5일 전

대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법

Josh Fruhlinger | CSO
피싱(Phishing)은 위조된 이메일을 무기로 사용하는 사이버 공격이다. 피싱의 목표는 이메일 수신자가 그 메시지를 자신에게 필요한, 또는 자신이 원하는 메시지로 여기게끔 속이는 것이다. 예를 들어 은행에서 발신한 정보 요청 메일, 회사 내의 동료가 보낸 메시지라고 생각해 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도한다.

피싱의 가장 큰 특징은 메시지의 형식이다. 공격자는 수신자가 신뢰하는 주체 또는 실존 인물이나 실제 있을 법한 인물, 또는 거래 협력업체를 가장한다. 피싱은 1990년 대부터 시작된 가장 오래된 사이버 공격 형태 가운데 하나이며, 피싱 메시지와 기법이 갈수록 정교해지는 탓에 여전히 가장 광범위하게 사용되고 가장 치명적이기도 하다.

"phish"의 발음은 "fish"와 동일하다. 낚시꾼이 미끼를 단 낚싯대(피싱 이메일)를 던져 사람들을 낚는다는 의미다. 피싱이라는 용어는 1990년대 중반 AOL 로그인 정보를 스스로 노출하도록 사용자를 속였던 해커들 사이에서 처음 사용되기 시작했다. "ph"는 장난스러운 해커식 철자인데, 전화기에 대고 일정한 소리를 재생해서 무료로 전화를 걸었던 초기 해킹 방법인 "phone phreaking"의 "phreaking"에서도 영향을 받은 것으로 보인다.

피싱 사기 중에는 큰 파장을 일으킬 정도로 성공한 사례도 있다.
- 역사상 가장 큰 파장을 일으킨 피싱 공격은 2016년 힐러리 클린턴의 선거 캠페인 총 책임자인 존 포데스타를 속여 스스로 지메일 비밀번호를 노출하도록 한 공격이다.

- 여러 연예인의 사적인 사진이 대중에 공개된 "패프닝(fappening)" 공격은 최초 애플 아이클라우드 서버의 불안정한 보안에 따른 결과로 알려졌으나 사실은 여러 피싱 공격이 성공한 결과였다.

- 2016년 캔사스 대학 직원들이 피싱 이메일에 속아 답장으로 급여 계좌 정보를 넘기는 바람에 급여로 받을 돈을 잃고 말았다.


피싱 공격의 대중화를 이끈 피싱 키트 

피싱 키트를 사용하면 기술적 지식이 거의 없는 사이버 범죄자도 손쉽게 피싱 캠페인을 진행할 수 있다. 피싱 키트는 서버에 설치하는 피싱 웹사이트 리소스와 툴로 구성된다. 툴을 설치한 후 공격자는 잠재적 피해자에게 이메일을 보내기만 하면 된다. 피싱 키트와 메일링 리스트 모두 다크 웹에서 구매할 수 있다. 피시탱크(Phishtank), 오픈피시(OpenPhish)와 같은 사이트는 사용자들의 보고를 바탕으로 알려진 피싱 키트 목록을 제공한다.

듀오 랩스(Duo Labs)의 '아무나 하는 피싱(Phish in a Barrel)'이라는 보고서에는 피싱 키트 재사용에 관한 분석이 포함돼 있다. 듀오가 발견한 3,200개의 피싱 키트 중에서 900개(27%)는 두 곳 이상의 호스트에서 발견됐다. 

실제 수치는 이보다 더 높을 수 있다. 듀오의 선임 연구개발 엔지니어로 이 보고서를 작성한 조단 라이트는 "키트 재사용 비율이 더 높지 않은 이유가 무엇일까? 키트 콘텐츠의 SHA1 해시를 바탕으로 측정하기 때문일 수도 있다. 키트에서 한 파일의 한 부분만 변경하면 나머지 부분이 모두 동일하더라도 서로 다른 키트로 측정된다"고 설명했다.
 
ⓒ Duo Security 
 
보안 팀은 피싱 키트를 분석해 누가 키트를 사용하는지 추적할 수 있다. 라이트는 보고서에서 "피싱 키트 분석을 통해 알 수 있는 가장 유용한 정보는 인증 정보가 전송되는 위치다. 피싱 키트에서 발견된 이메일 주소를 추적하면 특정 캠페인과 그 주도자, 구체적인 키트까지 연결할 수 있다"면서, "인증 정보가 전송되는 위치를 알 수 있을 뿐만 아니라, 인증 정보 클레임이 전송되는 곳까지도 알 수 있다. 피싱 키트 제작자들은 보통 'From' 헤더를 서명 카드처럼 사용하므로 이를 통해 같은 제작자가 만든 여러 키트를 찾을 수 있다"고 말했다.


피싱의 다양한 유형

피싱 공격의 공통점은 위장이다. 공격자는 자신의 이메일 주소를 스푸핑해서 다른 사람을 가장하고 피해자가 믿을 법한 가짜 웹사이트를 구축하고 외국어 문자 집합을 사용해 URL을 위장한다.

그러나 피싱이라는 공통 분모를 두고 다양한 기법이 존재한다. 공격의 범주를 나누는 방법은 두 가지다. 하나는 피싱 시도의 목적이다. 일반적으로 피싱 캠페인은 공격 대상이 다음과 같은 행동을 하도록 유도한다.

- 민감한 정보 넘기기
사용자를 속여 중요한 데이터(많은 경우 공격자가 시스템 또는 계정을 침해하는 데 사용할 수 있는 사용자 이름과 비밀번호)를 스스로 노출하도록 유도한다. 전통적인 수법은 유력 은행에서 온 메시지처럼 위장된 이메일 메시지를 보내는 것이다. 

수백만 명의 사람들에게 메시지를 보내면 이 중에서 최소한 몇 명은 해당 은행의 고객일 가능성이 높다는 점에 착안한 수법이다. 피해자가 메시지의 링크를 클릭하면 은행 웹사이트를 모방한 악성 사이트로 이동하게 되는데 여기서 사용자 이름과 비밀번호를 입력하면 공격 성공이다. 공격자는 피해자의 계좌에 액세스할 수 있게 된다.

- 악성코드 다운로드 
대다수 스팸과 마찬가지로 이 유형의 피싱 이메일은 피해자가 악성코드로 스스로의 컴퓨터를 감염시키도록 유도한다. 많은 경우 메시지는 "소프트 타깃" 형태로 작성된다. 예를 들어 기업의 인사 담당자에게 구직자의 이력서를 가장한 첨부 파일을 보내는 식이다. 

첨부 파일은 악성코드를 내장한 .zip 파일 또는 마이크로소프트 오피스 문서인 경우가 많다. 가장 흔한 악성코드 형태는 랜섬웨어다. 2017년 피싱 이메일의 93%에 랜섬웨어 첨부 파일이 포함됐다.

이 외에도 피싱 이메일의 수신 대상을 정하는 방법은 여러 가지다. 구체적인 대상을 정하지 않는 경우도 있다. 수백만 명의 잠재적 피해자에게 이메일을 발송해 인기 있는 웹사이트를 모조한 가짜 웹사이트에 로그인하도록 속이는 경우가 여기에 해당된다. 

베이드 시큐어(Vade Secure)는 해커들의 피싱 공격에서 가장 자주 사용되는 브랜드를 분석했다(인포그래픽 참조). 또한 공격자가 조직에서 특정 역할을 수행하는 사람을 "소프트 타깃"으로 삼아 이메일을 보내는 경우도 있다. 이 수법은 메일을 받는 사람에 대해 개인적으로 아무것도 모르는 상태에서도 사용된다.

특정 인물의 로그인 정보를 탈취하거나 컴퓨터를 감염시키고자 하는 피싱 공격도 있다. 이 경우 공격자는 잠재적인 보상이 큰 피해자를 선택하므로 이들을 속이기 위해 훨씬 더 많은 공을 들인다.
 
ⓒ Vade Secure


특정 개인을 노리는 스피어 피싱

공격자가 특정 개인을 속이기 위한 메시지를 작성하는 경우를 스피어 피싱(Spear phishing)이라고 한다(낚싯대를 던져 아무나 미끼를 물기를 기다리는 것이 아니라 특정 물고기를 겨냥하는 낚시꾼을 빗댄 용어). 공격자는 공격 대상을 정하고(링크드인과 같은 사이트의 정보를 사용하는 경우도 있음) 스푸핑된 주소를 사용해 동료가 보낸 것처럼 보이는 이메일을 전송한다. 예를 들어 스피어 피싱 공격자는 재무 부서의 누군가를 공격 목표로 삼아 피해자의 상사를 가장해 은행에서 급히 큰 금액을 송금할 것을 지시한다.


"큰 먹이감을 노린다" 웨일 피싱

웨일 피싱(Whale phishing), 또는 간단히 웨일링(whaling)은 스피어 피싱의 한 형태로, 매우 큰 물고기(CEO 또는 기타 고위직)를 목표로 삼는다. 특히 공격에 취약한 것으로 간주되는 회사의 이사를 대상으로 한다. 이사는 회사 내에서 상당한 권한을 갖고 있지만 정규직이 아니므로 회사 이메일 시스템으로 보호되지 않는 개인 이메일 주소를 비즈니스 관련 연락에 사용하는 경우가 많다.

잠재적 가치가 큰 대상을 속이기에 충분한 정보를 수집하는 데는 많은 시간이 걸릴 수 있지만 보상 역시 크다. 2008년 사이버 범죄자가 가짜 FBI 소환장을 첨부한 이메일을 기업 CEO들에게 보낸 사건이 있다. 이 CEO들이 다운로드한 것은 사실 컴퓨터에 설치되는 키로거(keyloggers)였다. 이 공격의 성공률은 10%로, 거의 2,000명의 피해자가 이 수법에 걸려들었다.

이 외에 클론(clone) 피싱, 비싱(vishing), 스노슈잉(snowshoeing) 등의 피싱 유형도 있다. 


피싱을 막는 방법 

피싱 이메일을 잡아내기 위한 최선의 방법은 실제 피싱 이메일의 사례를 연구하는 것이다. 사이렌(Cyren)의 이 웨비나는 페이팔 로그인을 가장해 로그인 인증 정보 입력을 유도하는 실제 피싱 웹사이트를 보여준다. 비디오의 첫 1분 정도만 봐도 피싱 웹사이트의 뚜렷한 특징을 알 수 있다.

미국 리하이 대학의 기술 서비스 부서가 관리하는, 최근 학생과 교직원이 받은 피싱 이메일 갤러리 웹사이트에서 더 많은 피싱 예를 볼 수 있다. 그 외에 피싱 공격에 당하지 않는 데 도움이 되는 단계와 수칙을 보면 다음과 같다.

- 민감한 정보를 입력하거나 뭔가를 클릭하기 전에 항상 이메일 링크의 URL을 면밀히 확인한다.
- 동일한 디자인의 다른 웹사이트로 슬쩍 넘어가는 URL 리디렉션에 주의한다.
- 아는 사람에게서 이메일을 받았지만 수상해 보인다면 회신을 클릭하지 말고 새 이메일로 그 사람에게 연락하라.
- 생일, 휴가 계획 또는 주소나 전화번호와 같은 개인 데이터를 소셜 미디어에 공개적으로 게시하지 말아야 한다.

다음 인포그래픽은 보안 인식 교육 업체 노비포(KnowBe4)의 2018년 2분기 보고서에 나온 가장 많이 클릭된 피싱 메시지다.
 
ⓒ KnowBe4

회사의 IT 보안 부서에서 일한다면 조직을 보호하기 위한 다음과 같은 선제적 조치를 취할 수 있다.

- 수신 이메일을 "샌드박스"에 넣어 사용자가 클릭하는 각 링크가 안전한지 확인
- 웹 트래픽 검사 및 분석
- 조직 침투 테스트를 통해 약점을 찾고 그 결과를 사용해 직원 교육 실시
- 누군가 피싱 이메일을 잡아낼 경우 사내에 공지하는 등의 방법으로 보상 제공 editor@itworld.co.kr 


5일 전

대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법

Josh Fruhlinger | CSO
피싱(Phishing)은 위조된 이메일을 무기로 사용하는 사이버 공격이다. 피싱의 목표는 이메일 수신자가 그 메시지를 자신에게 필요한, 또는 자신이 원하는 메시지로 여기게끔 속이는 것이다. 예를 들어 은행에서 발신한 정보 요청 메일, 회사 내의 동료가 보낸 메시지라고 생각해 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도한다.

피싱의 가장 큰 특징은 메시지의 형식이다. 공격자는 수신자가 신뢰하는 주체 또는 실존 인물이나 실제 있을 법한 인물, 또는 거래 협력업체를 가장한다. 피싱은 1990년 대부터 시작된 가장 오래된 사이버 공격 형태 가운데 하나이며, 피싱 메시지와 기법이 갈수록 정교해지는 탓에 여전히 가장 광범위하게 사용되고 가장 치명적이기도 하다.

"phish"의 발음은 "fish"와 동일하다. 낚시꾼이 미끼를 단 낚싯대(피싱 이메일)를 던져 사람들을 낚는다는 의미다. 피싱이라는 용어는 1990년대 중반 AOL 로그인 정보를 스스로 노출하도록 사용자를 속였던 해커들 사이에서 처음 사용되기 시작했다. "ph"는 장난스러운 해커식 철자인데, 전화기에 대고 일정한 소리를 재생해서 무료로 전화를 걸었던 초기 해킹 방법인 "phone phreaking"의 "phreaking"에서도 영향을 받은 것으로 보인다.

피싱 사기 중에는 큰 파장을 일으킬 정도로 성공한 사례도 있다.
- 역사상 가장 큰 파장을 일으킨 피싱 공격은 2016년 힐러리 클린턴의 선거 캠페인 총 책임자인 존 포데스타를 속여 스스로 지메일 비밀번호를 노출하도록 한 공격이다.

- 여러 연예인의 사적인 사진이 대중에 공개된 "패프닝(fappening)" 공격은 최초 애플 아이클라우드 서버의 불안정한 보안에 따른 결과로 알려졌으나 사실은 여러 피싱 공격이 성공한 결과였다.

- 2016년 캔사스 대학 직원들이 피싱 이메일에 속아 답장으로 급여 계좌 정보를 넘기는 바람에 급여로 받을 돈을 잃고 말았다.


피싱 공격의 대중화를 이끈 피싱 키트 

피싱 키트를 사용하면 기술적 지식이 거의 없는 사이버 범죄자도 손쉽게 피싱 캠페인을 진행할 수 있다. 피싱 키트는 서버에 설치하는 피싱 웹사이트 리소스와 툴로 구성된다. 툴을 설치한 후 공격자는 잠재적 피해자에게 이메일을 보내기만 하면 된다. 피싱 키트와 메일링 리스트 모두 다크 웹에서 구매할 수 있다. 피시탱크(Phishtank), 오픈피시(OpenPhish)와 같은 사이트는 사용자들의 보고를 바탕으로 알려진 피싱 키트 목록을 제공한다.

듀오 랩스(Duo Labs)의 '아무나 하는 피싱(Phish in a Barrel)'이라는 보고서에는 피싱 키트 재사용에 관한 분석이 포함돼 있다. 듀오가 발견한 3,200개의 피싱 키트 중에서 900개(27%)는 두 곳 이상의 호스트에서 발견됐다. 

실제 수치는 이보다 더 높을 수 있다. 듀오의 선임 연구개발 엔지니어로 이 보고서를 작성한 조단 라이트는 "키트 재사용 비율이 더 높지 않은 이유가 무엇일까? 키트 콘텐츠의 SHA1 해시를 바탕으로 측정하기 때문일 수도 있다. 키트에서 한 파일의 한 부분만 변경하면 나머지 부분이 모두 동일하더라도 서로 다른 키트로 측정된다"고 설명했다.
 
ⓒ Duo Security 
 
보안 팀은 피싱 키트를 분석해 누가 키트를 사용하는지 추적할 수 있다. 라이트는 보고서에서 "피싱 키트 분석을 통해 알 수 있는 가장 유용한 정보는 인증 정보가 전송되는 위치다. 피싱 키트에서 발견된 이메일 주소를 추적하면 특정 캠페인과 그 주도자, 구체적인 키트까지 연결할 수 있다"면서, "인증 정보가 전송되는 위치를 알 수 있을 뿐만 아니라, 인증 정보 클레임이 전송되는 곳까지도 알 수 있다. 피싱 키트 제작자들은 보통 'From' 헤더를 서명 카드처럼 사용하므로 이를 통해 같은 제작자가 만든 여러 키트를 찾을 수 있다"고 말했다.


피싱의 다양한 유형

피싱 공격의 공통점은 위장이다. 공격자는 자신의 이메일 주소를 스푸핑해서 다른 사람을 가장하고 피해자가 믿을 법한 가짜 웹사이트를 구축하고 외국어 문자 집합을 사용해 URL을 위장한다.

그러나 피싱이라는 공통 분모를 두고 다양한 기법이 존재한다. 공격의 범주를 나누는 방법은 두 가지다. 하나는 피싱 시도의 목적이다. 일반적으로 피싱 캠페인은 공격 대상이 다음과 같은 행동을 하도록 유도한다.

- 민감한 정보 넘기기
사용자를 속여 중요한 데이터(많은 경우 공격자가 시스템 또는 계정을 침해하는 데 사용할 수 있는 사용자 이름과 비밀번호)를 스스로 노출하도록 유도한다. 전통적인 수법은 유력 은행에서 온 메시지처럼 위장된 이메일 메시지를 보내는 것이다. 

수백만 명의 사람들에게 메시지를 보내면 이 중에서 최소한 몇 명은 해당 은행의 고객일 가능성이 높다는 점에 착안한 수법이다. 피해자가 메시지의 링크를 클릭하면 은행 웹사이트를 모방한 악성 사이트로 이동하게 되는데 여기서 사용자 이름과 비밀번호를 입력하면 공격 성공이다. 공격자는 피해자의 계좌에 액세스할 수 있게 된다.

- 악성코드 다운로드 
대다수 스팸과 마찬가지로 이 유형의 피싱 이메일은 피해자가 악성코드로 스스로의 컴퓨터를 감염시키도록 유도한다. 많은 경우 메시지는 "소프트 타깃" 형태로 작성된다. 예를 들어 기업의 인사 담당자에게 구직자의 이력서를 가장한 첨부 파일을 보내는 식이다. 

첨부 파일은 악성코드를 내장한 .zip 파일 또는 마이크로소프트 오피스 문서인 경우가 많다. 가장 흔한 악성코드 형태는 랜섬웨어다. 2017년 피싱 이메일의 93%에 랜섬웨어 첨부 파일이 포함됐다.

이 외에도 피싱 이메일의 수신 대상을 정하는 방법은 여러 가지다. 구체적인 대상을 정하지 않는 경우도 있다. 수백만 명의 잠재적 피해자에게 이메일을 발송해 인기 있는 웹사이트를 모조한 가짜 웹사이트에 로그인하도록 속이는 경우가 여기에 해당된다. 

베이드 시큐어(Vade Secure)는 해커들의 피싱 공격에서 가장 자주 사용되는 브랜드를 분석했다(인포그래픽 참조). 또한 공격자가 조직에서 특정 역할을 수행하는 사람을 "소프트 타깃"으로 삼아 이메일을 보내는 경우도 있다. 이 수법은 메일을 받는 사람에 대해 개인적으로 아무것도 모르는 상태에서도 사용된다.

특정 인물의 로그인 정보를 탈취하거나 컴퓨터를 감염시키고자 하는 피싱 공격도 있다. 이 경우 공격자는 잠재적인 보상이 큰 피해자를 선택하므로 이들을 속이기 위해 훨씬 더 많은 공을 들인다.
 
ⓒ Vade Secure


특정 개인을 노리는 스피어 피싱

공격자가 특정 개인을 속이기 위한 메시지를 작성하는 경우를 스피어 피싱(Spear phishing)이라고 한다(낚싯대를 던져 아무나 미끼를 물기를 기다리는 것이 아니라 특정 물고기를 겨냥하는 낚시꾼을 빗댄 용어). 공격자는 공격 대상을 정하고(링크드인과 같은 사이트의 정보를 사용하는 경우도 있음) 스푸핑된 주소를 사용해 동료가 보낸 것처럼 보이는 이메일을 전송한다. 예를 들어 스피어 피싱 공격자는 재무 부서의 누군가를 공격 목표로 삼아 피해자의 상사를 가장해 은행에서 급히 큰 금액을 송금할 것을 지시한다.


"큰 먹이감을 노린다" 웨일 피싱

웨일 피싱(Whale phishing), 또는 간단히 웨일링(whaling)은 스피어 피싱의 한 형태로, 매우 큰 물고기(CEO 또는 기타 고위직)를 목표로 삼는다. 특히 공격에 취약한 것으로 간주되는 회사의 이사를 대상으로 한다. 이사는 회사 내에서 상당한 권한을 갖고 있지만 정규직이 아니므로 회사 이메일 시스템으로 보호되지 않는 개인 이메일 주소를 비즈니스 관련 연락에 사용하는 경우가 많다.

잠재적 가치가 큰 대상을 속이기에 충분한 정보를 수집하는 데는 많은 시간이 걸릴 수 있지만 보상 역시 크다. 2008년 사이버 범죄자가 가짜 FBI 소환장을 첨부한 이메일을 기업 CEO들에게 보낸 사건이 있다. 이 CEO들이 다운로드한 것은 사실 컴퓨터에 설치되는 키로거(keyloggers)였다. 이 공격의 성공률은 10%로, 거의 2,000명의 피해자가 이 수법에 걸려들었다.

이 외에 클론(clone) 피싱, 비싱(vishing), 스노슈잉(snowshoeing) 등의 피싱 유형도 있다. 


피싱을 막는 방법 

피싱 이메일을 잡아내기 위한 최선의 방법은 실제 피싱 이메일의 사례를 연구하는 것이다. 사이렌(Cyren)의 이 웨비나는 페이팔 로그인을 가장해 로그인 인증 정보 입력을 유도하는 실제 피싱 웹사이트를 보여준다. 비디오의 첫 1분 정도만 봐도 피싱 웹사이트의 뚜렷한 특징을 알 수 있다.

미국 리하이 대학의 기술 서비스 부서가 관리하는, 최근 학생과 교직원이 받은 피싱 이메일 갤러리 웹사이트에서 더 많은 피싱 예를 볼 수 있다. 그 외에 피싱 공격에 당하지 않는 데 도움이 되는 단계와 수칙을 보면 다음과 같다.

- 민감한 정보를 입력하거나 뭔가를 클릭하기 전에 항상 이메일 링크의 URL을 면밀히 확인한다.
- 동일한 디자인의 다른 웹사이트로 슬쩍 넘어가는 URL 리디렉션에 주의한다.
- 아는 사람에게서 이메일을 받았지만 수상해 보인다면 회신을 클릭하지 말고 새 이메일로 그 사람에게 연락하라.
- 생일, 휴가 계획 또는 주소나 전화번호와 같은 개인 데이터를 소셜 미디어에 공개적으로 게시하지 말아야 한다.

다음 인포그래픽은 보안 인식 교육 업체 노비포(KnowBe4)의 2018년 2분기 보고서에 나온 가장 많이 클릭된 피싱 메시지다.
 
ⓒ KnowBe4

회사의 IT 보안 부서에서 일한다면 조직을 보호하기 위한 다음과 같은 선제적 조치를 취할 수 있다.

- 수신 이메일을 "샌드박스"에 넣어 사용자가 클릭하는 각 링크가 안전한지 확인
- 웹 트래픽 검사 및 분석
- 조직 침투 테스트를 통해 약점을 찾고 그 결과를 사용해 직원 교육 실시
- 누군가 피싱 이메일을 잡아낼 경우 사내에 공지하는 등의 방법으로 보상 제공 editor@itworld.co.kr 


X