보안

"사이버범죄자도 주말에는 쉰다"…사이버범죄 활동, 목요일이 가장 왕성

Fahmida Y. Rashid  | CSO 2017.08.28
직장인들에게는 월요일이 가장 좋지 않은 요일일지 모르지만, 보안전문가들은 목요일이 가장 싫은 날일 수 있다.

공격자는 공격 대상자가 자신들의 덫에 빠져들 온라인 상태가 될 때까지 기다린다. 최근 스팸 발송자들의 표적 대상이 기업 계정으로 바뀌면서 악의적인 활동 시간이 전통적인 정식 근무일과 시간에 맞춰지고 있다.

IBM 엑스포스 카셀(X-Force Kassel)의 연구원들은 2016년 12월부터 2017년 6월까지 스팸 허니팟에 의해 수집된 수십억 개의 스팸 메시지를 분석했는데, 스팸의 83% 이상이 평일에 보내졌으며, 그 가운데 화요일이 가장 활동이 많았고, 수요일과 목요일이 뒤를 따랐다.

스팸 발송자가 일하는 시간은 UTC(세계협정시) 오전 5시(한국 시각 오후 2시)부터 유럽 직원들을 대상으로 시작되며, 대다수의 활동은 UTC 오후 8시(한국 시각 오전 5시) 경에 중지된다. 주말에 근무한 그룹들은 UTC 오후 1시에 정점을 이루며, UTC 오후 11시경에 속도가 느려지는 경향이 있었다.

스팸 발송자는 미국에서 해가 떠오르기 전부터 유럽에서 출발하기 때문에 미국에서도 스팸 피해가 발생하기 시작한다. 일부 스팸은 이 시간대부터 미국 내 표적이 된 피해자를 대상으로 활동한다.

타이밍이 중요
IBM 엑스포스 조사 결과는 올해 초 악의적인 이메일 첨부 메시지 양이 목요일에 평일 평균보다 38% 이상 증가한다는 프루프포인트(Proofpoint)의 휴먼 팩터 보고서(Human Factor Report)와 일치한다. 수요일은 악성 이메일이 두 번째로 높은 날이었으며, 월요일, 화요일, 금요일이 뒤를 이었다. 주말에는 이메일을 통한 위협의 양이 적어지는 경향이 있지만, 전혀 없다는 것을 의미하지는 않는다.



프루프포인트 연구원은 2016년 악성 이메일 메시지 트래픽을 분석한 보고서에서 다음과 같이 전했다. "공격자는 클릭할 확률이 가장 높은 사용자에게 도달할 수 있도록 최선을 다한다. 근무 시간 중 업무 시작 시간에 악의적인 메시지를 보고 클릭할 확률이 높다는 것을 인지하고 있다."

프루프포인트의 분석에 따르면, 악성 이메일은 주중 언제든지 도착할 수 있지만 공격자는 특정 위협 범주에 대해 특정 요일을 선호한다.
키로거(Keyloggers)와 백도어(backdoors)는 월요일에 시작하는 경향이 있으며, 수요일은 뱅킹 트로이목마가 가장 높다. 랜섬웨어(Ransomware) 메시지는 화요일과 목요일 사이에 전송되는 경향이 있다. PoS(Point-of-sale) 트로이목마는 늦은 주중인 목요일과 금요일에 많이 전송되는데, 이는 보안 팀이 주말 전에 새로운 감염을 탐지하고 완화할 시간이 적은 시기를 노린 것이다. 2016년 PoS 관련 악성활동은 거의 80%가 목요일이나 금요일에 발생했다.

프루프포인트는 보고서에서 "몇 가지 예외를 제외하고 주말에 보내지는 악성코드는 랜섬웨어가 유일했다"고 전했다.

IBM 엑스포스가 스팸 메시지의 발신 IP 주소를 조사한 결과, 스팸 발송자의 지역에 따라 각기 다른 공격일자를 선호하는 것으로 나타났다. 러시아 스팸 발송자는 목요일과 토요일에 가장 활발한 활동을 펼친 반면, 북미와 중국의 스팸 발송자들은 일주일 내내 일정하게 활동했다.

IBM 엑스포스 연구원들은 사이버범죄자들이 다른 국가의 스팸 발송자들과 메시지를 교환하기 위해 계약을 맺을 수도 있지만, 대부분의 스팸 발송자들은 동일한 국가의 피해자들을 표적으로 할 때에는 스팸 필터에 적법하게 나타나는 경향이 있다고 지적했다. 유럽, 인도, 남미 등지에서의 스팸 발송자는 낮동안 활동하고 야간에는 활동을 하지않는 전통적인 근무 시간과 동일한 일정을 따르는 경향이 높았으며, 북미 지역 스팸 발송자는 하루종일 끊임없는 활동을 펼쳤다.

보안 팀은 목요일에 특히 조심해야 할 필요가 있다. 악의적인 첨부파일, 악의적인 URL, 랜섬웨어와 PoS 감염은 모두 목요일에 가장 많다. 신원 정보를 훔치는 범죄자들 또한 목요일을 선호한다. 악의적인 첨부파일은 목요일에 확실히 증가했지만, 악의적인 URL(신원 정보를 훔치기 위한 피싱 공격의 가장 보편적인 방법)이 있는 이메일은 화요일과 목요일에 조금 증가했지만 주일 전체에 걸쳐 일정했다.

성공율, 특정시간에 높다
공격자들은 직원의 이메일 습관을 이해하고 적시에 잘 만들어진 이메일을 통해 직원들을 공격하는 것이 성공률이 높다는 것을 알고 있다. 대부분의 공격 이메일은 영업일 시작 후 4시간에서 5시간 후에 보내며, 점심 시간 전후에 최고조에 달한다. 프루프포인트 분석에 따르면, 악의적인 URL에 대한 클릭 가운데 90%가 처음 24시간 이내에 이뤄지며 절반은 1시간 이내에 발생한다. 그 가운데 클릭의 1/4이 단 10분 내에 발생한다.

피해자의 받은 편지함에 도착한 이메일과 실제로 악의적인 링크를 클릭하는 시간과의 간격은 업무 시간 중에 가장 짧다. 미국과 캐나다 내에서는 오전 8시부터 오후 3시까지다. 유럽의 다른 지역에서도 비슷한 패턴을 보였지만 지역별로 몇 가지 뚜렷한 차이가 있었다. 프랑스 사용자들은 악의적인 링크를 클릭하는 시간이 오후 1시경에 최고조에 달했지만, 스위스, 독일 사용자는 근무 초기 시간대에 최고점에 달하는 경향이 있었다. 영국 직원들은 클릭이 분산되는 경향이 있지만 오후 2시 이후에는 클릭률이 급격하게 감소했다.

처음에는 악의적인 메시지가 받은 편지함에 도달하는 것을 차단하는 것이 중요하지만, 이메일 방어의 또 다른 기능으로 이미 전달된 메시지에 대해 플래그를 지정하고 해당 링크가 악의적인 것으로 인식하고 차단할 수 있어야 한다. 받은 편지함에 악의적인 URL이 오래 있을수록 사용자가 클릭할 확률이 높아지기 때문에 이런 링크를 차단하거나 전달된 후에도 이메일을 사전에 제거하면 위협을 줄일 수 있다.

IBM 엑스포스는 최근 스팸 발송자는 드리덱스(Dridex), 트릭봇(TrickBot), 칵봇(Qakbot)과 같은 뱅킹 트로이목마와 랜섬웨어를 사용자에게 무차별로 보내는 것이 아니라 조직들을 표적으로 한다고 전했다. IBM 엑스포스 연구원은 "이 범죄자들은 악의적인 이메일을 열어볼 가능성이 있는 시기에 직원들에게 스팸 메일을 보낸다. 수신된 이메일을 열 가능성을 높여 잠재적인 새로운 피해자 수를 높이기 위함이다"고 말했다.

사이버범죄, 쉬는 날은 없다 
프루프프린트의 조사 분석은 이메일 기반의 공격에 중점을 두고 2016년 말까지 진행됐다. 하지만 주중에 활동하는 위협요소는 이메일만이 아니다. 2017년 1분기 이센타이어(eSentire) SOC에서 조사한 모든 공격을 분석한 결과, 일부 공격은 특정 날짜에 더 자주 발생한다는 사실이 밝혀졌다.

이센타이어 보고서는 분산서비스거부(DDoS), 사기, 정보 수집, 침입 시도, 악성코드 등과 같은 가용성 공격을 포함한 위협의 양은 금요일에 가장 높았으며, 목요일이 뒤를 이었다. 가용성 공격은 요일에 별다른 차이가 없었지만, 사기 행위는 주말에 아주 크게 감소했다. 목요일에는 악성코드가 가장 많았으며, 금요일에는 침입 시도가 더 많았다.


주중 시간별 스팸 양.  Credit: IBM 

네커스(Necurs)와 같은 봇넷은 절대로 멈추지 않으며, 좀비들이 언제든 스팸을 뿌리도록 프로그래밍할 수 있다. 또한 스팸 발송자는 메일러, 트래픽 분산 시스템, 그리고 해킹 컴퓨터를 사용해 악성 활동을 수행한다. 그러나 스팸 발송자는 스팸 필터를 우회해 피해자 수신함에 전달하기 위해 지속적으로 정제해야 하기 때문에 자동화된 도구에만 의존하지 않는다. 예를 들어, 네커스 봇넷을 사용하는 스팸 발송자는 최근에 위장된 도큐사인(DocuSign) 파일을 제공하기 위해 익스플로잇이 내장된 오피스 문서를 전송하는 방법으로 전환했다.

IBM 엑스포스 연구원은 "공격 방법을 배우고 활동을 추적함으로써 방어자는 위험을 효과적으로 관리하고 스팸으로부터 조직을 안전하게 지킬 수 있다"고 전했다.

방어할 때에는 쉬는 시간이 없다. 이메일 메시지가 도착할 때 사용자가 받은 편지함에 도달하기 전에 조사하는 보안 도구는 성능 저하없이 트래픽 최대치를 처리할 수 있어야 한다. 그러나 수주일이 지나면 악성코드과 신원 절도 측면에서 악화되는 경향이 있다는 걸 방어자들이 알고 있다면 추가 감염을 탐지하기 위해 추가 모니터링 및 검사를 실시할 수 있다. 또한 경보를 조사하기 위해 후반에 더 많은 시간을 할당함으로써 보안팀은 공격을 좀더 빨리 탐지하고 잠재적 피해를 줄일 수 있다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.