보안

새로운, 그리고 막장에 이른 소셜 엔지니어링 사기 4가지

Stacy Collett | CSO 2014.04.24
컴퓨터 파일이 '인질'이 될 수 있다.
"몸값을 내라. 그렇지 않으면 파일이 사라질 것이다.", "은행 계좌에서 잔고가 빠져나가고 있다. 이를 막으려면 여기를 클릭하라!", "친구가 목숨을 잃었다. 장례식장 위치를 확인하려면 여기를 클릭하라!” 등 소셜 엔지니어링 사기가 새로운 '막장 단계'에 도달했다.

인간의 행동양태를 이용해 데이터를 빼내거나 기업 네트워크에 침입하는 범죄인 소셜 엔지니어(Social Engineer)는 과거의 경우 무료 상품이나 재미있는 동영상을 클릭하도록 만들어 사기로 유도하는 콘텐츠였다.

현재 소셜 엔지니어링 범죄자들은 '강압적인' 전술과 위협, 감정에 호소하는 '냉정함', '무시무시한' 최후통첩을 활용하고 있다.

스피어 피싱(Spear-phising) 공격에 사용된 이메일과 이런 이메일의 표적 수는 감소했다. 그러나 4월 중순 시만텍이 발표한 '2014년 인터넷 보안 위협 보고서(2014 Internet Security Threat Report)에 따르면, 스피어 피싱 활동 수 자체는 2013년에 91%로 뛰어 올랐다.

활동 기간 또한 2012년보다 3배가 길어졌다. 또한 사용자 인식이 증가하고 보호 기술이 향상되면서 스피어 공격자들이 표적을 더 좁히고, 소셜 엔지니어링을 강화하고 있는 것으로 조사됐다.

특히 소셜 엔지니어링 공격자들은 성공 확률을 높이기 위해 실제와 가상의 공격을 결합하고 있는 것으로 밝혀졌다.

소셜-엔지니어 주식회사(Social-Engineer Inc.) CHH(Chief Human Hacker) 크리스 하나기는 기업 직원들을 대상으로 이런 전술을 사용하는 빈도가 증가했다고 말했다.

하나기는 "악성 첨부물을 첨부해 그룹으로 피싱 이메일을 보내면 일반적으로 직원들은 이를 경계한다. 그러나 피싱 공격자들은 여기에 그치지 않고 직접 전화를 건다. 그리고 '회계부의 아무개라고 합니다. 방금 스프레드시트가 첨부된 이메일 한 통을 발송했습니다. 즉시 열어서 확인해주십시오'라고 말한다. 이렇게 하면 상대방을 신뢰해 시키는 대로 행동하게 된다"고 설명했다.

그리고 최근 인터넷 사기에서는 이와 같은 소셜 엔지니어링 전술이 '통로' 역할을 하고 있다.

1. 새로우면서도 치명적인 랜섬웨어를 이용한 피싱
2013년, 랜섬웨어가 기업들의 시선을 사로잡았다. 마이크로소프트 윈도우 기반의 컴퓨터를 감염시켜, 로컬에 저장된 파일과 공유 서버의 파일을 암호화 하는 크립토락커(CryptoLocker) 바이러스 때문이었다.

사이버 범죄자는 이후 추적이 불가능한 비트코인으로 암호 키에 대한 대가를 지불할 것을 요구했다. 약 500달러정도의 금액이었다. 피해자가 시간을 끌수록 '몸값'이 올라간다. 아니면 데이터가 삭제될 위험도 있다.

2014년에는 이를 모방한 크립토디펜스(CryptoDefense)가 등장했다. 이는 해독이 힘든 강력한 RSA-2048 키로 텍스트, 사진, 동영상, PDF, MS 오피스 파일 등을 암호화시키는 바이러스다. 이 바이러스는 많은 백업 프로그램에서 사용되는 섀도 복사본(Shadow Copies) 또한 삭제한다.

2월 노스캐롤라이나 샬럿(Charlotte) 소재의 법률회사에서 크립토락커에 파일 서버가 감염되어 파일 전체가 사라지는 사고가 발생했다. IT 팀이 감염된 장치를 치료하려 시도했었다. 그러나 계획대로 치료를 할 수 없었다. 이에 로펌은 '몸값'을 지불하려 했다. 그러나 악성코드를 변경했기 때문에 소용이 없었다.

이 소셜 엔지니어링 공격은 AT&T를 발신자로 하는 악성 첨부 파일이 첨부된 이메일을 사용했다. 이를 전화 응답 서비스에서 보낸 음성 메일 메시지로 잘못 처리하면서 사고가 발생한 것이다.

1주일에 한 차례 파일을 백업하는 기업들은 이런 사기에 취약하다. 이들은 몸값을 지불하려는 경우가 많다.

플로리다 클리어워터(Clearwater) 소재 보안 교육업체인 노우비4(KnowBe4 LLC)를 공동 창업한 스튜 슈어먼은 "몸값을 지불하거나, 아니면 일주일 동안의 작업 분량을 포기해야 하는 선택을 할 수 밖에 없다"고 말했다.

앞서 법률회사의 경우 사기 범죄자들은 가짜 AT&T 이메일 주소를 사용했다. 그러나 다른 통신업체에서는 이런 피싱 사기의 변종이 사용됐다.

시만텍은 범죄자들이 사이버락커(Cyberlocker) 같은 랜섬웨어를 이용해 2013년 말 한달 동안에만 3만 4,000달러의 부당이익을 챙겼다고 추정했다.

스피어 피싱 공격에서 직원 500명 미만의 중소기업이 차지하는 비율은 약 41%로 2012년의 36%보다 증가했다. 직원 2,500명 이상인 대기업의 비율은 39%였다. 2011년과 2012년에 이 비율은 50%였다.

버지니아 챈틸리(Chantilly)에 본사를 두고 있는 피시미닷컴(PhishMe.com) 부사장 스콧 그로우 부사장은 중소기업에는 두 가지 문제가 있다고 지적했다.

그로우는 "첫째, 사기 범죄자들이 자신을 노릴 이유가 없다고 지레짐작하는 문제가 있다. 둘째, 전통적인 보안 툴을 갖고 있기는 하다. 그러나 시대에 뒤떨어져 있는 것이 문제다. 웹 필터링을 사용하고 있는 경우도 마찬가지"라고 설명했다.

슈어먼은 "문제가 발생하기 전에 아주 자주 백업하고, 복원을 할 수 있는지 테스트를 해야 한다"고 강조했다. 또 전 직원을 대상으로 보안 인식을 높이는 교육에 투자해야 한다고.

2. 신용카드 정보를 표적으로 삼는 IVR과 로보콜
인터랙티브 보이스 응답 시스템과 자동 녹음 전화인 로보콜(Robocall)이 신용카드 및 비밀번호 정보를 노리는 새로운 소셜 엔지니어링 사기에 악용되고 있다. 범죄자들은 전화번호를 훔치고, 로보콜러를 이용해 직원들에게 전화를 건다. 그러면 의심을 하지 않는다.

슈어먼은 "100% 자동화되어 있다. '당신이 이용하고 있는 신용카드 업체입니다. 의심스러운 카드 사용 내역을 확인해 전화를 드립니다. 3,295달러짜리 평면 TV를 구매하신 적이 있습니까? 그렇다면 1번, 아니라면 2번을 누르십시오'라는 메시지를 내보낸다. 전화를 받은 피해자가 2번을 누를 경우, 신용카드 번호, 만료일, 비밀번호를 입력하도록 요구한다. 일부 직원들은 회사 신용카드를 사기 당했을 경우 문제가 될까 우려하는데, 범죄자는 이런 점도 악용한다"고 설명했다.

또한 "이것도 부족해 피해자에게 휴대폰 번호를 입력하라고 요구한다. 고객 서비스 담당자가 문제를 확인해 처리한 후 연락을 주기 위해 필요하다는 이유"라고 덧붙였다.

아틀랜타의 정보 보안 컨설팅 업체인 CG 실버스 컨설팅(CG Silvers Consulting)의 오너이자 컨설턴트 크리스 실버는 "통상 이런 사기는 소비자를 표적으로 삼는다고 생각한다. 그러나 로보콜과 IVR은 기업 또한 표적으로 삼는다"고 말했다.

실버는 "내부 보이스메일 시스템 전화를 사칭해, 직원에게 비밀번호와 비상용 휴대폰 번호 등 개인 정보를 입력하거나 말하도록 유도하는 사례가 많다"고 덧붙였다.

예방책이 있다. 로보콜과 콜러 ID(발신자 ID)의 이름을 믿지 않는 것이다. 로보콜 사기를 알려주는 신호도 있다. 예를 들어 '당신이 이용하고 있는 신용카드입니다'라고 말하지 '실제 회사명'은 말하지 않는다.

3. 스피어 피싱 공격에 악용되는 의료 기록
2013년 많은 데이터 침해 사고가 발생했다. 그리고 범죄자들이 개인을 식별할 수 있는 정보를 움켜쥐고, 여러 기록을 통합하기 시작한 것으로 밝혀졌다. 여기에는 의료 기록도 포함된다.

예를 들어, 고용주와 기업의 의료보험업체가 이메일을 발송한 것처럼 속인다. 의료보험 약관과 요율이 변경됐다는 내용이 담긴 가짜 이메일이다. 자녀 수를 감안해 요율을 낮춰주겠다고 제안한다. 그리고 언뜻 보기에는 의료보험 회사의 웹페이지로 보이는 링크를 클릭하도록 유도한다.

슈어먼은 "개인정보가 들어있는 사기 이메일은 클릭 확률이 높을 수밖에 없다"고 설명했다.

4. 장례식을 이용하는 피싱
새롭지만 아주 막장의 피싱 공격이다. 장의사가 발신지다. 친한 친구가 사망했다는 비보를 전하면서, 장례식 일정을 알려준다.

사이버 범죄자들은 이미 장의사 웹사이트를 감염시켜놓고 비보를 접한 지인들이 장의사 웹사이트를 클릭하면 범죄자의 서버로 유도된다.

하나기는 "서글프지만 실제로 발생하고 있는 소셜 엔지니어링 사기"라고 말했다. 하나기는 "이런 스캠이 성공한 사례가 있다. 사람들이 감염된 사이트를 클릭해 취약점 공격 키트에 감염되고 있다. 또는 개인정보를 탈취당하고 있다"고 말했다.

범죄자들은 악성코드를 심어 장기간, 많은 키로거와 정보들을 빼낸다. 또 트로이의 목마를 배포한다. 그리고 다른 컴퓨터를 공격하고, 스팸을 전송하는 좀비 컴퓨터로 만든다.

그로우는 감정에 충실하기 이전에 한 번 더 생각해야 한다고 강조했다. 그로우는 "사기꾼들은 공포, 두려움, 슬픔, 호기심 등의 감정을 악용한다. 이메일과 전화 스캠에서 10%에 달하는 사람들이 범죄자가 악용하는 감정에 자극을 받는다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.