안랩 보안 바로알기 캠페인 8회/ 스피어 피싱 바로알기
상태바
안랩 보안 바로알기 캠페인 8회/ 스피어 피싱 바로알기
  • 이광재 기자
  • 승인 2013.12.11 17:40
  • 댓글 0
이 기사를 공유합니다

이 자료는 보안에 대한 올바른 정보 전파를 통해 자신과 직장의 정보와 재산을 보호하기 위한 안랩의 보안지식 공유 캠페인인 '보안 바로알기(Know the security) 캠페인' 일환으로 제공된다.

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩(CEO 권치중, www.ahnlab.com)은 보안 바로알기 캠페인 일환으로 지난 백신 바로알기, APT 바로알기, 보안 종결론 바로알기, 위장 악성코드 바로알기, 인터넷뱅킹 보안위협 바로알기, 백신진화 바로알기, 스미싱 바로알기에 이어 다음 정보를 안랩의 블로그 및 SNS를 통해 배포했다.

 

회사 근무 중에 보내는 사람이 재직 중인 회사(와 매우 비슷한) 메일주소로 온 '연봉 협상 결과 통지서', 평소 가입했던 동호회 지인의 이름으로 온 '이번 달 모임 공지 드립니다', 평소 자신의 담당업무와 관련된 '[이력서]***부서 지원'이라는 메일을 받았다면 과연 열지 않고 지워 버릴 수 있을까?

 

또한 그 안에 문서 파일이 첨부 돼 있을 때 이를 열지 않을 사람이 얼마나 될까? 첨부된 문서 파일을 열었을 때 정상적인(조금은 싱거운 내용의) 문서가 보이고 자신의 PC에 별 이상이 발견되지 않았을 때 이를 의심하는 사람이 과연 얼마나 될까?

 

안랩의 보안 바로알기 캠페인의 여덟 번째 이야기는 지금까지 보다 조금 더 심각한 주제인 '스피어피싱(Spear phishing)'에 대해 바로 알아보겠다.

스피어피싱이라는 말을 나누어보면 'spear: 창, 찌르다 / phishing: 수신자를 속이기 위한 사기 이메일 및 기타 활동'으로 원래는 물고기를 작살로 잡는 '작살 낚시(Spear Phishing)'라는 말에서 유래됐다고 한다.

보안분야에서는 '불특정 다수가 아닌 특정인(조직)을 표적으로 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹 사이트로 유도 또는 악성 첨부 파일로 악성코드에 감염시키는 일종의 온라인 사기행위'다. 우리말로 옮기면 '표적형 악성 메일'로 이해할 수 있다.

일반적인 스팸 메일과 구별되는 점은 ▲불특정 다수를 노리는 것이 아니라 해커가 노리는 특정 기관 및 기업을 노리는 '표적성' ▲일반적인 광고, 애드웨어보다 훨씬 심각한 정보유출 등을 노리는 악성코드의 '심각성' ▲정상파일을 보여주거나 내용을 의심할 수 없을 정도로 정상 메일과 유사한 '정교성' 등을 들 수 있다.

사실 악성코드를 첨부해 사용자를 속일 법한 내용의 메일을 보내는 것은 아주 고전적인 방법이라 할 수 있지만 문제는 이런 방법이 아직도 효과가 있다는 것이다. 이는 '최대의 보안 취약점은 바로 사람'이라는 보안전문가들의 지적과도 일치하는 현상이다.

해외의 통계에 의하면 지금까지 밝혀진 APT 성의 표적형 공격의 90% 이상이 스피어피싱으로 유발됐거나 공격에 사용됐다고 한다. 또한 많은 보안 전문가들이 기관과 기업이 스피어 피싱의 대상이 됐고 대부분의 스피어 피싱에는 첨부파일이 있었다고 지적하고 있다.

안랩에 의하면 최근 이러한 첨부파일이 사람들의 의심을 피하고 오픈율을 높이기 위해 .exe나 .dll 등의 실행파일에서 doc, pdf, hwp, xls 등의 문서파일, .zip 등 압축 파일과 같은 비 실행형 파일으로 변하는 추세다.

예를 들어 특정 문서파일에 악성코드를 심어서 보내면 이를 열었을 때 해당 파일을 읽어서 사용자에게 보여주는 문서 프로그램에 존재하는 SW적 취약점을 이용해 사용자의 PC에 악성코드를 감염시키는 방식이다.

이와 함께 .exe나 .dll 등의 실행파일이지만 문서파일 처럼 속여 실행을 유도하는 경우도 있다.

해커들은 공격을 할 표적을 정하면 페이스북, 트위터와 같은 SNS나 인터넷에 퍼져 있는 상대방의 정보를 수집한다. 자주 가는 웹사이트, 취미, 소속된 조직 등 표적 대상에 대한 정보를 수집한 후 피싱 메일을 전송한다. 클릭하는 순간 악성코드에 감염이 돼 공격의 희생양이 되는 것이다.

왜 위험한가? 개인이 일상생활에서 이런 스피어피싱을 겪는 경우는 거의 없을 수도 있다. 하지만 그 개인이 자신이 일하는 기관·기업에서 PC를 사용할시 특히 중요한 직책을 맡고 있다면 상황은 매우 달라진다.

이는 바로 이 스피어피싱이 APT(Advanced Persistent Threat) 공격의 시작점이자 내부 시스템 파악의 첫 발판이 되기 때문이다. APT 공격의 가장 큰 특징은 특정 기관·기업을 노려서 매우 지능적·조직적으로 성공할 때까지 노린다는 점이다. 이런 APT의 특징을 생각해보면 그 시작점이 스피어피싱이 되는 것이 매우 자연스럽다.

스피어피싱이 특히 위험한 이유는 사용자가 구분이 어렵다는 데 있다. 먼저 해커가 특정 조직을 목표로 삼으면 해커는 장기간에 걸쳐 목표 조직의 거의 모든 것을 파악한다. 이후 조직 내부 부서를 사칭하거나 이에 맞춤화 된 내용의 메일 및 첨부파일을 보내 감염을 시도한다. 특정 인물을 표적으로 삼을 때는 SNS나 가입 동호회 등 개인에 대한 장기간 조사로 자료를 수집한 후에 관련자를 사칭하거나 상대의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법의 스피어피싱을 시도하기도 한다. 이런 정교하게 조작된 메일을 받았을 때 개인이 이를 구별해 내기란 쉽지 않다.

또한 위에도 밝혔듯 최근 첨부파일로는 문서파일과 같은 비실행형 파일이 자주 사용되는 추세다. 이는 당연히 수신자의 의심을 피하기 위해서다. 무심코 첨부된 문서파일을 열어도 표면적으로는 정상적인 문서를 보여주고 사용자 몰래 뒤에서 감염을 시도하기 때문에 사용자는 그냥 지나치기 쉽다. 이 때 설치되는 악성코드는 광범위하게 사용되는 것이 아니라 특정 조직 침투만을 목적으로 만들어진 '맞춤형 소량 제작 악성코드'로 이미 알려진 악성코드에 대응하는 시그니처 방식의 백신만으로 막아내기엔 어려움이 있다.

또한 자신이 속해있는 조직에 대한 큰 피해로 이어질 수 있다는 것도 스피어피싱이 위험한 이유다. 국내 및 해외 보안전문가들은 최초에 악성코드가 한번 시스템에 침투하기만 하면 이후 들키지 않고 내부망을 돌아다니며 취약점을 찾아내고 이를 기반으로 시스템 장악 후 기밀정보를 유출하거나 피해를 입히는 것은 어려운 일이 아니라고 지적하고 있다.

실제로 2012년 중동지역의 국가기관을 대상으로 활동하다 발견된 '플레임' 악성코드는 2년 여간이나 중동지역 기관·기업에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취했다.

가장 유명한 사례는 뉴욕타임스의 사례라 할 수 있다. 약 4개월 간 지속된 뉴욕타임즈(NYT) 공격에서 공격자는 NYT의 상하이 지부 책임자와 남아시아 책임자(전 베이징 지부 책임자)의 메일을 했다. 또한 NYT시스템에도 4달 동안 악성코드를 설치하고 이를 통해 시스템에 침입했다.

해외 매체에서는 이 공격의 시작이 바로 내부 혹은 외부 기관··기업으로 위장한 스피어피싱일 것으로 추측하고 있다. 특히 공격의 배후를 조사한 맨디언트(Mandiant)도 공격자로 추정되는 조직이 가장 많이 사용하는 기법이 스피어 피싱이라고 밝혀 이런 주장을 뒷받침하고 있다.

2011년에 있었던 글로벌 보안업체의 정보유출 사건도 첫 시작은 스피어 피싱 메일이었다. 해당 업체는 자사가 운영하는 블로그에서 공격의 첫 시작이 '2011 인원 채용 계획'이라는 제목의 스피어피싱 메일이라고 기술한 바 있다.

같은 해에 세계 최대 이메일 서비스 제공자인 글로벌 기업이 스피어피싱에 당한 사례도 있다. 특히 이 기업은 침해사고 이후 고객사 데이터를 탈취당했고 이는 해당 기업에 대한 2차 스피어피싱으로 이어질 수 있어 그 위험이 더욱 컸다. 결국 이 기업은 이 공격으로 인해 40억달러에 이르는 피해를 입었다.

APT공격의 다양한 시작점 중 가장 많이 이용된다는 스피어피싱, 이 피해로부터 자신과 자신이 속한 조직을 보호하려면 조직과 개인 모두의 노력이 필요하다.

먼저 조직의 경우 스피어피싱의 심각성에 대해 충분히 인지하고 전체적인 관점에서 이 스피어피싱이 APT 공격과 어떻게 연관 될 수 있는지 맥락을 파악하는 것이 중요하다.

특히 스피어피싱에 사용되는 악성코드는 맞춤형 소량 제작 악성코드이기 때문에 알려진 악성코드에 대응하는 백신은 물론 다계층적인 보안 솔루션을 조직의 특성에 맞게 설계하는 것이 필요하다. 솔루션 도입으로만 그치지 말고, 정기적인 직원 보안교육, 내부 보안 인재 육성 등의 노력도 동시에 진행돼야 한다.

개인의 경우엔 어쩌면 더욱 쉬울 수도 있다. 바로 조금이라도 수상한 메일의 첨부파일이나 URL을 실행하지 않는 것이 가장 스피어피싱을 막기 위한 확실한 방법이다.

이와 함께 사용하고 있는 SW 프로그램 제공사에서 보안 패치를 발표하면 이를 꼭 업데이트해야 한다. 특히 비 실행형 파일을 이용하는 스피어피싱 공격이 증가하는 추세에서 이는 더욱 중요하다 할 수 있다. 혹시(조금 내용이 엉성하거나 모르는 사람에게서 받은) 파일을 열었을 때는 즉시 사내 보안 담당자에 연락해 후속 조치를 취해야 한다.

스피어피싱은 정보유출부터 시스템 파괴까지 개인의 피해뿐만이 아니라 조직에 대한 대규모 공격의 최초 시작점이 될 수도 있다. 조직과 개인의 노력이 합쳐질 때만이 스피어피싱의 위협에서 벗어날 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.