스피어 피싱

Spear phishing.

스피어(spear)는 작살을 뜻한다. 피싱(phishing)이라는 말이 원래 낚시(fishing)에서 나온 건데, 즉 물고기를 작살로 노려서 잡는다는 것. 문제는 여기서 말하는 물고기는 사람이라는 것이다...

작살로 물고기를 잡듯이 목표물을 특정하고 그 목표물에 최적화해서 저지르는 피싱 범죄를 뜻한다. 예를 들어, 과거의 피싱은 그냥 불특정 다수를 상대로 떡밥을 뿌리고 아무나 걸려라, 하는 식이었다. 그물을 던져서 걸리는 대로 물고기를 건져올리는 것에 비유할 수 있다. 반면 스피어 피싱은 목표물을 특정한 다음 목표물에 관련된 정보를 수집한 다음 이를 바탕으로 맞춤형 떡밥을 준비한다. 만약 어떤 특정한 회사에 악성코드를 감염시킬 것을 목표로 한다면 그 회사에 관한 정보, 예를 들면 업무용 서식이나 직제, 중요한 이벤트를 비롯한 정보를 캐낸 다음, 마치 업무 관련 공문인 것처럼 직원들에게 메일을 보낸다. 메일을 보면 형식도 회사에서 쓰는 것과 비슷하고, 첨부파일도 회사에서 쓰는 파일 이름 형식과 비슷하게 되어 있어서 정말 회사 다른 부서의 누군가가 보냈거니, 하고 다운로드 받았다가 악성코드에 감염되는 것이다.

이런 방식으로 우리나라에서 가장 큰 파문을 일으킨 사건이라면 2014년의 한국수력원자력의 해킹 사고. '원전반대그룹'이라는 이름의 해커 집단이 스피어 피싱으로 악성코드를 침투시킨 다음 온갖 자료들을 숨풍숨풍 빼돌려서 인터넷에 공개하면서 한수원을 조롱했는데, 이 중에는 핵발전소 관련 도면이나 부품도와 같은 것들까지 있었다. 수사 결과 기대에 어긋나지 않고 북한 발표라고 나왔다.