니다. 공격자는 피해자의 가족이나 친구, 직장 동료의 목소리를 모방해 신뢰를 얻고, 금전적 피해를 입힐 수 있습니다.

 

---

블랙쏘세지로 안전하게 링크 확인하세요

피싱 공격의 가장 큰 위험은 사용자가 링크를 클릭하는 순간 시작된다는 점입니다. 하지만 이제 걱정하지 마세요. 블랙쏘세지는 원격 브라우저 격리 기술을 활용해 사용자가 링크를 클릭하더라도 안전하게 볼 수 있도록 합니다.

 

블랙쏘세지는 링크를 원격 환경에서 실행합니다. 사용자의 스마트폰이나 PC에서 직접 링크를 여는 것이 아니라, 보호된 환경에서 안전하게 볼 수 있도록 설계되었습니다.

 

블랙 쏘세지 - 해킹 방지, 피싱, 스미싱, 스팸 차단