2008.12.22

진화하는 피싱 공격, 맬웨어로 갈아타는 범죄자들

Robert McMillan | IDG News Service

2008년 4월 경, 온라인 사기꾼들은 자신들의 사기행각에 심각한 문제가 있음을 깨닫기 시작했다. 자신들의 가짜 “이메일 낚시질”이 차단되는 경우가 점점 늘어난 것이다. 이는 보안 연구기관에서는 과거 감염된 컴퓨터의 봇넷 네트워크를 면밀히 연구한 끝에 이들 시스템에서 발송되는 많은 사기성 이메일 메시지를 효과적으로 차단했기 때문이다.

 

이 때문에 가짜 웹사이트를 꾸린 후 무고한 사람들을 유인해 사용자 이름과 비밀번호를 넘기도록 만든 온라인 사기꾼인 피셔들에겐 심각한 문제에 봉착했다. 이들은 더 많은 스팸메일을 발송하는 것으로 이런 문제를 해결하려 했다.

 

하지만 8월에 들어서면서 피셔들은 새로운 방법을 모색하기 시작했다. 가짜 웹사이트로 유인하는 대신 브라우저 플러그인이나 다른 종류의 소프트웨어를 설치하도록 하는 피싱메일이 증가하기 시작한 것이다. 이런 사기를 성공시키기 위해 피셔들은 은행의 보안 업데이트를 위장한 이메일에 악성 소프트웨어를 포함시켜 전송했다. 때때로 이들은 감염된 봇넷 컴퓨터를 사들여 이미 해킹을 당했던 기기로부터 은행의 신용정보를 훔치는 코드를 설치하기도 한다.

 

은행용 보안 소프트웨어 개발업체인 트러스티어의 CEO 미키 부데이는 과거보다 악성 소프트웨어를 설치하는 공격가 더 쉬워지고 있으며, 더욱 증가하는 추세라며, “확실히 피싱 공격에서 분명한 변화가 일고 있다”고 지적했다.

 

실제로 해킹은 지속적으로 서서히 증가하고 있지만, 피셔들이 악성 소프트웨어를 이용해 자신들의 공격을 정교하게 만들면서 피싱 사기를 포함하는 이메일은 지난 해에 비해 세 배 가까이 증가했다. 안티피싱 워킹그룹의 회장 데이브 제반스는 “단순히 사용자의 비밀번호를 훔치는 것이 아니다. 봇넷을 추가하는 것이다”라고 덧붙였다.

 

이런 멀웨어 중에는 아주 고약한 것도 있다. 부다이는 피셔가 브라우저 내부에서 동작하는 커스텀 코드를 구축하기 위해 은행권 웹사이트에 대한 그들의 지식을 이용해 사용자의 온라인 신원정보를 몰래 훔쳐간다며, “정보를 훔치기 위해 세션에 HTML 페이지를 삽입하는 방법을 사용하고 있다”고 덧붙였다.

 

이달 초 트러스티어는 일종의 검색 툴을 이용해 은행과 웹 사이트 관리자가 자사의 도메인이 이런 공격의 표적이 되고 있는지를 확인할 수 있도록 했다.

 

로이드, 시티뱅크, 페이팔 그리고 아메리카 은행 같은 대형 금융기관은 아직도 주요한 피싱 공격의 대상이지만, 피셔들은 사용자가 가짜 이메일에 대해 상대적으로 미비한 대비를 하고 있는 소형 금융기관으로 그 방향을 돌리고 있다. 이들은 또한 미국이 아닌 지역의 공격도 노리고 있다. 제반스는 “유럽권 은행들과 함께 이들은 최악의 해를 맞이하고 있다”고 말했다.

 

아울러 피셔들의 악성 프로그램 사용도 계속되고 있다. 끊임없이 새로운 공격 대상을 물색하고 있는 것이다.

 

지난 두 달 동안 제반스는 컴퓨터에 악성 소프트웨어를 설치하도록 고안된 공격을 이용해 피셔들이 FedEx나 UPS 같은 회사를 속여 넘기는 것을 보았다. 그리고 사건이 걱정스럽게 전개되는 가운데 피셔들은 전체 인터넷 도메인을 그들의 악성 서버로 리다이렉트하겠다는 목적으로 도메인 네임 등록기관 또한 표적으로 삼았다.

 

이런 피싱 공격 때문에 범죄자들이 이달 초 체크프리 온라인 결제 서비스의 인터넷 도메인에 접근할 수 있었을지 모른다고 진단하는 보안 전문가도 있다. 도메인 네임 등록기관의 고객사가 피셔에 의해 공격을 당한 지 한 달 만에 발생한 이 사건에서 체크프리 고객들은 악성 소프트웨어를 설치하도록 시도하는 웹사이트로 리다이렉트되었다.

 

마이크로소프트의 보안서비스 총 관리자인 존 스캐로우는 웹사이트들이 이런 공격에 적극 대응하면서 이들 공격이 급격하게 줄어들기는 했지만, 소셜 네트워크 사이트 또한 몇 달 전 주요 표적이었다며, “그야말로 피싱 공격의 밀물과 썰물이었다.”

 

악성 소프트웨어로 전환되면서 피싱 공격은 더욱 정교해 졌으며, 새로운 사기꾼들도 많아졌다. 시큐어웍스의 위협 정보 담당 이사인 돈 잭슨은 “피셔들은 이런 사기극을 도모한다는 측면에서 서로 돕고, 교육과 지원을 아끼지 않는다”고 설명한다.

 

예컨대 모로코의 해커로 여겨지는 미스터 브레인은 무료 피싱 키트를 개발해 신참들도 쉽게 피싱 현장에 뛰어들 수 있도록 하고 있다. 어느 모로 보나 미스터 브레인이란 해커는 대단하다. 한 번도 공격 대상이 된 적이 없는 은행용 피싱 키트까지 만들어낸다. 잭슨은 “미스터 브레인은 이런 무료 피싱 키트의 최고 공급자다. 그런 키트들은 모두 무료고, 실제로 쉽게 확보할 수 있다”고 말한다.

 

또한 미스터 브레인의 무료 피싱 키트에는 아마추어들은 모르는 함정도 있다. 이들 가짜 웹사이트에 의해 로그되는 모든 피싱 데이터는 자동으로 미스터 브레인에게도 보내진다는 것. 즉 신참 피셔들은 결국 스스로도 피싱 공격을 당하는 꼴이 되고 만다.

 

하지만 이런 정도로는 신참 피셔들을 막기는 역부족이다. 피셔들은 수입이 꽤 짭짤하고 머나먼 나라의 희생양들을 공격할 수 있기 때문에 법망을 피해 활동할 수 있다. 또 피싱 툴킷과 훔친 신원정보를 쉽게 찾고자 하는 구매자 때문에 피싱은 새 세대의 범죄자를 끊임 없이 끌어들인다.

 

RSA 시큐리티의 선임 관리자 션 브래디는 피싱이 예전보다 쉬워지고 있다며, “아마 나라면 이런 공격을 필수품 범죄라 말하겠다”고 덧붙였다.   editor@idg.co.kr



2008.12.22

진화하는 피싱 공격, 맬웨어로 갈아타는 범죄자들

Robert McMillan | IDG News Service

2008년 4월 경, 온라인 사기꾼들은 자신들의 사기행각에 심각한 문제가 있음을 깨닫기 시작했다. 자신들의 가짜 “이메일 낚시질”이 차단되는 경우가 점점 늘어난 것이다. 이는 보안 연구기관에서는 과거 감염된 컴퓨터의 봇넷 네트워크를 면밀히 연구한 끝에 이들 시스템에서 발송되는 많은 사기성 이메일 메시지를 효과적으로 차단했기 때문이다.

 

이 때문에 가짜 웹사이트를 꾸린 후 무고한 사람들을 유인해 사용자 이름과 비밀번호를 넘기도록 만든 온라인 사기꾼인 피셔들에겐 심각한 문제에 봉착했다. 이들은 더 많은 스팸메일을 발송하는 것으로 이런 문제를 해결하려 했다.

 

하지만 8월에 들어서면서 피셔들은 새로운 방법을 모색하기 시작했다. 가짜 웹사이트로 유인하는 대신 브라우저 플러그인이나 다른 종류의 소프트웨어를 설치하도록 하는 피싱메일이 증가하기 시작한 것이다. 이런 사기를 성공시키기 위해 피셔들은 은행의 보안 업데이트를 위장한 이메일에 악성 소프트웨어를 포함시켜 전송했다. 때때로 이들은 감염된 봇넷 컴퓨터를 사들여 이미 해킹을 당했던 기기로부터 은행의 신용정보를 훔치는 코드를 설치하기도 한다.

 

은행용 보안 소프트웨어 개발업체인 트러스티어의 CEO 미키 부데이는 과거보다 악성 소프트웨어를 설치하는 공격가 더 쉬워지고 있으며, 더욱 증가하는 추세라며, “확실히 피싱 공격에서 분명한 변화가 일고 있다”고 지적했다.

 

실제로 해킹은 지속적으로 서서히 증가하고 있지만, 피셔들이 악성 소프트웨어를 이용해 자신들의 공격을 정교하게 만들면서 피싱 사기를 포함하는 이메일은 지난 해에 비해 세 배 가까이 증가했다. 안티피싱 워킹그룹의 회장 데이브 제반스는 “단순히 사용자의 비밀번호를 훔치는 것이 아니다. 봇넷을 추가하는 것이다”라고 덧붙였다.

 

이런 멀웨어 중에는 아주 고약한 것도 있다. 부다이는 피셔가 브라우저 내부에서 동작하는 커스텀 코드를 구축하기 위해 은행권 웹사이트에 대한 그들의 지식을 이용해 사용자의 온라인 신원정보를 몰래 훔쳐간다며, “정보를 훔치기 위해 세션에 HTML 페이지를 삽입하는 방법을 사용하고 있다”고 덧붙였다.

 

이달 초 트러스티어는 일종의 검색 툴을 이용해 은행과 웹 사이트 관리자가 자사의 도메인이 이런 공격의 표적이 되고 있는지를 확인할 수 있도록 했다.

 

로이드, 시티뱅크, 페이팔 그리고 아메리카 은행 같은 대형 금융기관은 아직도 주요한 피싱 공격의 대상이지만, 피셔들은 사용자가 가짜 이메일에 대해 상대적으로 미비한 대비를 하고 있는 소형 금융기관으로 그 방향을 돌리고 있다. 이들은 또한 미국이 아닌 지역의 공격도 노리고 있다. 제반스는 “유럽권 은행들과 함께 이들은 최악의 해를 맞이하고 있다”고 말했다.

 

아울러 피셔들의 악성 프로그램 사용도 계속되고 있다. 끊임없이 새로운 공격 대상을 물색하고 있는 것이다.

 

지난 두 달 동안 제반스는 컴퓨터에 악성 소프트웨어를 설치하도록 고안된 공격을 이용해 피셔들이 FedEx나 UPS 같은 회사를 속여 넘기는 것을 보았다. 그리고 사건이 걱정스럽게 전개되는 가운데 피셔들은 전체 인터넷 도메인을 그들의 악성 서버로 리다이렉트하겠다는 목적으로 도메인 네임 등록기관 또한 표적으로 삼았다.

 

이런 피싱 공격 때문에 범죄자들이 이달 초 체크프리 온라인 결제 서비스의 인터넷 도메인에 접근할 수 있었을지 모른다고 진단하는 보안 전문가도 있다. 도메인 네임 등록기관의 고객사가 피셔에 의해 공격을 당한 지 한 달 만에 발생한 이 사건에서 체크프리 고객들은 악성 소프트웨어를 설치하도록 시도하는 웹사이트로 리다이렉트되었다.

 

마이크로소프트의 보안서비스 총 관리자인 존 스캐로우는 웹사이트들이 이런 공격에 적극 대응하면서 이들 공격이 급격하게 줄어들기는 했지만, 소셜 네트워크 사이트 또한 몇 달 전 주요 표적이었다며, “그야말로 피싱 공격의 밀물과 썰물이었다.”

 

악성 소프트웨어로 전환되면서 피싱 공격은 더욱 정교해 졌으며, 새로운 사기꾼들도 많아졌다. 시큐어웍스의 위협 정보 담당 이사인 돈 잭슨은 “피셔들은 이런 사기극을 도모한다는 측면에서 서로 돕고, 교육과 지원을 아끼지 않는다”고 설명한다.

 

예컨대 모로코의 해커로 여겨지는 미스터 브레인은 무료 피싱 키트를 개발해 신참들도 쉽게 피싱 현장에 뛰어들 수 있도록 하고 있다. 어느 모로 보나 미스터 브레인이란 해커는 대단하다. 한 번도 공격 대상이 된 적이 없는 은행용 피싱 키트까지 만들어낸다. 잭슨은 “미스터 브레인은 이런 무료 피싱 키트의 최고 공급자다. 그런 키트들은 모두 무료고, 실제로 쉽게 확보할 수 있다”고 말한다.

 

또한 미스터 브레인의 무료 피싱 키트에는 아마추어들은 모르는 함정도 있다. 이들 가짜 웹사이트에 의해 로그되는 모든 피싱 데이터는 자동으로 미스터 브레인에게도 보내진다는 것. 즉 신참 피셔들은 결국 스스로도 피싱 공격을 당하는 꼴이 되고 만다.

 

하지만 이런 정도로는 신참 피셔들을 막기는 역부족이다. 피셔들은 수입이 꽤 짭짤하고 머나먼 나라의 희생양들을 공격할 수 있기 때문에 법망을 피해 활동할 수 있다. 또 피싱 툴킷과 훔친 신원정보를 쉽게 찾고자 하는 구매자 때문에 피싱은 새 세대의 범죄자를 끊임 없이 끌어들인다.

 

RSA 시큐리티의 선임 관리자 션 브래디는 피싱이 예전보다 쉬워지고 있다며, “아마 나라면 이런 공격을 필수품 범죄라 말하겠다”고 덧붙였다.   editor@idg.co.kr



X