2019.09.26

"뛰는 놈 위에 나는 놈" 풍부한 PII 악용해 정교한 가장 공격 가능

Maria Korolov | CSO
각 기업이 계정 점유, 스피어피싱 및 기타 가장(impersonation) 공격에 대한 보호를 강화하게 되자 공격자들은 더 많고 풍부한 개인 식별 정보(Personally Identifiable Information, PII)를 수집하는 방식으로 대응하고 있다. 방어하는 입장에서는 불행한 일이지만 이 정보는 공개적인 소스와 유출된 데이터베이스, 블랙마켓 등을 통해 손쉽게 구할 수 있다. 이로 인해 더욱 정밀한 기업 고위 임원 대상 공격이 가능해진다.

 

ⓒ Getty Images Bank 


입증된 음성 딥페이크의 효과

기업은 실적 발표 녹음 파일을 온라인에 게시하는 경우가 많다. 포레스터 리서치의 부사장 겸 연구 책임자인 메리트 맥심은 "공격자들은 이런 파일에서 공격 대상의 실제 음성 샘플을 손쉽게 입수할 수 있다"면서, “이 오디오 파일을 사용해서 예를 들어 ‘급한 일이 있으니까 이 사람에게 송금하라’와 같은 CEO의 가짜 음성 파일을 만들 수 있다. 앞으로 이와 같은 시나리오가 증가할 것이다”고 말했다.

이 기술은 하루가 다르게 발전하고 사용하기도 쉬워진다. 인공지능 업체 데사(Dess)의 시연에서 실제 이 기술이 어떻게 작동하는지 볼 수 있다. 이 시연은 데사가 개발한 문자 음성 변환(text-to-speech) 딥 러닝 시스템을 사용해 팟캐스터인 조 로건의 음성을 재현했다.

시만텍 CTO 휴 톰슨에 따르면, 딥페이크(Deepfakes) 음성을 사용한 최근 3차례의 공격은 기업에 수백만 달러 규모의 피해를 입혔다. 톰슨의 설명에 따르면, 먼저 재무팀의 누군가가 딥페이크 공격을 받았다. 즉, CEO와 목소리가 똑같은 사람에게서 전화를 받게 된다. 가짜 CEO는 ‘분기 말이니 1시간 이내에 송금을 해야 한다. 아주 중요한 건이다. 분기가 끝나기 전에 이 공급업체에 대금을 지불해야 한다’고 말한다. 톰슨은 회사 직원이 사기꾼들에게 1,000만 달러를 송금한 경우도 있다고 말했다.


동영상 딥페이크를 사용한 공격

AI가 생성하는 비디오를 활용한 라이브 화상 통화 공격에도 대비해야 한다. 딜로이트 앤 투치(Deloitte & Touche LLP)의 딜로이트 사이버 부문 이사인 스콧 쿄세얀은 “지난 주에 연애 사기에 대한 프레젠테이션을 봤다”면서 “발표하는 남자가 버튼을 누르자 여자가 웃었다. 윙크를 시키면 윙크를 했다. 발표자가 말을 하면 그 목소리가 여자의 목소리로 바뀌고 비디오와 입 모양도 일치했다. 피해자는 실제 여성과 이야기하는 것으로 생각했지만 사실은 남자가 모든 것을 조종하고 있었다. 완전한 진짜처럼 보이는 완전한 가짜였다”고 말했다.


개인에 대한 심층 정보, BEC 사기에 악용

이런 류의 공격은 회사 경영진을 가장해 회사 직원을 속여 돈을 보내도록 한다는 면에서 기업 이메일 침해(BEC) 사기에서 진화된 형태라고 할 수 있다. FBI에 따르면, 지난 3년 동안 BEC 공격이 기업에 입힌 피해 규모는 260억 달러 이상이며, 여기서 약 절반은 지난해 1년 동안의 피해 금액이다.

스콧 쿄세얀은 "BEC 사기와 기타 스피어피싱 공격의 경우 공격자가 가장하려는 대상에 대해 자세히 알수록 성공 가능성도 높아진다"면서, “가장하려는 사람에 대해 잘 알면 그만큼 잘 가장할 수 있다. 출장 중인지 여부를 알고 가족과 비즈니스 관계, 직속 상사와 부하직원이 누구인지도 안다”고 말했다.

쿄세얀은 해커가 많은 정보를 손쉽게 입수할 수 있다고 말했다. 여기에는 보안 질문에 답하는 데 필요한 데이터, 즉 공격 대상의 가족이나 주소 변동 내역, 고향, 부모 이름 등도 포함된다.


범죄 시장에서 판매되는 풍부한 기술 데이터

쿄세얀은 찾기가 더 어려운 정보는 사용자에 대한 세부적인 기술적 데이터라고 말했다. 디바이스의 지문 및 행동 분석을 사용해 은행 계좌나 회사 시스템에 대한 의심스러운 접근을 찾아내는 기업이 늘고 있기 때문이다. 사용자의 컴퓨터에 침입해 이 정보를 수집하려면 어느 정도의 기술이 필요하다.

그러나 쿄세얀은 범죄자 생태계에서 이 부분도 진화하고 있다면서 새로운 공급자들은 풍부한 기술적 PII를 서비스 형태로 제공한다고 말했다. 쿄세얀은 “랜섬웨어 분야에서 이와 같은 수법이 발전하고 있다. 더 이상 프로그래밍 전문가일 필요가 없다. 키트를 구매할 수도 있고, 정보나 액세스 권한을 구매할 수도 있다. 계획을 실행하기만 하면 된다. 다른 사람이 범죄 기술을 서비스로 제공하기 때문이다”고 말했다.

위협 정보 제공업체 인트사이트(IntSights)에 따르면, 디지털 ID에서 가장 유력한 두 업체는 리치로그(Richlogs)와 제네시스(Genesis)다. 인트사이트의 리서치 수장인 애리얼 아인호렌에 따르면, 둘 중 제네시스가 더 먼저 등장했다. 이 시장은 지난해 가을부터 형성돼 브라우저 및 컴퓨터 특징까지 포함한, 사람들의 디지털 지문 전체를 상품으로 제공하기 시작했다. 판매되는 사용자 프로필의 수는 처음에는 수백 개 수준이었지만 지금은 10만 개 이상이다.

리치로그는 지난 4월에 시장에 가세했으며 약 6,000개의 사용자 프로필을 판매 중이다. 아인호렌은 “몇 개월째 베타 단계지만 매일 그 규모가 커지고 있다”고 말했다.

리치로그는 업체 자체의 봇넷에 의해 침해된 피해자의 컴퓨터에 대한 직접 액세스도 제공한다. 경우에 따라 구매자는 사용자의 일거수일투족을 관찰할 수도 있다. 아인호렌은 “키로깅을 비약적으로 강화한 형태로 볼 수 있다”고 말했다. 리치로그 고객은 침투 수준에 따라 시스템에 대한 원격 액세스 권한을 갖는 경우도 있다.

아인호렌은 두 시장 모두 기술적인 지식은 필요 없다면서 “복잡한 툴이나 컨트롤러를 사용할 줄 몰라도 상관없다. 자습서를 구매해 안내에 따라 피해자의 세부정보를 갖고 원하는 공격을 할 수 있다”고 말했다.

예를 들어 피해자의 웹사이트 세션을 모조할 수 있는 애드온도 있다. 아인호렌은 다크웹에 액세스하는 방법을 몰라도 이러한 사이트를 이용할 수 있다면서 “공개적으로 운영되는 사이트이므로 접속하기 위해 토르(TOR)도 필요 없다”고 말했다.

또한 사이트에는 수시로 새로운 기능이 추가된다. 예를 들어 범죄자는 비트코인 지갑, 은행 사이트 액세스 기록의 존재 여부를 필터링하거나 지리적인 위치를 필터링할 수 있다. 주된 사용 사례는 이베이, 페이팔, 주요 은행 등 대규모 소비자 지향 플랫폼의 계정을 점유하는 것이다. 

아인호렌은 “그러나 집 컴퓨터에서 기업 네트워크에 액세스하는 경우도 볼 수 있다”면서, “범죄자가 리치로그나 제네시스에 기업 네트워크 또는 시스템에 액세스하는 프로필을 요청할 방법은 없지만 사이트에는 항상 새로운 기능이 추가되고 있다”고 덧붙였다. 

사이버보안 리서치 업체 비질랜티(Vigilante)의 CTO이자 최고 정보 책임자인 크리스티안 리스에 따르면, 범죄자들은 가치가 있는 사용자 프로필에 더 높은 값을 요구한다. 예를 들어 애저 관리자와 같은 프로필이 해당된다. 프로필당 가격은 수 달러부터 수천 달러까지 다양하다.


풍부한 PII 악용에 대응하기 위한 방어책

기업은 사용자가 집에서 회사 시스템에 액세스하는 데 사용하는 개인용 디바이스를 포함해 사용자의 컴퓨터를 보호하기 위한 기본적인 위생 체계를 마련해야 한다. 이중 요소 인증 역시 위험을 대폭 낮출 수 있는 방법이다.

그러나 공격자가 실제 사용자를 충분한 수준으로 모조할 수 있다면 2차 인증 단계를 피해갈 가능성도 있다. 예를 들어 사용자가 금융업체에 로그인할 때 금융업체는 지난 로그인, 쿠키나 컴퓨터 화면 해상도와 같은 환경적 변수를 확인한다. 이런 정보가 일치한다고 판단되면 은행은 사용자의 전화기로 1회용 액세스 코드를 전송하는 단계를 생략하는 경우도 있다.

많은 금융업체가 이 문제를 인지하고, 연락처 정보 변경 또는 새로운 수취인 대상의 송금과 같은 모든 민감한 거래에 대해 2차 인증 단계를 실시한다. 마찬가지로, 기업 역시 직원이 잘 알려진 디바이스에서 계정에 액세스하는지 여부를 확인하는 수준을 넘어 행동 분석과 이중 요소 인증을 추가해 보안 계층을 강화할 수 있다. 기업 환경을 사용자 시스템으로부터 격리하는 가상 데스크톱 툴도 사용할 수 있다. 집 컴퓨터에서 로그인하는 경우 유용하다.

직원과 경영진 모두 상식적인 조치를 통해 개인 정보 유출을 방지할 수도 있다. 리스는 “개인적으로 디지털 흔적 줄이기를 적극 지지한다. 우리가 하는 모든 일을 공유할 필요는 없다”고 말했다.

포레스터의 맥심은 "조금 더 선제적으로 대응하고자 하는 기업은 고객 또는 직원 정보가 다크웹에 있는지 여부를 찾아주는 서비스를 사용할 수 있다"면서, “이른바 디지털 위험 보호다. 기업은 내부 정보가 유출되어 떠돌고 있는지 여부를 확인할 수 있다”고 말했다. 이 분야의 업체는 유출 또는 도난된 정보, 그리고 가짜 브랜드 사이트나 소셜 미디어 계정 등의 기타 브랜드 위험 요소를 찾아준다.

시큐리티스코어카드(SecurityScorecard)의 연구원인 알렉스 하이드는 기업이 취할 수 있는 또 다른 선제적 조치는 공격자가 사용하는 툴을 찾아서 구하는 것이라고 말했다. 이렇게 하면 잠재적 공격을 탐지하고 완화하는 방법을 알 수 있다.

수백만 달러 규모의 BEC 사기와 같이 규모가 큰 공격의 경우 대부분 해결책은 비즈니스 프로세스 수정에 비해 기술적인 성격이 많지 않다. 딜로이트의 쿄세얀은 "기업이 BEC에 대응해 마련할 수 있는 가장 효과적인 통제 수단 중 하나는 이중 관리(dual custody)다. 기민함을 원하는 기관에서는 가장 구현하기 어려운 통제 수단이기도 하다”고 말했다.

이 방식은 특정 규모 이상의 거래에 대해 반드시 2~3명의 사람들이 서명하는 것이다. 쿄세얀은 “서명이 필요한 사람의 수는 각자의 위험 감수 성향에 따라 정하면 된다. 그러나 특정 금액 이상의 거래라면 계좌에서 출금하기 전에 CFO에게도 확인을 받는 것이 훨씬 안심될 것이다”고 말했다. editor@itworld.co.kr


2019.09.26

"뛰는 놈 위에 나는 놈" 풍부한 PII 악용해 정교한 가장 공격 가능

Maria Korolov | CSO
각 기업이 계정 점유, 스피어피싱 및 기타 가장(impersonation) 공격에 대한 보호를 강화하게 되자 공격자들은 더 많고 풍부한 개인 식별 정보(Personally Identifiable Information, PII)를 수집하는 방식으로 대응하고 있다. 방어하는 입장에서는 불행한 일이지만 이 정보는 공개적인 소스와 유출된 데이터베이스, 블랙마켓 등을 통해 손쉽게 구할 수 있다. 이로 인해 더욱 정밀한 기업 고위 임원 대상 공격이 가능해진다.

 

ⓒ Getty Images Bank 


입증된 음성 딥페이크의 효과

기업은 실적 발표 녹음 파일을 온라인에 게시하는 경우가 많다. 포레스터 리서치의 부사장 겸 연구 책임자인 메리트 맥심은 "공격자들은 이런 파일에서 공격 대상의 실제 음성 샘플을 손쉽게 입수할 수 있다"면서, “이 오디오 파일을 사용해서 예를 들어 ‘급한 일이 있으니까 이 사람에게 송금하라’와 같은 CEO의 가짜 음성 파일을 만들 수 있다. 앞으로 이와 같은 시나리오가 증가할 것이다”고 말했다.

이 기술은 하루가 다르게 발전하고 사용하기도 쉬워진다. 인공지능 업체 데사(Dess)의 시연에서 실제 이 기술이 어떻게 작동하는지 볼 수 있다. 이 시연은 데사가 개발한 문자 음성 변환(text-to-speech) 딥 러닝 시스템을 사용해 팟캐스터인 조 로건의 음성을 재현했다.

시만텍 CTO 휴 톰슨에 따르면, 딥페이크(Deepfakes) 음성을 사용한 최근 3차례의 공격은 기업에 수백만 달러 규모의 피해를 입혔다. 톰슨의 설명에 따르면, 먼저 재무팀의 누군가가 딥페이크 공격을 받았다. 즉, CEO와 목소리가 똑같은 사람에게서 전화를 받게 된다. 가짜 CEO는 ‘분기 말이니 1시간 이내에 송금을 해야 한다. 아주 중요한 건이다. 분기가 끝나기 전에 이 공급업체에 대금을 지불해야 한다’고 말한다. 톰슨은 회사 직원이 사기꾼들에게 1,000만 달러를 송금한 경우도 있다고 말했다.


동영상 딥페이크를 사용한 공격

AI가 생성하는 비디오를 활용한 라이브 화상 통화 공격에도 대비해야 한다. 딜로이트 앤 투치(Deloitte & Touche LLP)의 딜로이트 사이버 부문 이사인 스콧 쿄세얀은 “지난 주에 연애 사기에 대한 프레젠테이션을 봤다”면서 “발표하는 남자가 버튼을 누르자 여자가 웃었다. 윙크를 시키면 윙크를 했다. 발표자가 말을 하면 그 목소리가 여자의 목소리로 바뀌고 비디오와 입 모양도 일치했다. 피해자는 실제 여성과 이야기하는 것으로 생각했지만 사실은 남자가 모든 것을 조종하고 있었다. 완전한 진짜처럼 보이는 완전한 가짜였다”고 말했다.


개인에 대한 심층 정보, BEC 사기에 악용

이런 류의 공격은 회사 경영진을 가장해 회사 직원을 속여 돈을 보내도록 한다는 면에서 기업 이메일 침해(BEC) 사기에서 진화된 형태라고 할 수 있다. FBI에 따르면, 지난 3년 동안 BEC 공격이 기업에 입힌 피해 규모는 260억 달러 이상이며, 여기서 약 절반은 지난해 1년 동안의 피해 금액이다.

스콧 쿄세얀은 "BEC 사기와 기타 스피어피싱 공격의 경우 공격자가 가장하려는 대상에 대해 자세히 알수록 성공 가능성도 높아진다"면서, “가장하려는 사람에 대해 잘 알면 그만큼 잘 가장할 수 있다. 출장 중인지 여부를 알고 가족과 비즈니스 관계, 직속 상사와 부하직원이 누구인지도 안다”고 말했다.

쿄세얀은 해커가 많은 정보를 손쉽게 입수할 수 있다고 말했다. 여기에는 보안 질문에 답하는 데 필요한 데이터, 즉 공격 대상의 가족이나 주소 변동 내역, 고향, 부모 이름 등도 포함된다.


범죄 시장에서 판매되는 풍부한 기술 데이터

쿄세얀은 찾기가 더 어려운 정보는 사용자에 대한 세부적인 기술적 데이터라고 말했다. 디바이스의 지문 및 행동 분석을 사용해 은행 계좌나 회사 시스템에 대한 의심스러운 접근을 찾아내는 기업이 늘고 있기 때문이다. 사용자의 컴퓨터에 침입해 이 정보를 수집하려면 어느 정도의 기술이 필요하다.

그러나 쿄세얀은 범죄자 생태계에서 이 부분도 진화하고 있다면서 새로운 공급자들은 풍부한 기술적 PII를 서비스 형태로 제공한다고 말했다. 쿄세얀은 “랜섬웨어 분야에서 이와 같은 수법이 발전하고 있다. 더 이상 프로그래밍 전문가일 필요가 없다. 키트를 구매할 수도 있고, 정보나 액세스 권한을 구매할 수도 있다. 계획을 실행하기만 하면 된다. 다른 사람이 범죄 기술을 서비스로 제공하기 때문이다”고 말했다.

위협 정보 제공업체 인트사이트(IntSights)에 따르면, 디지털 ID에서 가장 유력한 두 업체는 리치로그(Richlogs)와 제네시스(Genesis)다. 인트사이트의 리서치 수장인 애리얼 아인호렌에 따르면, 둘 중 제네시스가 더 먼저 등장했다. 이 시장은 지난해 가을부터 형성돼 브라우저 및 컴퓨터 특징까지 포함한, 사람들의 디지털 지문 전체를 상품으로 제공하기 시작했다. 판매되는 사용자 프로필의 수는 처음에는 수백 개 수준이었지만 지금은 10만 개 이상이다.

리치로그는 지난 4월에 시장에 가세했으며 약 6,000개의 사용자 프로필을 판매 중이다. 아인호렌은 “몇 개월째 베타 단계지만 매일 그 규모가 커지고 있다”고 말했다.

리치로그는 업체 자체의 봇넷에 의해 침해된 피해자의 컴퓨터에 대한 직접 액세스도 제공한다. 경우에 따라 구매자는 사용자의 일거수일투족을 관찰할 수도 있다. 아인호렌은 “키로깅을 비약적으로 강화한 형태로 볼 수 있다”고 말했다. 리치로그 고객은 침투 수준에 따라 시스템에 대한 원격 액세스 권한을 갖는 경우도 있다.

아인호렌은 두 시장 모두 기술적인 지식은 필요 없다면서 “복잡한 툴이나 컨트롤러를 사용할 줄 몰라도 상관없다. 자습서를 구매해 안내에 따라 피해자의 세부정보를 갖고 원하는 공격을 할 수 있다”고 말했다.

예를 들어 피해자의 웹사이트 세션을 모조할 수 있는 애드온도 있다. 아인호렌은 다크웹에 액세스하는 방법을 몰라도 이러한 사이트를 이용할 수 있다면서 “공개적으로 운영되는 사이트이므로 접속하기 위해 토르(TOR)도 필요 없다”고 말했다.

또한 사이트에는 수시로 새로운 기능이 추가된다. 예를 들어 범죄자는 비트코인 지갑, 은행 사이트 액세스 기록의 존재 여부를 필터링하거나 지리적인 위치를 필터링할 수 있다. 주된 사용 사례는 이베이, 페이팔, 주요 은행 등 대규모 소비자 지향 플랫폼의 계정을 점유하는 것이다. 

아인호렌은 “그러나 집 컴퓨터에서 기업 네트워크에 액세스하는 경우도 볼 수 있다”면서, “범죄자가 리치로그나 제네시스에 기업 네트워크 또는 시스템에 액세스하는 프로필을 요청할 방법은 없지만 사이트에는 항상 새로운 기능이 추가되고 있다”고 덧붙였다. 

사이버보안 리서치 업체 비질랜티(Vigilante)의 CTO이자 최고 정보 책임자인 크리스티안 리스에 따르면, 범죄자들은 가치가 있는 사용자 프로필에 더 높은 값을 요구한다. 예를 들어 애저 관리자와 같은 프로필이 해당된다. 프로필당 가격은 수 달러부터 수천 달러까지 다양하다.


풍부한 PII 악용에 대응하기 위한 방어책

기업은 사용자가 집에서 회사 시스템에 액세스하는 데 사용하는 개인용 디바이스를 포함해 사용자의 컴퓨터를 보호하기 위한 기본적인 위생 체계를 마련해야 한다. 이중 요소 인증 역시 위험을 대폭 낮출 수 있는 방법이다.

그러나 공격자가 실제 사용자를 충분한 수준으로 모조할 수 있다면 2차 인증 단계를 피해갈 가능성도 있다. 예를 들어 사용자가 금융업체에 로그인할 때 금융업체는 지난 로그인, 쿠키나 컴퓨터 화면 해상도와 같은 환경적 변수를 확인한다. 이런 정보가 일치한다고 판단되면 은행은 사용자의 전화기로 1회용 액세스 코드를 전송하는 단계를 생략하는 경우도 있다.

많은 금융업체가 이 문제를 인지하고, 연락처 정보 변경 또는 새로운 수취인 대상의 송금과 같은 모든 민감한 거래에 대해 2차 인증 단계를 실시한다. 마찬가지로, 기업 역시 직원이 잘 알려진 디바이스에서 계정에 액세스하는지 여부를 확인하는 수준을 넘어 행동 분석과 이중 요소 인증을 추가해 보안 계층을 강화할 수 있다. 기업 환경을 사용자 시스템으로부터 격리하는 가상 데스크톱 툴도 사용할 수 있다. 집 컴퓨터에서 로그인하는 경우 유용하다.

직원과 경영진 모두 상식적인 조치를 통해 개인 정보 유출을 방지할 수도 있다. 리스는 “개인적으로 디지털 흔적 줄이기를 적극 지지한다. 우리가 하는 모든 일을 공유할 필요는 없다”고 말했다.

포레스터의 맥심은 "조금 더 선제적으로 대응하고자 하는 기업은 고객 또는 직원 정보가 다크웹에 있는지 여부를 찾아주는 서비스를 사용할 수 있다"면서, “이른바 디지털 위험 보호다. 기업은 내부 정보가 유출되어 떠돌고 있는지 여부를 확인할 수 있다”고 말했다. 이 분야의 업체는 유출 또는 도난된 정보, 그리고 가짜 브랜드 사이트나 소셜 미디어 계정 등의 기타 브랜드 위험 요소를 찾아준다.

시큐리티스코어카드(SecurityScorecard)의 연구원인 알렉스 하이드는 기업이 취할 수 있는 또 다른 선제적 조치는 공격자가 사용하는 툴을 찾아서 구하는 것이라고 말했다. 이렇게 하면 잠재적 공격을 탐지하고 완화하는 방법을 알 수 있다.

수백만 달러 규모의 BEC 사기와 같이 규모가 큰 공격의 경우 대부분 해결책은 비즈니스 프로세스 수정에 비해 기술적인 성격이 많지 않다. 딜로이트의 쿄세얀은 "기업이 BEC에 대응해 마련할 수 있는 가장 효과적인 통제 수단 중 하나는 이중 관리(dual custody)다. 기민함을 원하는 기관에서는 가장 구현하기 어려운 통제 수단이기도 하다”고 말했다.

이 방식은 특정 규모 이상의 거래에 대해 반드시 2~3명의 사람들이 서명하는 것이다. 쿄세얀은 “서명이 필요한 사람의 수는 각자의 위험 감수 성향에 따라 정하면 된다. 그러나 특정 금액 이상의 거래라면 계좌에서 출금하기 전에 CFO에게도 확인을 받는 것이 훨씬 안심될 것이다”고 말했다. editor@itworld.co.kr


X