2021.04.19

공격자가 현재 사용하는 7가지 소셜 엔지니어링 전술

Derek Slater | CSO
최근 소셜 엔지니어링 공격이 증가하고 있다. 코로나 19에 대한 두려움, 소득에 대한 우려가 커지면서 절박감, 건강과 복지에 대한 걱정은 범죄자가 공격하기 쉽게 만들었다. 물론 소셜 엔지니어링은 컴퓨터 시스템 자체가 아닌 사용자를 공격해 정보를 빼내거나 해킹으로 이어질 행동을 유도하는 것을 의미한다. 
 
ⓒ Getty Images Bank

보안 인식 교육 업체인 노우비포(KnowBe4) 전략 책임자 페리 카펜터는 “일반적으로 소셜 엔지니어링 기법은 오래된 기술을 새로운 포장지에 포장한 것과 같다”라고 말했다. 보안 전문가가 알고 있듯이 패키징이 중요하며, 익숙한 공격을 익숙하지 않은 형태로 방어를 뚫을 수 있다. 이번 기사에서는 소셜 엔지니어링 전문가가 2021년에 증가할 것이라고 말하는 7가지 전술에 관해 알아보자.   


1. 악성 QR 코드 

최근 1년 사이에 QR 코드 관련 피싱 사기가 많아졌다. 정사각형으로 배열된 기계 판독이 가능한 흑백 매트릭스 코드인 QR 코드는 기업이 코로나 19의 한복판에서 소비자와 소통하고 서비스를 제공하는 수단으로 점점 더 인기를 끌고 있다. 

예를 들어, 많은 식당이 종이 메뉴판을 버리고 대신 손님에게 자신의 스마트폰으로 QR 코드를 스캔해 메뉴판을 대신하도록 한다. 이와 비슷하게 많은 걸스카우트가 올해 봄, 무 접촉 주문 및 쿠키 전달을 위해 QR 코드를 게시했다(국내에서는 코로나 19 방역을 위해 모든 장소의 출입명부를 QR 코드를 통해 대신하고 있다. 편집자 주).

그러나 QR 코드가 사람들에게 보내는 웹사이트 가운데 상당수는 서드파티 공급업체에서 운영한다. 악성 QR 코드를 스캔하면 마치 악성 링크를 클릭하는 것처럼 휴대폰에 악의적인 대상에 연결할 수 있다. 카펜터는 “사람들은 QR 코드와 웹 사이트가 합법적이라고 판단할 수 있다”라고 경고했다. 

이 소셜 엔지니어링 공격의 전달 방법은 다양한다. 영국에 본사를 둔 보안 및 분석업체 사이브세이프(CybSafe) CEO 오즈 알라시는 “'이 QR 코드를 스캔해 엑스박스를 획득할 수 있는 기회를 잡으라'고 약속하는 사기 코드가 특정 지역에서 유행할 수 있다”라고 설명했다. 종종 QR 코드는 악성코드를 휴대폰에 다운로드하는 이상한 사이트로 연결된다. 


2. 브라우저 알림 도용 

웹사이트는 수년 동안 방문자에게 사이트의 ‘알림(notifications)’을 승인하도록 요청했다. 한때 독자와 소통하고 최신 상태로 유지하는 유용한 방법이었던 알람은 이제 소셜 엔지니어링 공격의 도구가 됐다.
 
카펜터는 “이는 푸시 알림(push notifications)이라고 하며, 무기화할 수 있다. 문제는 많은 사용자가 이런 알림을 허용하기 위해 맹목적으로 ‘예’를 클릭한다는 것이다. 많은 사용자가 웹 브라우저에 대해 어느 정도 주의를 기울이고 있지만, 알림은 브라우저가 아니라 장치 자체에서 보내는 시스템 메시지에 더 가깝다.
 
무턱대고 승낙하지 않는 주의깊은 사용자의 경우에도 사기꾼은 알림 스크립트를 설치하게끔 하는 방법을 찾았다. 구독 동의를 캡차(CAPTCHA)와 같은 다른 작업으로 위장하거나 작업 중간에 구독 알림에서 ‘수락’과 ‘거절’ 버튼을 바꾸는 것도 포함된다. 

사용자가 동의를 하게 되면 메시지가 넘쳐나기 시작한다. 일반적으로 메시지는 피싱 또는 악성코드가 포함된 사기 알림이다. 


3. 협업 사기

협업 사기(Collaboration scams)를 통해 사이버 범죄자는 디자이너, 개발자, 심지어 보안 연구원을 포함한 협업 분야의 전문가를 표적으로 삼고 있다. 미끼는 작업에 협력하도록 요청하는 초대장이다.
 
최근 코로나 19와 재택근무 확대로 인한 원격 협업의 증가는 협업 사기 전술의 성공율을 높여준다. 알라시는 “위협 행위자는 악성코드가 포함된 비주얼 스튜디오 프로젝트를 보낸다. 사용자가 프로그램을 자체 실행하면 기기는 매우 빠르게 감염된다. 이 공격은 본질적으로 열정적으로 다른 사람을 돕고자 하는 마음을 악용한다”라고 설명했다.
 
보안 업체 리블레이즈(Reblaze) CTO 츠리 바 요체이는 "이 공격의 예시는 너무나 많다. 공격자는 적극적인 연구원을 위장하고 사회적 증거를 구축한다. 게스트 게시물, 트위터 계정, 유투브 동영상, 링크드인, 디스코드 등으로 업계 기사를 게재한 블로그를 활용한다. 겉보기에는 넓게 보이는 사회적 발자국으로 표적의 의심으로부터 벗어날 수 있다"라고 말했다. 


4. 공급망 협력업체 명의 도용  

수모로직(Sumo Logic) CSO 조지 거초우는 기업의 공급망 일부를 악용하는 공격이 이제 큰 문제라고 우려했다. 거초우는 “볼 수 없는 것을 방어하는 것은 쉽지 않으며, 가장 약한 링크만큼만 강하다”며, “예를 들어, 신뢰할 수 있는 협력업체가 보낸 것처럼 보이지만 실제로는 네트워크 내에서 아는 직원으로 가장하는 악의적인 이메일이었다”라고 말했다. 

거초우는 수모로직 직원에게 제공되는 사기 상품권 제안을 처음 발견했는데, 이는 회사의 실제 비즈니스 협력업체의 인센티브 또는 감사의 표시로 위장했다.
 
거초우는 "시간이 지남에 따라 공격은 더욱 세밀해졌다. 이제 우리는 모든 업무를 지원하는 일부 아웃바운드 팀과의 관계를 구축하려는 길고 정교한 시도를 탐지했다. 심지어 악의적인 행위자는 무료 계정으로 제품을 사용하는 공급업체로 위장하고 사용례와 시나리오를 통해 회사 내 전문 지식을 활용했다"라고 설명했다.
 
이런 신뢰할 수 있는 관계를 구축함으로써 공격자의 궁극적인 목표는 소셜 엔지니어링 전술을 좀 더 효과적으로 만들고 보안 제어를 통과하거나 표적 기업의 시스템을 손상시킬 악성코드를 전송하는 것이다.
 
솔라윈즈(SolarWinds)에 대한 공격은 공급망 공격의 대표적인 예다. 이 경우 VEC(Vendor Email Compromise) 공격이라고 하는 특정 버전이다. 솔라윈즈 관계자가 언급했듯이, 이메일 계정이 해킹되어 비즈니스 및 기술 역할을 수행하는 솔라윈즈 직원의 계정에 프로그래밍 방식으로 접근했다. 


5. 딥페이크 레코딩 

현재 소셜 엔지니어는 인공지능을 사용해 특정 사람의 외모나 목소리를 시뮬레이션하는 놀랍도록 사실적인 딥페이크 레코딩(Deepfake recordings)을 사용해 피해자를 속여 정보를 누설하거나 공격자에게 도움이 되는 작업을 수행하고 있다.
  
리블레이즈의 바 요체이는 공격자가 실제 사람의 음성과 거의 구별할 수 없는 ‘복제된’ 음성을 사용해 사기 음성을 만드는 오디오 딥 페이크 공격이 점점 더 우려되고 있다고 말했다. 가장 성공적인 사례 가운데 하나는 2019년 CEO 목소리를 가짜로 녹음해 직원에게 즉시 해외 계좌로 돈을 이체하도록 지시한 것이다. 
24만 3,000달러를 보내라고 명령한 녹음된 파일은 직원에게 음성 메일로 첨부됐다. 

거초우는 또한 범죄자는 딥페이크 레코딩을 사용해 직원을 속여 돈을 보내게 하거나 개인정보를 제공하는 것을 본 적이 있다며, 지금까지는 오디오 녹음만 가능했지만, 동영상 딥페이크도 시간문제라고 말했다. 거초우는 "교육, 인식, 자체 보고 및 투명성은 이런 공격에 대한 보안을 확장하는 유일한 방어 방법이 될 것이다. 보안 접근성이 뛰어나야 하며, 물론 모든 것을 기록해야 한다"라고 덧붙였다.

 
6. 문자 메시지 사기 

개인정보보호 및 보안 전문가인 레베카 헤롤드는 문자 메시지는 오랫동안 소셜 엔지니어링 사기의 통로 역할을 해왔는데, 최근 이 공격이 증가했다고 말했다. 

헤롤드는 “많은 이가 전화가 아닌 문자 메시지를 통한 커뮤니케이션을 선호한다. 사람들은 이제 문자를 통해 매우 비밀을 요하는 정보를 전달하는 데 익숙하다"라고 설명했다.
 
지난해 식료품 및 음식 배달이 증가했기 때문에 배달 관련 사기 문자가 증가했다. 다른 일반적인 미끼에는 피해자에게 코로라 19 지원금에 대한 정보를 약속하면서 미국 국세청(Internal Revenue Service) 사이트처럼 보이는 웹 사이트로 연결하고 생년월일 및 사회보장번호와 같은 민감한 개인정보를 요청하는 문자가 대표적이다.
 
또한 헤롤드는 사기꾼이 미국 보건복지부를 사칭하고 제공된 링크를 사용해 온라인 코로나 19 테스트를 받아야 한다고 피해자에게 알리는 문자 사기를 본 적이 있다고 말했다. 그런 다음 다른 사기와 마찬가지로 개인정보가 유출되고 악성코드가 기기에 로드되는 경우가 많다. QR 코드와 마찬가지로 피해자는 필요한 인식과 주의 수준을 발전시키지 못했다.


7. 타이포쿼팅 또는 유사 도메인 

카펜터는 파이포쿼팅(Typosquatting) 또는 유사 도메인이 종종 BEC(Business Email Compromise) 공격에서 보인다고 말했다. 사기꾼은 피해자가 안전한 위치에 있다고 생각하도록 속이기 위해 합법적인 도메인을 가장한다. 

도메인 철자를 잘못 입력(Google 대신 Gooogle)하거나 다른 최상위 도메인(co.kr 대신 .kr)을 추가하는 등 많은 트릭을 사용한다. 초기 엉성한 버전과 달리 오늘날 이런 사이트는 정교한 디자인, 합법적인 사이트의 모방, 정교한 기능을 특징으로 할 수 있다. 

카펜터는 “소셜 엔지니어링 피해자는 보통 자신의 선택에 따라 심리적인 안전을 느끼거나 공격자의 손에 놀아날 수 있는 방식으로 심리적 안전을 추구하도록 속이는 경우가 많다"라고 설명했다. 

범죄자는 악성코드를 전달할 뿐만 아니라 가짜 로그인 필드 또는 기타 가짜 양식을 통해 신용카드 정보 또는 기타 민감한 데이터를 캡처하도록 사이트를 설정한다. editor@itworld.co.kr 


2021.04.19

공격자가 현재 사용하는 7가지 소셜 엔지니어링 전술

Derek Slater | CSO
최근 소셜 엔지니어링 공격이 증가하고 있다. 코로나 19에 대한 두려움, 소득에 대한 우려가 커지면서 절박감, 건강과 복지에 대한 걱정은 범죄자가 공격하기 쉽게 만들었다. 물론 소셜 엔지니어링은 컴퓨터 시스템 자체가 아닌 사용자를 공격해 정보를 빼내거나 해킹으로 이어질 행동을 유도하는 것을 의미한다. 
 
ⓒ Getty Images Bank

보안 인식 교육 업체인 노우비포(KnowBe4) 전략 책임자 페리 카펜터는 “일반적으로 소셜 엔지니어링 기법은 오래된 기술을 새로운 포장지에 포장한 것과 같다”라고 말했다. 보안 전문가가 알고 있듯이 패키징이 중요하며, 익숙한 공격을 익숙하지 않은 형태로 방어를 뚫을 수 있다. 이번 기사에서는 소셜 엔지니어링 전문가가 2021년에 증가할 것이라고 말하는 7가지 전술에 관해 알아보자.   


1. 악성 QR 코드 

최근 1년 사이에 QR 코드 관련 피싱 사기가 많아졌다. 정사각형으로 배열된 기계 판독이 가능한 흑백 매트릭스 코드인 QR 코드는 기업이 코로나 19의 한복판에서 소비자와 소통하고 서비스를 제공하는 수단으로 점점 더 인기를 끌고 있다. 

예를 들어, 많은 식당이 종이 메뉴판을 버리고 대신 손님에게 자신의 스마트폰으로 QR 코드를 스캔해 메뉴판을 대신하도록 한다. 이와 비슷하게 많은 걸스카우트가 올해 봄, 무 접촉 주문 및 쿠키 전달을 위해 QR 코드를 게시했다(국내에서는 코로나 19 방역을 위해 모든 장소의 출입명부를 QR 코드를 통해 대신하고 있다. 편집자 주).

그러나 QR 코드가 사람들에게 보내는 웹사이트 가운데 상당수는 서드파티 공급업체에서 운영한다. 악성 QR 코드를 스캔하면 마치 악성 링크를 클릭하는 것처럼 휴대폰에 악의적인 대상에 연결할 수 있다. 카펜터는 “사람들은 QR 코드와 웹 사이트가 합법적이라고 판단할 수 있다”라고 경고했다. 

이 소셜 엔지니어링 공격의 전달 방법은 다양한다. 영국에 본사를 둔 보안 및 분석업체 사이브세이프(CybSafe) CEO 오즈 알라시는 “'이 QR 코드를 스캔해 엑스박스를 획득할 수 있는 기회를 잡으라'고 약속하는 사기 코드가 특정 지역에서 유행할 수 있다”라고 설명했다. 종종 QR 코드는 악성코드를 휴대폰에 다운로드하는 이상한 사이트로 연결된다. 


2. 브라우저 알림 도용 

웹사이트는 수년 동안 방문자에게 사이트의 ‘알림(notifications)’을 승인하도록 요청했다. 한때 독자와 소통하고 최신 상태로 유지하는 유용한 방법이었던 알람은 이제 소셜 엔지니어링 공격의 도구가 됐다.
 
카펜터는 “이는 푸시 알림(push notifications)이라고 하며, 무기화할 수 있다. 문제는 많은 사용자가 이런 알림을 허용하기 위해 맹목적으로 ‘예’를 클릭한다는 것이다. 많은 사용자가 웹 브라우저에 대해 어느 정도 주의를 기울이고 있지만, 알림은 브라우저가 아니라 장치 자체에서 보내는 시스템 메시지에 더 가깝다.
 
무턱대고 승낙하지 않는 주의깊은 사용자의 경우에도 사기꾼은 알림 스크립트를 설치하게끔 하는 방법을 찾았다. 구독 동의를 캡차(CAPTCHA)와 같은 다른 작업으로 위장하거나 작업 중간에 구독 알림에서 ‘수락’과 ‘거절’ 버튼을 바꾸는 것도 포함된다. 

사용자가 동의를 하게 되면 메시지가 넘쳐나기 시작한다. 일반적으로 메시지는 피싱 또는 악성코드가 포함된 사기 알림이다. 


3. 협업 사기

협업 사기(Collaboration scams)를 통해 사이버 범죄자는 디자이너, 개발자, 심지어 보안 연구원을 포함한 협업 분야의 전문가를 표적으로 삼고 있다. 미끼는 작업에 협력하도록 요청하는 초대장이다.
 
최근 코로나 19와 재택근무 확대로 인한 원격 협업의 증가는 협업 사기 전술의 성공율을 높여준다. 알라시는 “위협 행위자는 악성코드가 포함된 비주얼 스튜디오 프로젝트를 보낸다. 사용자가 프로그램을 자체 실행하면 기기는 매우 빠르게 감염된다. 이 공격은 본질적으로 열정적으로 다른 사람을 돕고자 하는 마음을 악용한다”라고 설명했다.
 
보안 업체 리블레이즈(Reblaze) CTO 츠리 바 요체이는 "이 공격의 예시는 너무나 많다. 공격자는 적극적인 연구원을 위장하고 사회적 증거를 구축한다. 게스트 게시물, 트위터 계정, 유투브 동영상, 링크드인, 디스코드 등으로 업계 기사를 게재한 블로그를 활용한다. 겉보기에는 넓게 보이는 사회적 발자국으로 표적의 의심으로부터 벗어날 수 있다"라고 말했다. 


4. 공급망 협력업체 명의 도용  

수모로직(Sumo Logic) CSO 조지 거초우는 기업의 공급망 일부를 악용하는 공격이 이제 큰 문제라고 우려했다. 거초우는 “볼 수 없는 것을 방어하는 것은 쉽지 않으며, 가장 약한 링크만큼만 강하다”며, “예를 들어, 신뢰할 수 있는 협력업체가 보낸 것처럼 보이지만 실제로는 네트워크 내에서 아는 직원으로 가장하는 악의적인 이메일이었다”라고 말했다. 

거초우는 수모로직 직원에게 제공되는 사기 상품권 제안을 처음 발견했는데, 이는 회사의 실제 비즈니스 협력업체의 인센티브 또는 감사의 표시로 위장했다.
 
거초우는 "시간이 지남에 따라 공격은 더욱 세밀해졌다. 이제 우리는 모든 업무를 지원하는 일부 아웃바운드 팀과의 관계를 구축하려는 길고 정교한 시도를 탐지했다. 심지어 악의적인 행위자는 무료 계정으로 제품을 사용하는 공급업체로 위장하고 사용례와 시나리오를 통해 회사 내 전문 지식을 활용했다"라고 설명했다.
 
이런 신뢰할 수 있는 관계를 구축함으로써 공격자의 궁극적인 목표는 소셜 엔지니어링 전술을 좀 더 효과적으로 만들고 보안 제어를 통과하거나 표적 기업의 시스템을 손상시킬 악성코드를 전송하는 것이다.
 
솔라윈즈(SolarWinds)에 대한 공격은 공급망 공격의 대표적인 예다. 이 경우 VEC(Vendor Email Compromise) 공격이라고 하는 특정 버전이다. 솔라윈즈 관계자가 언급했듯이, 이메일 계정이 해킹되어 비즈니스 및 기술 역할을 수행하는 솔라윈즈 직원의 계정에 프로그래밍 방식으로 접근했다. 


5. 딥페이크 레코딩 

현재 소셜 엔지니어는 인공지능을 사용해 특정 사람의 외모나 목소리를 시뮬레이션하는 놀랍도록 사실적인 딥페이크 레코딩(Deepfake recordings)을 사용해 피해자를 속여 정보를 누설하거나 공격자에게 도움이 되는 작업을 수행하고 있다.
  
리블레이즈의 바 요체이는 공격자가 실제 사람의 음성과 거의 구별할 수 없는 ‘복제된’ 음성을 사용해 사기 음성을 만드는 오디오 딥 페이크 공격이 점점 더 우려되고 있다고 말했다. 가장 성공적인 사례 가운데 하나는 2019년 CEO 목소리를 가짜로 녹음해 직원에게 즉시 해외 계좌로 돈을 이체하도록 지시한 것이다. 
24만 3,000달러를 보내라고 명령한 녹음된 파일은 직원에게 음성 메일로 첨부됐다. 

거초우는 또한 범죄자는 딥페이크 레코딩을 사용해 직원을 속여 돈을 보내게 하거나 개인정보를 제공하는 것을 본 적이 있다며, 지금까지는 오디오 녹음만 가능했지만, 동영상 딥페이크도 시간문제라고 말했다. 거초우는 "교육, 인식, 자체 보고 및 투명성은 이런 공격에 대한 보안을 확장하는 유일한 방어 방법이 될 것이다. 보안 접근성이 뛰어나야 하며, 물론 모든 것을 기록해야 한다"라고 덧붙였다.

 
6. 문자 메시지 사기 

개인정보보호 및 보안 전문가인 레베카 헤롤드는 문자 메시지는 오랫동안 소셜 엔지니어링 사기의 통로 역할을 해왔는데, 최근 이 공격이 증가했다고 말했다. 

헤롤드는 “많은 이가 전화가 아닌 문자 메시지를 통한 커뮤니케이션을 선호한다. 사람들은 이제 문자를 통해 매우 비밀을 요하는 정보를 전달하는 데 익숙하다"라고 설명했다.
 
지난해 식료품 및 음식 배달이 증가했기 때문에 배달 관련 사기 문자가 증가했다. 다른 일반적인 미끼에는 피해자에게 코로라 19 지원금에 대한 정보를 약속하면서 미국 국세청(Internal Revenue Service) 사이트처럼 보이는 웹 사이트로 연결하고 생년월일 및 사회보장번호와 같은 민감한 개인정보를 요청하는 문자가 대표적이다.
 
또한 헤롤드는 사기꾼이 미국 보건복지부를 사칭하고 제공된 링크를 사용해 온라인 코로나 19 테스트를 받아야 한다고 피해자에게 알리는 문자 사기를 본 적이 있다고 말했다. 그런 다음 다른 사기와 마찬가지로 개인정보가 유출되고 악성코드가 기기에 로드되는 경우가 많다. QR 코드와 마찬가지로 피해자는 필요한 인식과 주의 수준을 발전시키지 못했다.


7. 타이포쿼팅 또는 유사 도메인 

카펜터는 파이포쿼팅(Typosquatting) 또는 유사 도메인이 종종 BEC(Business Email Compromise) 공격에서 보인다고 말했다. 사기꾼은 피해자가 안전한 위치에 있다고 생각하도록 속이기 위해 합법적인 도메인을 가장한다. 

도메인 철자를 잘못 입력(Google 대신 Gooogle)하거나 다른 최상위 도메인(co.kr 대신 .kr)을 추가하는 등 많은 트릭을 사용한다. 초기 엉성한 버전과 달리 오늘날 이런 사이트는 정교한 디자인, 합법적인 사이트의 모방, 정교한 기능을 특징으로 할 수 있다. 

카펜터는 “소셜 엔지니어링 피해자는 보통 자신의 선택에 따라 심리적인 안전을 느끼거나 공격자의 손에 놀아날 수 있는 방식으로 심리적 안전을 추구하도록 속이는 경우가 많다"라고 설명했다. 

범죄자는 악성코드를 전달할 뿐만 아니라 가짜 로그인 필드 또는 기타 가짜 양식을 통해 신용카드 정보 또는 기타 민감한 데이터를 캡처하도록 사이트를 설정한다. editor@itworld.co.kr 


X