2017.09.25

"낯선 메일을 조심하라는 말은 구닥다리 보안 교육"…오피스 365 피싱 공격 리뷰

Steve Ragan | CSO
9월 초 본지는 회사 필터를 우회해 일반 받은편지함에 침투한 피싱(Phishing) 이메일을 해체 분석했다.

해당 이메일은 오래되어 없어진 회사 부서에 관한 내용이었기 때문에 사기임을 쉽게 파악할 수 있었다. 그런데 해당 메시지 자체가 최소한 올해 6월부터 오피스 365(Office 365) 고객을 겨냥한 규모가 더 큰 작전의 일부일 수도 있음을 알게 되었다.

무작위 피싱 공격이 아니었다.
올해 9월 7일, 본지는 평범해 보이는 이메일 한 통을 받았다. 계정의 할당 용량이 초과되려 하고 있으며 이런 공간 부족 탓에 이메일 전송이 지연되고 있다고 경고하는 내용이었다. 이 문제를 해결하려면 첨부 HTML 파일을 열어서 지시에 따르라는 내용도 덧붙여져 있었다. 이 이메일은 사기가 분명했다.

9월 7일자 메시지 분석 내용을 발표한 직후, 한 소식통으로부터 연락을 받았다. 이 문제는 본지가 설명한 것처럼 인증정보를 탈취하기 위한 기본적인 1회성 시도가 아닌 훨씬 더 큰 문제라는 것이었다.

알고 보니, 이는 정부기관, 산업기관, 금융업체, 대학교 등을 표적으로 하는 규모가 더 큰 피싱 공격 작전의 잠재적 피해자 가운데 하나였다.

올해 6월 이후부터 오피스 365 고객을 대상으로 한 지속적인 연쇄 공격으로 보이는 오피스 365 피싱 이메일이 최소한 3만 건이 있었다. 그러나 후지쯔(Fujitsu)는 그 숫자는 몇 건 안되는 조사 내용에 기준으로 한 것이라고 밝혔다.

연쇄 피싱 작전은 오피스 365 계정의 사용자명과 비밀번호를 탈취하기 위해 이메일을 발송하는 것으로 시작한다. 일단 피해자의 인증정보를 탈취하고 나면 공격자는 다음 단계로 피해자의 주소록을 노린다. 업무상 연락처와 개인 연락처가 고루 들어있는 경우가 많기 때문이다.

공격의 제 2단계는 의심을 사지 않도록 첫번째 피해자의 기존 인맥을 이용하는 것이다. 새로운 피해자를 움직이기 위해서 메일 제목에 "알아두세요"와 같은 부담 없는 말을 쓰는 경우가 많다.

이런 작전은 최대한 자주 반복된다. 그러면 새로운 피해자들이 계속 생기면서 공격이 퍼져나간다. 시간이 지나면 탈취된 인증정보를 이용해 피해자가 접근하는 것이라면 무엇이든지 무단 접근할 수 있게 된다.

대부분의 조직에서 익스체인지(Exchange), 원드라이브(One Drive), 스카이프(Skype), 셰어포인트(SharePoint), 오피스 스토어(Office Store) 앱에 오피스 365 인증정보를 활용한다는 점을 감안하면 잠재적인 피해는 심각하다.

이런 공격에서 피해자는 본인과 관련있는 사람에게서 온 메시지를 클릭할 가능성이 높다. 따라서 공격자는 업체와 지인 간의 기존 신뢰 관계를 악용함으로써 저항이 거의 없는 잠재적인 피해자를 광범위하게 확보할 수 있다.

누군가가 확인을 위해 발신자에게 연락을 취하면 연쇄 피싱 공격 담당자는 피해자의 스카이프 계정을 이용해 사기가 아닌 것처럼 가장한다.

피싱 작전 미끼
이런 작전의 미끼에는 몇 가지 주제가 있다. 먼저, 본지에서 받은 것과 비슷하게 저장 공간이 얼마 남지 않았다고 경고하는 내용이다. 저장 공간을 주제로 하는 이메일 또 있는데 이번에는 이 문제를 해결하기 위해 사용자에게 "할당량"을 활성화하라고 요청한다. 두 경우 모두 피해자는 자신의 오피스 365 인증정보를 입력하라는 메시지를 받게 된다.

도큐사인(DocuSign)의 문서를 검토 요청하는 이메일에 대한 신고도 있었다. 검토 링크를 클릭하면 인증 정보를 입력하게 되어 있다. 이 밖에도, 계정 일시 중지, 서버 업그레이드, 보안 업데이트 등의 기술 관련 주제를 이용한 미끼가 있다.

올해 6월, 미국 캔사스(Kansas) 주는 오피스 365 "저장 공간" 사기에 관한 경보를 발령했다. 뒤이어 7월에는 피츠버그 대학교(University of Pittsburgh)에서 두 건의 경보를 발령했다.

9월 초, 미국 사우스 다코타 주립 대학교(South Dakota State University)의 사기 이메일 경고 목록에 또 다른 오피스 365 피싱 공격이 등재됐다. 본지에 전달되었던 것과 동일한 계정으로부터 같은 날에 발송된 것이다.

그런데 초기 피싱 공격 이후에는 작전 방향이 바뀌면서 약간 일상적인 말투가 사용되기 시작한다. 앞서 언급한 대로 "알아두세요"가 이러한 메일 제목이다. 이 밖에도 "승인된 청구서"나 "전달: 결제" 등으로 주의를 끈다. 또한, 무단 접근된 오피스 365 계정을 이용해 내부 업무 연락처에게 똑같은 "할당량" 메시지가 전송된 바 있다.

오피스 365 피싱 작전 수행
이런 이메일은 모두 피해자의 주소록이나 대상 피해자의 도메인에서 온 핵심 데이터 요소를 이용하는 기본 템플릿으로 실행되는 경향이 있다. 피해자가 사기에 속아 넘어가면 착륙 페이지(오피스 365 인증정보가 탈취되는 곳)로 이동된다. 그 방법은 몇 가지가 있다.

HTML 첨부파일을 열면 착륙 페이지가 보인다거나 해당 페이지로 전달되기도 하도 직접 링크를 클릭해서 이동되는 경우도 있다. 본지는 최근 몇 가지 사례를 검토한 후 착륙 페이지 자체가 Knockout.js를 사용해서 설계된 것이라는 결론을 내렸다. Knockout.js는 오픈소스 자바스크립트(JavaScript) 템플릿 시스템으로서 심지어 구식 브라우저를 비롯한 모든 브라우저에서 작동한다.

관찰한 코드의 예를 보면 이 시스템은 대부분의 사람들이 익숙한 오피스 365 로그인 포털을 복제하는 데 사용되고 있는 것으로 보인다. 사기꾼에 의해 탈취된 피해자의 인증정보는 합법적인 마이크로소프트 로그인 페이지로 전달된다.

오피스 365, 피싱의 좋은 먹잇감
최근의 패턴과 범위를 감안하면 오피스 365는 예외가 아닌 일반적인 표적이 될 것으로 예상된다.

앱리버(AppRiver)의 보안 연구 담당자 트로이 질은 지난 6개월 가량 동안 오피스 365를 표적으로 한 피싱 사기가 많이 관찰되었다고 말했다. 2017년 현재까지 오피스 365 사용자를 겨냥해 발송된 이메일은 앱리버에서 확인한 것만 해도 최소한 1억 건이 넘는다고 밝혔다.
질은 "지난해 이맘 때 이후로 최소한 1,000% 증가한 것을 확인했다고 쉽게 말할 수 있다. 이들 작전 가운데 다수는 하루 만에 수백만 건의 메시지를 양산하고 있다"고 설명했다.

예방과 피해 경감 방법
직업에 따라 대부분의 사람은 이메일에 매여 있다. 그러나, 보안 인식 교육은 "낯선 사람이 위험하다"는 식의 사고방식을 갖고 있는 경우가 많아 지인이 메시지를 보내오거나 공격자가 인증 채널을 통제하고 있을 때의 행동 요령은 다루지 않고 넘어가곤 한다.

언론, 사무실 행정, 법률, 마케팅, 영업, 인사 등은 모두 피싱에 의한 큰 위험에 노출되어 있다. 왜냐하면 이들은 접근권을 갖고 있고 대부분의 인식 교육에서 하지 말라고 하는 바로 그것, 즉 링크 클릭, 낯선 사람에게 말 걸기, 첨부 파일 열기 등을 해야 하는 위치에 있기 때문이다.

그래서 피싱이 그처럼 효과적인 것이다. 바라쿠다(Barracuda), 후지츠에서 관찰한 공격과, 심지어 본지에 침투한 것은 모두 기존의 신뢰와 친숙함을 활용하고 정상적인 작업 흐름을 방해하려고 한다.

피싱 퇴치에 도움이 될 기술적인 통제 장치가 있기는 하다. (녹오프(knock-off) URL, 타이포스쿼팅(typo squatting) 등을 잡아낼 수 있는) 도메인 모니터링이나 이메일 필터링 등이 그 예이다. 그러나 문제는 여전히 사람의 문제다.

이런 통제 장치로도 이메일이 한 사람의 받은편지함에 들어가는 것을 막지 못한다면 잠재적인 피해자가 최후의 방어선이 될 수 밖에 없다.

이 시점에서 다단계 인증은 방어 강화에 분명 도움이 된다. 마이크로소프트에서 오피스 365 사용자(특히 기업 환경의 사용자)에 대해 다단계 인증을 권장한 지 오래되었다.

그래도 일반적인 작업흐름과 업무 패턴을 인식 교육 자체에 포함시키는 것에 대해 할 말이 있다. 본지의 보안팀은 이러한 종류의 보안교육 덕분에 9월 7일 자 이메일을 받은 사람은 모두 거의 즉시 이것이 사기인 것을 알아챌 수 있었다.

정상적이고 일반적인 조직 작업 흐름에 맞게 인식 교육을 전환한다면 사용자들이 뭔가가 "이건 아닌 것 같은 느낌"이 들 때 이를 알아차리고 신고할 가능성이 높기 때문에 도움이 된다.

그러나 관건은 소통이다. 의도하지 않은 잘못된 신고를 하거나 사기에 속아넘어간다고 해서 처벌받지 않으며 오히려 성공하면 보상이 있다는 점을 강조해야 한다. editor@itworld.co.kr  


2017.09.25

"낯선 메일을 조심하라는 말은 구닥다리 보안 교육"…오피스 365 피싱 공격 리뷰

Steve Ragan | CSO
9월 초 본지는 회사 필터를 우회해 일반 받은편지함에 침투한 피싱(Phishing) 이메일을 해체 분석했다.

해당 이메일은 오래되어 없어진 회사 부서에 관한 내용이었기 때문에 사기임을 쉽게 파악할 수 있었다. 그런데 해당 메시지 자체가 최소한 올해 6월부터 오피스 365(Office 365) 고객을 겨냥한 규모가 더 큰 작전의 일부일 수도 있음을 알게 되었다.

무작위 피싱 공격이 아니었다.
올해 9월 7일, 본지는 평범해 보이는 이메일 한 통을 받았다. 계정의 할당 용량이 초과되려 하고 있으며 이런 공간 부족 탓에 이메일 전송이 지연되고 있다고 경고하는 내용이었다. 이 문제를 해결하려면 첨부 HTML 파일을 열어서 지시에 따르라는 내용도 덧붙여져 있었다. 이 이메일은 사기가 분명했다.

9월 7일자 메시지 분석 내용을 발표한 직후, 한 소식통으로부터 연락을 받았다. 이 문제는 본지가 설명한 것처럼 인증정보를 탈취하기 위한 기본적인 1회성 시도가 아닌 훨씬 더 큰 문제라는 것이었다.

알고 보니, 이는 정부기관, 산업기관, 금융업체, 대학교 등을 표적으로 하는 규모가 더 큰 피싱 공격 작전의 잠재적 피해자 가운데 하나였다.

올해 6월 이후부터 오피스 365 고객을 대상으로 한 지속적인 연쇄 공격으로 보이는 오피스 365 피싱 이메일이 최소한 3만 건이 있었다. 그러나 후지쯔(Fujitsu)는 그 숫자는 몇 건 안되는 조사 내용에 기준으로 한 것이라고 밝혔다.

연쇄 피싱 작전은 오피스 365 계정의 사용자명과 비밀번호를 탈취하기 위해 이메일을 발송하는 것으로 시작한다. 일단 피해자의 인증정보를 탈취하고 나면 공격자는 다음 단계로 피해자의 주소록을 노린다. 업무상 연락처와 개인 연락처가 고루 들어있는 경우가 많기 때문이다.

공격의 제 2단계는 의심을 사지 않도록 첫번째 피해자의 기존 인맥을 이용하는 것이다. 새로운 피해자를 움직이기 위해서 메일 제목에 "알아두세요"와 같은 부담 없는 말을 쓰는 경우가 많다.

이런 작전은 최대한 자주 반복된다. 그러면 새로운 피해자들이 계속 생기면서 공격이 퍼져나간다. 시간이 지나면 탈취된 인증정보를 이용해 피해자가 접근하는 것이라면 무엇이든지 무단 접근할 수 있게 된다.

대부분의 조직에서 익스체인지(Exchange), 원드라이브(One Drive), 스카이프(Skype), 셰어포인트(SharePoint), 오피스 스토어(Office Store) 앱에 오피스 365 인증정보를 활용한다는 점을 감안하면 잠재적인 피해는 심각하다.

이런 공격에서 피해자는 본인과 관련있는 사람에게서 온 메시지를 클릭할 가능성이 높다. 따라서 공격자는 업체와 지인 간의 기존 신뢰 관계를 악용함으로써 저항이 거의 없는 잠재적인 피해자를 광범위하게 확보할 수 있다.

누군가가 확인을 위해 발신자에게 연락을 취하면 연쇄 피싱 공격 담당자는 피해자의 스카이프 계정을 이용해 사기가 아닌 것처럼 가장한다.

피싱 작전 미끼
이런 작전의 미끼에는 몇 가지 주제가 있다. 먼저, 본지에서 받은 것과 비슷하게 저장 공간이 얼마 남지 않았다고 경고하는 내용이다. 저장 공간을 주제로 하는 이메일 또 있는데 이번에는 이 문제를 해결하기 위해 사용자에게 "할당량"을 활성화하라고 요청한다. 두 경우 모두 피해자는 자신의 오피스 365 인증정보를 입력하라는 메시지를 받게 된다.

도큐사인(DocuSign)의 문서를 검토 요청하는 이메일에 대한 신고도 있었다. 검토 링크를 클릭하면 인증 정보를 입력하게 되어 있다. 이 밖에도, 계정 일시 중지, 서버 업그레이드, 보안 업데이트 등의 기술 관련 주제를 이용한 미끼가 있다.

올해 6월, 미국 캔사스(Kansas) 주는 오피스 365 "저장 공간" 사기에 관한 경보를 발령했다. 뒤이어 7월에는 피츠버그 대학교(University of Pittsburgh)에서 두 건의 경보를 발령했다.

9월 초, 미국 사우스 다코타 주립 대학교(South Dakota State University)의 사기 이메일 경고 목록에 또 다른 오피스 365 피싱 공격이 등재됐다. 본지에 전달되었던 것과 동일한 계정으로부터 같은 날에 발송된 것이다.

그런데 초기 피싱 공격 이후에는 작전 방향이 바뀌면서 약간 일상적인 말투가 사용되기 시작한다. 앞서 언급한 대로 "알아두세요"가 이러한 메일 제목이다. 이 밖에도 "승인된 청구서"나 "전달: 결제" 등으로 주의를 끈다. 또한, 무단 접근된 오피스 365 계정을 이용해 내부 업무 연락처에게 똑같은 "할당량" 메시지가 전송된 바 있다.

오피스 365 피싱 작전 수행
이런 이메일은 모두 피해자의 주소록이나 대상 피해자의 도메인에서 온 핵심 데이터 요소를 이용하는 기본 템플릿으로 실행되는 경향이 있다. 피해자가 사기에 속아 넘어가면 착륙 페이지(오피스 365 인증정보가 탈취되는 곳)로 이동된다. 그 방법은 몇 가지가 있다.

HTML 첨부파일을 열면 착륙 페이지가 보인다거나 해당 페이지로 전달되기도 하도 직접 링크를 클릭해서 이동되는 경우도 있다. 본지는 최근 몇 가지 사례를 검토한 후 착륙 페이지 자체가 Knockout.js를 사용해서 설계된 것이라는 결론을 내렸다. Knockout.js는 오픈소스 자바스크립트(JavaScript) 템플릿 시스템으로서 심지어 구식 브라우저를 비롯한 모든 브라우저에서 작동한다.

관찰한 코드의 예를 보면 이 시스템은 대부분의 사람들이 익숙한 오피스 365 로그인 포털을 복제하는 데 사용되고 있는 것으로 보인다. 사기꾼에 의해 탈취된 피해자의 인증정보는 합법적인 마이크로소프트 로그인 페이지로 전달된다.

오피스 365, 피싱의 좋은 먹잇감
최근의 패턴과 범위를 감안하면 오피스 365는 예외가 아닌 일반적인 표적이 될 것으로 예상된다.

앱리버(AppRiver)의 보안 연구 담당자 트로이 질은 지난 6개월 가량 동안 오피스 365를 표적으로 한 피싱 사기가 많이 관찰되었다고 말했다. 2017년 현재까지 오피스 365 사용자를 겨냥해 발송된 이메일은 앱리버에서 확인한 것만 해도 최소한 1억 건이 넘는다고 밝혔다.
질은 "지난해 이맘 때 이후로 최소한 1,000% 증가한 것을 확인했다고 쉽게 말할 수 있다. 이들 작전 가운데 다수는 하루 만에 수백만 건의 메시지를 양산하고 있다"고 설명했다.

예방과 피해 경감 방법
직업에 따라 대부분의 사람은 이메일에 매여 있다. 그러나, 보안 인식 교육은 "낯선 사람이 위험하다"는 식의 사고방식을 갖고 있는 경우가 많아 지인이 메시지를 보내오거나 공격자가 인증 채널을 통제하고 있을 때의 행동 요령은 다루지 않고 넘어가곤 한다.

언론, 사무실 행정, 법률, 마케팅, 영업, 인사 등은 모두 피싱에 의한 큰 위험에 노출되어 있다. 왜냐하면 이들은 접근권을 갖고 있고 대부분의 인식 교육에서 하지 말라고 하는 바로 그것, 즉 링크 클릭, 낯선 사람에게 말 걸기, 첨부 파일 열기 등을 해야 하는 위치에 있기 때문이다.

그래서 피싱이 그처럼 효과적인 것이다. 바라쿠다(Barracuda), 후지츠에서 관찰한 공격과, 심지어 본지에 침투한 것은 모두 기존의 신뢰와 친숙함을 활용하고 정상적인 작업 흐름을 방해하려고 한다.

피싱 퇴치에 도움이 될 기술적인 통제 장치가 있기는 하다. (녹오프(knock-off) URL, 타이포스쿼팅(typo squatting) 등을 잡아낼 수 있는) 도메인 모니터링이나 이메일 필터링 등이 그 예이다. 그러나 문제는 여전히 사람의 문제다.

이런 통제 장치로도 이메일이 한 사람의 받은편지함에 들어가는 것을 막지 못한다면 잠재적인 피해자가 최후의 방어선이 될 수 밖에 없다.

이 시점에서 다단계 인증은 방어 강화에 분명 도움이 된다. 마이크로소프트에서 오피스 365 사용자(특히 기업 환경의 사용자)에 대해 다단계 인증을 권장한 지 오래되었다.

그래도 일반적인 작업흐름과 업무 패턴을 인식 교육 자체에 포함시키는 것에 대해 할 말이 있다. 본지의 보안팀은 이러한 종류의 보안교육 덕분에 9월 7일 자 이메일을 받은 사람은 모두 거의 즉시 이것이 사기인 것을 알아챌 수 있었다.

정상적이고 일반적인 조직 작업 흐름에 맞게 인식 교육을 전환한다면 사용자들이 뭔가가 "이건 아닌 것 같은 느낌"이 들 때 이를 알아차리고 신고할 가능성이 높기 때문에 도움이 된다.

그러나 관건은 소통이다. 의도하지 않은 잘못된 신고를 하거나 사기에 속아넘어간다고 해서 처벌받지 않으며 오히려 성공하면 보상이 있다는 점을 강조해야 한다. editor@itworld.co.kr  


X