해당 이메일은 오래되어 없어진 회사 부서에 관한 내용이었기 때문에 사기임을 쉽게 파악할 수 있었다. 그런데 해당 메시지 자체가 최소한 올해 6월부터 오피스 365(Office 365) 고객을 겨냥한 규모가 더 큰 작전의 일부일 수도 있음을 알게 되었다.
무작위 피싱 공격이 아니었다.
올해 9월 7일, 본지는 평범해 보이는 이메일 한 통을 받았다. 계정의 할당 용량이 초과되려 하고 있으며 이런 공간 부족 탓에 이메일 전송이 지연되고 있다고 경고하는 내용이었다. 이 문제를 해결하려면 첨부 HTML 파일을 열어서 지시에 따르라는 내용도 덧붙여져 있었다. 이 이메일은 사기가 분명했다.
9월 7일자 메시지 분석 내용을 발표한 직후, 한 소식통으로부터 연락을 받았다. 이 문제는 본지가 설명한 것처럼 인증정보를 탈취하기 위한 기본적인 1회성 시도가 아닌 훨씬 더 큰 문제라는 것이었다.
알고 보니, 이는 정부기관, 산업기관, 금융업체, 대학교 등을 표적으로 하는 규모가 더 큰 피싱 공격 작전의 잠재적 피해자 가운데 하나였다.
올해 6월 이후부터 오피스 365 고객을 대상으로 한 지속적인 연쇄 공격으로 보이는 오피스 365 피싱 이메일이 최소한 3만 건이 있었다. 그러나 후지쯔(Fujitsu)는 그 숫자는 몇 건 안되는 조사 내용에 기준으로 한 것이라고 밝혔다.
연쇄 피싱 작전은 오피스 365 계정의 사용자명과 비밀번호를 탈취하기 위해 이메일을 발송하는 것으로 시작한다. 일단 피해자의 인증정보를 탈취하고 나면 공격자는 다음 단계로 피해자의 주소록을 노린다. 업무상 연락처와 개인 연락처가 고루 들어있는 경우가 많기 때문이다.
공격의 제 2단계는 의심을 사지 않도록 첫번째 피해자의 기존 인맥을 이용하는 것이다. 새로운 피해자를 움직이기 위해서 메일 제목에 "알아두세요"와 같은 부담 없는 말을 쓰는 경우가 많다.
이런 작전은 최대한 자주 반복된다. 그러면 새로운 피해자들이 계속 생기면서 공격이 퍼져나간다. 시간이 지나면 탈취된 인증정보를 이용해 피해자가 접근하는 것이라면 무엇이든지 무단 접근할 수 있게 된다.
대부분의 조직에서 익스체인지(Exchange), 원드라이브(One Drive), 스카이프(Skype), 셰어포인트(SharePoint), 오피스 스토어(Office Store) 앱에 오피스 365 인증정보를 활용한다는 점을 감안하면 잠재적인 피해는 심각하다.
이런 공격에서 피해자는 본인과 관련있는 사람에게서 온 메시지를 클릭할 가능성이 높다. 따라서 공격자는 업체와 지인 간의 기존 신뢰 관계를 악용함으로써 저항이 거의 없는 잠재적인 피해자를 광범위하게 확보할 수 있다.
누군가가 확인을 위해 발신자에게 연락을 취하면 연쇄 피싱 공격 담당자는 피해자의 스카이프 계정을 이용해 사기가 아닌 것처럼 가장한다.
피싱 작전 미끼
이런 작전의 미끼에는 몇 가지 주제가 있다. 먼저, 본지에서 받은 것과 비슷하게 저장 공간이 얼마 남지 않았다고 경고하는 내용이다. 저장 공간을 주제로 하는 이메일 또 있는데 이번에는 이 문제를 해결하기 위해 사용자에게 "할당량"을 활성화하라고 요청한다. 두 경우 모두 피해자는 자신의 오피스 365 인증정보를 입력하라는 메시지를 받게 된다.
도큐사인(DocuSign)의 문서를 검토 요청하는 이메일에 대한 신고도 있었다. 검토 링크를 클릭하면 인증 정보를 입력하게 되어 있다. 이 밖에도, 계정 일시 중지, 서버 업그레이드, 보안 업데이트 등의 기술 관련 주제를 이용한 미끼가 있다.
올해 6월, 미국 캔사스(Kansas) 주는 오피스 365 "저장 공간" 사기에 관한 경보를 발령했다. 뒤이어 7월에는 피츠버그 대학교(University of Pittsburgh)에서 두 건의 경보를 발령했다.
9월 초, 미국 사우스 다코타 주립 대학교(South Dakota State University)의 사기 이메일 경고 목록에 또 다른 오피스 365 피싱 공격이 등재됐다. 본지에 전달되었던 것과 동일한 계정으로부터 같은 날에 발송된 것이다.
그런데 초기 피싱 공격 이후에는 작전 방향이 바뀌면서 약간 일상적인 말투가 사용되기 시작한다. 앞서 언급한 대로 "알아두세요"가 이러한 메일 제목이다. 이 밖에도 "승인된 청구서"나 "전달: 결제" 등으로 주의를 끈다. 또한, 무단 접근된 오피스 365 계정을 이용해 내부 업무 연락처에게 똑같은 "할당량" 메시지가 전송된 바 있다.
오피스 365 피싱 작전 수행
이런 이메일은 모두 피해자의 주소록이나 대상 피해자의 도메인에서 온 핵심 데이터 요소를 이용하는 기본 템플릿으로 실행되는 경향이 있다. 피해자가 사기에 속아 넘어가면 착륙 페이지(오피스 365 인증정보가 탈취되는 곳)로 이동된다. 그 방법은 몇 가지가 있다.
HTML 첨부파일을 열면 착륙 페이지가 보인다거나 해당 페이지로 전달되기도 하도 직접 링크를 클릭해서 이동되는 경우도 있다. 본지는 최근 몇 가지 사례를 검토한 후 착륙 페이지 자체가 Knockout.js를 사용해서 설계된 것이라는 결론을 내렸다. Knockout.js는 오픈소스 자바스크립트(JavaScript) 템플릿 시스템으로서 심지어 구식 브라우저를 비롯한 모든 브라우저에서 작동한다.
관찰한 코드의 예를 보면 이 시스템은 대부분의 사람들이 익숙한 오피스 365 로그인 포털을 복제하는 데 사용되고 있는 것으로 보인다. 사기꾼에 의해 탈취된 피해자의 인증정보는 합법적인 마이크로소프트 로그인 페이지로 전달된다.
오피스 365, 피싱의 좋은 먹잇감
최근의 패턴과 범위를 감안하면 오피스 365는 예외가 아닌 일반적인 표적이 될 것으로 예상된다.
앱리버(AppRiver)의 보안 연구 담당자 트로이 질은 지난 6개월 가량 동안 오피스 365를 표적으로 한 피싱 사기가 많이 관찰되었다고 말했다. 2017년 현재까지 오피스 365 사용자를 겨냥해 발송된 이메일은 앱리버에서 확인한 것만 해도 최소한 1억 건이 넘는다고 밝혔다.
질은 "지난해 이맘 때 이후로 최소한 1,000% 증가한 것을 확인했다고 쉽게 말할 수 있다. 이들 작전 가운데 다수는 하루 만에 수백만 건의 메시지를 양산하고 있다"고 설명했다.
예방과 피해 경감 방법
직업에 따라 대부분의 사람은 이메일에 매여 있다. 그러나, 보안 인식 교육은 "낯선 사람이 위험하다"는 식의 사고방식을 갖고 있는 경우가 많아 지인이 메시지를 보내오거나 공격자가 인증 채널을 통제하고 있을 때의 행동 요령은 다루지 않고 넘어가곤 한다.
언론, 사무실 행정, 법률, 마케팅, 영업, 인사 등은 모두 피싱에 의한 큰 위험에 노출되어 있다. 왜냐하면 이들은 접근권을 갖고 있고 대부분의 인식 교육에서 하지 말라고 하는 바로 그것, 즉 링크 클릭, 낯선 사람에게 말 걸기, 첨부 파일 열기 등을 해야 하는 위치에 있기 때문이다.
그래서 피싱이 그처럼 효과적인 것이다. 바라쿠다(Barracuda), 후지츠에서 관찰한 공격과, 심지어 본지에 침투한 것은 모두 기존의 신뢰와 친숙함을 활용하고 정상적인 작업 흐름을 방해하려고 한다.
피싱 퇴치에 도움이 될 기술적인 통제 장치가 있기는 하다. (녹오프(knock-off) URL, 타이포스쿼팅(typo squatting) 등을 잡아낼 수 있는) 도메인 모니터링이나 이메일 필터링 등이 그 예이다. 그러나 문제는 여전히 사람의 문제다.
이런 통제 장치로도 이메일이 한 사람의 받은편지함에 들어가는 것을 막지 못한다면 잠재적인 피해자가 최후의 방어선이 될 수 밖에 없다.
이 시점에서 다단계 인증은 방어 강화에 분명 도움이 된다. 마이크로소프트에서 오피스 365 사용자(특히 기업 환경의 사용자)에 대해 다단계 인증을 권장한 지 오래되었다.
그래도 일반적인 작업흐름과 업무 패턴을 인식 교육 자체에 포함시키는 것에 대해 할 말이 있다. 본지의 보안팀은 이러한 종류의 보안교육 덕분에 9월 7일 자 이메일을 받은 사람은 모두 거의 즉시 이것이 사기인 것을 알아챌 수 있었다.
정상적이고 일반적인 조직 작업 흐름에 맞게 인식 교육을 전환한다면 사용자들이 뭔가가 "이건 아닌 것 같은 느낌"이 들 때 이를 알아차리고 신고할 가능성이 높기 때문에 도움이 된다.
그러나 관건은 소통이다. 의도하지 않은 잘못된 신고를 하거나 사기에 속아넘어간다고 해서 처벌받지 않으며 오히려 성공하면 보상이 있다는 점을 강조해야 한다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.