[CCTV뉴스=이승윤 기자] 한국인터넷진흥원(KISA)가 발표한 ‘국내 스피어피싱 유형 분석’에 따르면 기업 및 기관을 노리는 표적 공격의 91%가 스피어피싱 이메일에서 시작된다고 한다. 스피어피싱 이메일의 94%가 파일을 첨부하고 있으며, 공격 대상의 76%가 기업이나 정부기관인 것으로 나타났다.
스피어피싱은 특정 개인이나 조직을 대상으로 잘 아는 자가 보내는 것처럼 위장해 메일을 보내 악성코드에 감염시키는 공격이다. 업무에 관련된 문구를 사용하여 이메일을 보내기에 수신자가 메일을 열람할 가능성이 많다.
특히 스피어피싱 이메일은 보안 솔루션 탐지를 피하기 위해 실행 파일 대신, 문서 형태의 비 실행 형 또는 압축 파일을 이용하는 경우가 많아 공격 성공률이 높다.
얼마 전 터키 금융업계를 대상으로 발생한 사이버 공격과 평창 올림픽 개막식을 방해한 해킹 공격이 스피어피싱을 통한 공격에 해당한다.
터키의 유명 가상화폐거래소인 팔콘 코인(Falcon Coin) 도메인과 흡사한 팔칸 코인(Falcan Coin)이라는 계정으로 워드파일이 첨부된 이메일을 고객들에게 발송하여 피해자들이 이메일을 확인하는 순간 악성코드가 심어 지도록 했다. 이번 공격에 사용된 악성코드는 ‘뱅크샷’이다. 몇 년 전에 발견 되었지만 다양한 변종 형태로 공격에 활용되고 있다.
‘뱅크샷’이 실행되면 해커들은 피해자들의 컴퓨터 문서를 원격으로 다운받을 수 있다. 특히 잠복기간 동안 수집한 여러 계정 정보를 통해, 코인 및 계좌 정보가 있는 주요 서버 계정을 수집하여 서버 내 파일들을 위/변조, 탈취하여 금전적 손해를 입힐 수 있는 공격이다.
평창 올림픽 개막 당시 시스템 장애를 일으킨 ‘올림픽 파괴자’ 악성코드의 최초 감염 경로도 스피어피싱 이메일을 통한 감염으로 분석됐다. 해당 파일은 올림픽 관련 인터넷 서비스 도메인에 접속할 수 있는 수십 개 계정 아이디와 패스워드가 포함돼 있었으며 자가전파 기능이 있는 것이 특징이다. 주변 시스템에 자동으로 전파, 감염시켜 시스템 사용자 정보를 모두 탈취하고 공유 시스템을 파괴하는 동작을 수행한다.
보안사고 예방을 위해 백신과 운영 프로그램의 주기적인 업데이트 및 첨부 파일 확인 등 사용자의 보안 의식 제고와 보안 수칙 생활화는 중요하다. 하지만 스피어피싱 이메일 공격의 예에서 알 수 있듯이 변종 악성코드를 활용해 사용자가 인식하지 못하도록 은밀하게 지속적으로 공격하는 경우가 증가하고 있다.
감염의 근원을 파악하기 힘든 경우가 많고 백신이나 보안 솔루션들을 우회하는 공격 형태가 많아지면서 관리자에게만 모든 책임을 지울 수 없는 형편이다.
수산아이앤티(이하 수산INT)는 스피어피싱 악성코드에 대응 가능한 보안 솔루션 eReD Hypervisor Security(이하 eReD)를 제시하고 있다. eReD는 VMI(Virtual Machine Introspection)를 보안솔루션에 적용한 미래 위협 대응 솔루션으로 화이트리스트 방식으로 프로세스 실행 제어 기능을 수행, 관리자가 인가한 프로그램 외에는 실행을 원천 차단한다. 관리자의 PC나 서버가 스피어피싱 이메일 등으로 인해 감염되었더라도 악성 프로그램이 실행되지 않아 주요 정보를 보호할 수 있다.
수산INT 관계자는 “eReD는 국내 최초로 가상화 기술을 보안 솔루션에 적용한 제품이다”며, “백신에 대해 우회하는 악성파일이라 할지라도 프로그램 실행을 무력화 시키기에 기존 보안 제품과는 차원이 다른 보안을 제공하며, 제로데이 공격도 차단할 수 있다”고 말했다.
