피싱이란 무엇인가요?

피싱은 데이터 유출에서 가장 흔한 초기 공격 벡터로 남아 있다. 기본적인 피싱 캠페인은 일반적 메시지로 넓은 그물을 던지는 반면, 스피어 피싱은 특정 개인을 표적으로 삼고 개인적·조직적 데이터를 활용해 신빙성을 높인다. 자격 증명 피싱은 피해자를 정당한 로그인 페이지의 그럴듯한 모조본으로 유도해 사용자 이름과 비밀번호를 가로채는 것을 특히 노린다.

피싱의 효과는 기술적 취약점이 아니라 인간 심리를 악용하는 데서 나온다. 공격자는 긴급성("계정이 잠깁니다"), 권위("CEO의 메시지"), 호기심("첨부된 청구서 확인")을 만들어 이성적 판단을 우회한다. 보안에 밝은 사용자조차 정교한 캠페인에는, 특히 유출된 이메일 계정이나 정당한 것을 모방한 도메인과 결합되면 넘어갈 수 있다.

방어는 다층적이다. 이메일 필터링과 링크 분석은 대량 캠페인을 탐지하고, 다중 인증은 도난당한 자격 증명의 피해를 제한하며, 보안 인식 교육은 사용자가 의심스러운 메시지를 알아채도록 돕는다. 민감 데이터 공유에서는 비밀을 이메일에 넣는 대신 일회성 자기 파기 링크를 사용해 통신 채널에서 지속적 자격 증명을 제거하면, 공격자가 유출된 메일함에서 거둘 수 있는 것이 크게 줄어든다.

Vaulted가 피싱을 사용하는 방법

Vaulted는 민감 데이터를 이메일과 채팅 메시지에서 완전히 배제함으로써 피싱 위험을 줄인다. 유출된 메일함에서 가로챌 수 있는 메시지에 비밀번호나 API 키를 넣는 대신, 사용자는 특정 조회 횟수 후 스스로 파기되는 Vaulted 링크를 공유한다. 피싱 공격자가 누군가의 이메일에 접근하더라도 만료된 Vaulted 링크는 아무것도 주지 못한다. 비밀은 이미 서버에서 사라졌기 때문이다. 선택적 패스프레이즈 보호와 결합하면 가로챈 링크만으로는 공유된 비밀에 접근하기에 충분하지 않도록 보장한다.