보안

표적화된 이메일 공격을 멈추기가 어려운 이유 "스피어 피싱의 이해"

Dan Swinhoe | CSO 2019.01.30
스피어 피싱(Spear Phishing)은 신뢰할 수 있는 전송자라고 주장하면서 지정되고 잘 파악된 대상에게 이메일을 전송하는 활동이다. 그 목적은 장치를 악성코드로 감염시키거나 피해자가 정보나 돈을 넘겨주도록 설득하는 것이다.
 
ⓒ Getty Images Bank 

피싱(Phishing) 공격은 1990년대 중반의 나이지리아 왕자 사기사건부터 시작됐으며 지금은 잘 파악되고 표적화된 캠페인으로 발전했고 매우 효과적이며 차단하기가 매우 어렵다.


피싱 대 스피어 피싱

일반 피싱 캠페인은 다수의 상대적으로 수확량이 적은 표적을 추구하지만 스피어 피싱은 의도한 피해자에 맞추어 따로 작성된 이메일을 이용해 구체적인 표적을 노린다.

피싱 방지 업체 코펜스(Cofense, 전 피시미(PhishMe))의 공동 설립자 겸 CTO 애런 힉비는 "피싱은 일종의 포괄적이며 저급한 비 표적화 공격이다. 그들은 표적에 대해서 크게 신경쓰지 않는다. 단지 가능한 많은 사람과 기업을 유혹하기 위해 넓은 그물을 칠 뿐이다"고 말했다.

힉비는 "스피어 피싱은 위협 활동자가 하나의 조직에 침투하기 위한 목적으로 만든 캠페인이며 실제로 기업 내의 이름과 역할을 조사한다"고 설명했다.

대규모 피싱에서는 보편적인 뱅킹 또는 이메일 서비스를 위한 위조 로그인 페이지를 이용해 자격 증명을 대량으로 수집하거나 랜섬웨어 또는 크립토마이닝 악성코드를 확산시키기 위해 주로 자동화된 기성 키트를 이용하지만 스피어 피싱 공격은 더욱 복잡하다. 

일부 표적화된 캠페인은 민감한 정보 또는 귀중한 지적 재산을 훔치거나 단순히 결제 시스템을 해킹하기 위한 악성코드가 포함된 문서 또는 자격 증명 훔치기 사이트에 대한 링크가 수반된다. 나머지는 악성 페이로드를 방지하고 대신에 소셜 엔지니어링을 이용해 단일 또는 일련의 은행 송금을 통해 소수의 많은 지불금에 대한 프로세스를 장악한다.

이메일의 "발신인" 부분을 도용해 알려진 기관 또는 자신이나 자신의 신뢰받는 파트너와 유사해 보이는 도메인에서 보낸 것으로 위장하는 경우가 많다. 예를 들어, 글자 "o"를 숫자 "0"으로 대체하거나 글자 "w"를 러시아 문자의 "m"으로 대체할 수도 있다.

구식 스피어 피싱 캠페인은 단순히 이메일에 그대로 또는 zip 파일로 첨부된 악성 문서를 포함시켰지만 범죄자들은 방법을 바꿨다. 힉비는 현재 위협 활동자들이 IT 부서에서 박스, 드롭박스, 원드라이브, 구글 드라이브 등의 합법적인 사이트를 차단할 가능성이 낮다는 사실을 알고 있기 때문에 여기에 많은 악성 문서가 저장되어 있다고 설명했다. "또한 이메일 편지함에 액세스하거나 원드라이브 또는 쉐어포인트 사이트에 액세스하기 위해 AI 토큰이나 세션 토큰을 해킹하려는 피싱 공격도 목격되기 시작했다."


스피어 피싱의 핵심, "정찰"

극단적인 표적화와 함께 스피어 피싱 캠페인에는 대형 정찰 요소가 포함되어 있다. 위협 활동자는 데이터 유출에서 획득한 이메일부터 시작하되 온라인에서 손쉽게 찾을 수 있는 많은 정보로 보완할 수 있다. 나이지리아의 범죄자 그룹, 런던 블루(London Blue)는 심지어 합법적인 상업적 리드(Lead) 생성 사이트를 사용해 CFO와 기타 재무부서 직원에 대한 정보를 수집했다.

링크드인과 트위터 등의 소셜 미디어는 조직 내의 역할, 책임, 직업 관계에 대한 통찰을 제공해 표적과 위장에 최적인 사람에게 정보를 제공하는데 도움이 된다. 기업 웹사이트는 프로세스, 공급자, 기술에 대한 통찰을 제공할 수 있으며 페이스북과 인스타그램 등은 이용할 수 있는 잠재적인 표적에 대한 개인적인 통찰을 제공할 수도 있다.

사이버보안 교육 및 인식 플랫폼 사이브세이프(CybSafe) CEO 오즈 알라시는 "사기꾼들은 신뢰할 수 있는 설명을 만들어내기 위해 배경 정보를 이용한다"며, "범죄자는 조직의 팀 페이지에서 획득한 정보, 링크드인 프로필, 트위터 프로필, 페이스북 프로필을 조합해 일반적으로 피해자에 대해 꽤 상세하게 이해할 수 있다. 자신의 이름, 직장에 관한 정보, 은행 거래 상대방, 최근 결제 내역, 가족 및 친구에 대한 정보, 기타 검색 가능한 개인 정보를 사용할 수도 있다"고 설명했다. 


스피어 피싱과 웨일링(Whaling) 

고위 임원을 표적으로 삼는 스피어 피싱은 웨일 피싱 공격이라고도 알려져 있으며 일반적으로 우월한 지위를 이용해 피해자가 돈을 지불하거나 정보를 공유하도록 하기 위해 기업 내의 CEO 또는 이와 유사한 중요한 사람으로 가장하려는 공격자가 수반된다. 연구에 따르면 임원들은 다른 직원들보다 이런 공격의 피해자가 될 가능성이 높은 것으로 나타났다. 최근의 라피드7 실험에서는 표적으로 삼은 CEO 가운데 3/4을 속일 수 있었다. 

알라시는 "조직의 고위 임원들은 다른 직원들보다 표적이 되고 압박을 받으며 시간이 중요한 과업을 처리할 가능성이 높으며 때로는 심리학자들이 말하는 주의 편중을 겪는 경우도 많고 많은 이들이 스피어 피싱 위협을 과소평가할 수 있다"고 말했다. 알라시는 "여기에는 범죄자에게 매우 중요하면서 가용성이 높은 위험한 조합이 포함된다. 사이버 범죄자는 조직의 하위 직원과 비교해 임원을 표적화할 때는 잠재적인 보상 때문에 이렇게 조사해 고도로 표적화된 이메일을 작성하는데 투자되는 시간의 가치가 있는 것이다"고 덧붙였다. 

급여 또는 청구서 등의 프로세스를 악용하려는 표적화된 공격은 BEC(Business Email Compromise)로 알려져 있다. 보안 업체 아가리(Agari)는 최근 HR 부서가 기존의 급여 직접 저축 예금 계좌를 범죄자가 설정한 것으로 바꾸도록 납득시키기 위해 표적으로 삼은 사기꾼들의 행동을 발견했다. 공격자가 공급업체로 위장해 청구 세부내용의 변경을 요청하는 것이 더욱 보편적인 예다.
문자 메시지나 전화 통화가 수반되는 표적화된 공격은 각각 스미싱(Smishing)과 피싱(Vishing)으로 알려져 있으며 이메일 기반 공격과 유사한 패턴을 따른다.


스피어 피싱 툴

범죄자들은 범죄 조직 또는 국가(우크라이나는 최근 SJA(State Judicial Administration)에 대한 러시아로 추적되는 공격을 차단했다.)이지만 툴은 대부분 같다. 소셜 엔지니어링과 비즈니스 거래에만 의존하는 공격은 심지어 추가적인 툴링없이 일반 제공자의 기본 이메일 계정만으로 수행할 수 있다.

PTP(Pen Test Partners)의 제휴 파트너 토니 지는 "누구든 할 수 있다. CEO의 이름만 제대로 되어 있어도 사람들을 납득시키기에 충분하며 누군가 지메일 계정으로 수행할 수 있다. 공격이 더욱 정교해지면서 공격을 뒷받침하기 위한 인프라가 필요하지만 대부분의 피싱 키트와 백엔드는 대략적으로 같다. 많은 양의 이메일을 한 번에 보내는 대신에 1~2개를 보내면서 더욱 잘 만드는 것이다"고 말했다.

코펜스의 힉비는 많은 기성 피싱 키트가 점차 자동화된 개인화 기능에 능숙해지고 있다고 말했다. 많은 다크웹 범죄자 서비스가 현재 범죄자를 대신해 소셜 미디어를 대규모로 조사 및 확인하는 인력을 보유하고 있다. 즉, 공격의 표적화 수준이 초기와는 다를 수도 있다는 의미다.

힉비는 "매우 은밀하기 때문에 스피어 피싱처럼 느껴지지만 많은 기업이 매월 여러 버전을 경험하고 있다"며, "현실적으로 더욱 발전된 자동화된 피싱 키트인 경우 더욱 구체적으로 표적화된 느낌이 든다"고 말했다.

하지만 힉비는 다른 한편으로 더욱 간단한 방법이 충분히 잘 통하는 경우가 많기 때문에 범죄자들이 더욱 발전된 기법을 공개했다가 사라져 버리는 일이 없도록 공격 초기에는 더욱 포괄적인 피싱 툴과 방법을 사용할 수도 있다고 말했다. 


스피어 피싱이 효과적인 이유는 

시만텍의 최신 인터넷 보안 위협 보고서(Internet Security Threat Report)에 따르면, 스피어 피싱은 조직화된 범죄 활동자들 사이에서 주된 감염 벡터이며 2017년에 그룹들 가운데 71%가 도입한 것으로 나타났다. 웜뱃(Wombat)의 피싱 실태(State of the Phish) 연구에 따르면, 정보보안 전문가 중 53%가 2017년에 스피어 피싱을 경험했다고 보고했으며 대부분은 분기당 1~5개의 표적화된 공격에 직면하고 있는 것으로 나타났다.

힉비는 "기업과의 연계 또는 기업 내부에서 무엇인가를 실행할 수 있는 기회에 대해 생각해 본다면 이메일은 여전히 하나의 관문이다. "조직 내부의 문이기 때문에 피싱은 한 동안은 벡터로써의 지위를 유지할 것으로 보인다"고 말했다.

최근의 주목할 만한 공격에는 미국 민주당 전국위원회(Democratic National Committee) 공격의 일환으로 힐러리 클린턴의 대선 캠페인의 자원 봉사자와 직원을 표적화한 것, 그리고 유럽의 제조업체 레오니AG(Leoni AG)의 재무부서가 속아 자금을 잘못된 계정으로 송금한 후 4,500만 달러를 잃게 된 것 등이 포함된다.

스피어 피싱의 효과는 기술 및 심리적 이유의 조합으로 요약된다. 토니 지는 "스피어 피싱 이메일은 고도로 표적화되어 있기 때문에 감지하기가 꽤 어렵다"고 말했다. 또한 "일반적인 비즈니스 내용의 이메일처럼 보이기 때문에 스팸 탐지 시스템이 가짜 이메일을 탐지하기가 정말로 어렵다. 스팸 보호 때문에 진짜 이메일이 차단되면서 최종 사용자가 불만을 느끼고 비즈니스 프로세스가 훼손되는 것은 바람직하지 않기 때문에 스피어 피싱 활동자는 이를 이용한다"고 설명했다.

토니 지는 범죄자가 차단 목록을 피하기 위해 한동안 정상적인 트래픽과 이메일을 전송함으로써 IP주소와 이메일 도메인의 명성을 쌓는데 시간을 소요할 수도 있다고 덧붙였다.

또한 스피어 피싱의 효과는 인간 요소 그리고 사람들이 생각하고 행동하는 방식에 영향을 끼치는 소셜 엔지니어링의 요소가 포함되었다는 사실로 요약된다. 알라시는 "신뢰는 인간의 마음의 자연스럽고 이로운 부분이다. 관계 형성을 위해 내재적이고 필요한 부분이다. 피싱 활동자들은 이런 신뢰에 대한 뿌리깊은 성향을 이용한다. 사람들은 권위와 신뢰받는 인물의 요청에 순응할 가능성이 훨씬 높다"고 말했다.

또한 알라시는 "충분한 개인화, 적절한 어조, 적절한 메시지로 작성한 스피어 피싱은 찾아내기가 정말 어렵다. 높은 수준의 개인화로 인해 이메일의 신뢰성이 크게 증가한다. 이메일이 개인 정보가 많을수록 피해자가 이메일의 진정성을 믿을 가능성이 높아진다"고 덧붙였다. 


스피어 피싱의 메커니즘

스피어 피싱 이메일은 고도로 표적화되어 있기 때문에 조직마다 다를 가능성이 높지만 사용자들은 유사한 트렌드에 주의해야 한다. 가장 확실한 경고 조짐은 올바르지 않은 이메일 주소 또는 예상한 것과 유사하지만 살짝 다르다. 하지만 이메일 주소는 위조하거나 자세히 살펴보지 않으면 차이점을 찾아내지 못할 수도 있다.

비트디펜더(Bitdefender)의 수석 전자 위협 분석가 리비우 아센스는 "가장 보편적인 스피어 피싱의 특성은 긴박감을 이용하는 것이다. "더 이상 액세스할 수 없는 계정이 없어도 만료된 비밀번호를 변경하기 위해 URL을 클릭하거나 첨부파일(일반적으로 청구서, 화물 추적 문서, 업데이트된 정책 합의서 등)을 열 때 최종 목표는 익숙한 언어를 사용하면서 과업 수행의 긴박감을 심어주는 것이다"고 말했다.

긴급성은 종종 기업 정책 또는 규정 위반, 일반적인 확인 및 절차 없이 조기 결제 등에 대한 요구와 연계되는 경우가 많다. 또한 감정적인 언어를 사용해 동정심이나 공포를 유발할 수 있다. 예를 들어, 가짜 CEO가 긴급하게 결제하지 않으면 실망할 것이라고 말할 수도 있다.

주의해야 할 또 다른 특성은 단어 선택과 용어다. 이메일에 기업 내에서 또는 동료들이 자주 사용하지 않는 용어나 표현이 포함되어 있는가. 지는 "우리가 만나 본 많은 기업들이 CEO 사기를 경험할 때 정말로 말도 안 되는 사소한 것 때문에 탐지하곤 한다"고 말했다. "영국에서는 '은행 송금' 같은 용어를 사용하지만 (사기꾼들은) '전신 송금'을 사용한다던지 상사는 이메일을 '감사합니다'로 끝맺지만 그들은 '수고하세요'로 끝맺는 경우가 있다."

그는 이메일에 매크로를 활성화해야 하는 파일(또는 파일의 링크)이 포함된 경우가 많다고 덧붙였다. "그것이 경고 조짐이다. 대부분의 매크로는 문제가 없지만 일반적으로 수신하는 경우가 많을까, 그렇다 하더라도 이 작업을 위해 매크로를 활성화해야 할까."


스피어 피싱 방지

조직은 기술 및 인간 통제를 통해 스피어 피싱의 위협을 완화할 수 있다. 스팸 필터, 악성코드 탐지, 안티바이러스 등의 표준 통제 조치와 함께 기업은 피싱 시뮬레이션 시험, 사용자 교육, 사용자가 의심스러운 이메일을 IT 보안팀에 보고할 수 있는 프로세스 등을 고려해야 한다.

PTP의 지는 "기업이 비즈니스 이메일 해킹 등에 대응할 수 있는 간단한 방법 중 하나는 게이트웨이를 통과할 때 제목 줄에 '외부'라고 태그를 표시하는 것이다. 공격을 차단할 필요는 없지만 잠재적으로 최종 사용자가 무엇인가 잘못되었을 수 있다고 생각하게 할 것이다"고 말했다.

또한 그는 직원과 경영진 사이의 개방적인 의사소통 라인을 확보하는 것이 중요하다고 덧붙였다. "일부 기업 문화에서는 계층이 정말로 중요하기 때문에 최종 사용자는 상자에게 이야기를 하지 않는다. 하지만 근거가 있다면 상사에게 이의를 제기해야 하는지 여부에 대해 고민할 필요가 없다는 사실을 알아야 한다."

사용자 교육과 인식은 피싱 위험 감소의 핵심적인 부분이지만 보안 부서는 공격자의 기회를 줄이기 위한 비즈니스 프로세스 보안에도 참여해야 한다. ACSC(Advanced Cyber Security Center)의 전무이사 마이클 피규로아는 "기업이 '모르는 사람이 보낸 링크나 첨부파일을 클릭하지 말라'고 말하는 것은 매우 쉽다. 하지만 많은 기업의 재무 및 회계 부서에서 여러 공급업체와 협력하고 비즈니스 관계를 형성하는 경우가 많다. 비즈니스 프로세스가 정의될 때 어떻게 뒤집힐 수 있는지에 충분히 집중하고 있지 않으며 이를 해결하기 위한 통제 조치를 구축하는 것이 뒤집히는 시점이라는 사실을 모르고 있다고 생각한다"고 말했다.

예를 들어, 여러 사람의 여러 승인 단계를 거치지 않고 결제를 하지 않도록 하거나 먼저 전화나 다른 통신 채널을 통해 확인하지 않고는 결제 세부사항을 변경하지 않도록 함으로써 CEO 또는 공급자로 위장하는 위험을 낮출 수 있다. 이메일 및 인터넷 관련 작업과 청구 결제 작업을 위한 별도의 기기를 확보하면 기기가 뱅킹 정보를 수집하는 악성코드에 감염될 가능성을 낮출 수 있다.

피규로아는 "모두가 스피어 피싱을 차단하는 정책에 참여하도록 하려면 노력이 필요하다"며, "보안 전문가는 정책 독재자보다는 연합체 형성자로써 서비스를 제공하고 비즈니스의 기능을 더욱 심도 깊게 이해하며 비즈니스를 보호하기 위한 최고의 기법이 무엇인지 이해해야 한다"고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.