몇 주 전, 워치가드 테크놀로지스(WatchGuard Technologies) 재무 팀의 핵심 팀원 중 한 명이 스피어 피싱 공격을 받았다. 스피어 피싱은 특정 개인이나 개인 그룹에 맞춰 공격을 맞춤화하는 피싱 공격의 한 형태다. 공격자는 목표로 삼은 사람에 대한 정보를 수집한 다음 그에 맞게 공격을 세밀하게 조정, 사기가 성공할 가능성을 높인다. 공격자는 해당 재무 직원의 상사가 보낸 이메일을 위장해 긴급 송금을 요청했다.
이 재무 직원은 적절한 교육을 받은 덕분에 문제의 이메일이 공식적인 지휘 계통과 재무 규약을 무시했음을 의심스럽게 생각하고 적절한 담당자에게 이 사실을 알렸다. 워치가드의 위협 분석가인 마크 랠리버트는 자신이 경험한 이 사건을 자세히 설명했다. editor@itworld.co.kr
반격
워치가드는 단순히 공격을 무시하는 것으로 끝내지 않고 공격자에게 속아넘어가는 척 연기하면서 최대한 많은 정보를 확보하기로 했다. 랠리버트가 첫 번째 이메일에 답장을 보내자 공격자는 회신에서 상사의 개인 전화 번호라고 주장하는 한 번호를 알려주며, "재무 직원"에게 문자로 연락할 것을 요구했다.
gmail.com을 사용한 이 이메일의 발송 주소는 아무렇게나 조합한 듯한 7자리 숫자였다. 공격자는 워치가드 계정에서 보낸 것처럼 메시지를 위장하는 방법은 사용하지 않았다. 대신 공격자는 메시지의 "보낸 사람:" 헤더로 공격 대상을 속이는 방법을 택했다. 대부분의 메일 클라이언트는 "보낸 사람:" 헤더를 사용해 메시지를 누가 보냈는지 표시하는데, 많은 경우 보낸 사람의 성과 이름만 표시한다. 이 피싱 이메일에서 "보낸 사람:" 헤더는 워치가드 관리자의 성과 이름으로 되어 있었다. 교육을 받지 않은 직원이라면 메시지를 정말 그 관리자가 보낸 것으로 착각하기 쉽다.
면밀한 조사
랠리버트는 공격자가 알려준 전화 번호가 플로리다 주 잭슨빌 지역 코드가 붙은, 레벨 3 통신을 통한 일반 전화로 등록된 번호임을 확인했다. 랠리버트는 공격자가 실제로 잭슨빌에 있는 것이 아니라 포워딩 서비스를 사용해서 이 번호를 통해 문자 메시지를 보내고 받을 가능성이 높다고 판단했다. 공격자는 전세계를 범위로 하는 인터넷 및 전화 서비스의 속성을 이용해 공격이 실행되는 실제 위치를 숨기는 경우가 많다.
랠리버트는 공격 대상 직원을 가장해 일회용 전화 번호로 공격자에게 문자를 보냈다. 하루 뒤 공격자는 회신에서 다음 주에 도착하는 워치가드 파이어박스 출하를 위한 결제 대금 명목으로 긴급 송금을 요청했다. 랠리버트는 송금이 가능하다는 식으로 답해 공격자를 계속 잡아 두면서 더 자세한 정보를 요구했다.
송금 위장
공격자는 뉴욕에 있다는 어떤 사람에게 2만 달러를 송금할 것을 요청했다. 간단히 조사해본 결과 제공된 이름과 관련된 사기 사례는 없는 것으로 나타났다. 공격자는 송금을 위한 계좌와 은행 식별 코드도 보냈다. 은행 계좌 정보를 알려주는 방법은 더 그럴듯해 보이는 효과는 있지만 대신 수사 기관에서 사기를 조사할 때 지불 내역을 추적할 수 있는 여지도 커지므로 공격자에게는 위험성이 큰 방법이다. 제공된 은행 정보는 공격자가 신속하게 출금할 수 있는, 정보가 유출된 계좌의 정보일 가능성이 높아 보였다.
송금을 기다리는 공격자
이 시점에 랠리버트는 공격자가 자발적으로 공개한 정보를 모두 수집했지만 공격자의 위치는 여전히 확실히 알 수 없었다. 공격자는 송금 확인 메시지를 기다리고 있었다. 랠리버트는 URL 단축기 뒤에 위치한 허니팟 서버의 IP 주소를 마스킹해서 이를 확인 링크로 위장해 공격자에게 보냈다.
드러난 위치
링크를 방문한 공격자는 허니팟 서버로 리디렉션됐고, 여기서 랠리버트는 공격자의 소스 IP와 브라우저 사용자 에이전트 데이터를 확보했다. 공격자의 소스 IP는 나이지리아의 이동통신사인 에어텔 네트웍스(Airtel Networks)에 등록되어 있었다. 사용자 에이전트 데이터를 통해서는 공격자가 iOS 9.3.1을 실행하는 아이폰을 사용해 허니팟에 연결했음이 드러났다. 이로써 공격자가 포워딩 서비스를 사용해서 잭슨빌 전화 번호를 통해 문자 메시지를 주고 받는다는 가설이 입증됐다. 공격자는 나이지리아에 있으면서도 미국 거주 주소가 필요한 은행 계좌(TD 은행)를 사용했는데, 이는 해당 계좌가 유출된 계좌이거나, 송금된 돈을 인출할 수 있는 미국에 거주하는 공범(보통 운반책(mule)으로 불림)이 있음을 의미했다. 랠리버트는 TD 은행에 연락을 취해 문제의 계좌에 접근할 수 있는 누군가가 시도한 이번 사기 사건을 조사하도록 했다.
교육의 중요성
이 스피어 피싱 공격 시도는 현재 이러한 공격이 얼마나 큰 문제인지 단적으로 보여준다. 완벽한 스피어 피싱 보호 방법은 존재하지 않는다. DMARC 또는 S/MIME와 같은 기술 솔루션을 사용한다 해도 피싱 메시지는 여전히 그 틈을 파고들어 직원에게 도달한다. 중요한 것은 IT 전문가가 피싱 공격으로 의심되는 사례를 파악하고 이를 보고하도록 사용자를 교육하는 것이다. 스피어 피싱이 증가함에 따라 조직은 직원들이 개인을 목표로 하는 감쪽같은 이메일 사기를 알아볼 수 있도록 교육 프로그램을 강화해야 한다.
<이미지 : Getty Images Bank>