“기술만으로는 방어하기 어렵다” 스피어 피싱의 모든 것

스피어 피싱(Spear Phishing)은 신뢰할 수 있는 발신자가 보낸 것으로 가장하는 표적화 된 이메일 공격이다. 공격자는 수신자를 안심시키기 위해 검색으로 얻은 정보를 사용하는 경우가 많다. 궁극적인 목적은 수신자가 링크를 클릭하거나 첨부파일을 다운로드하도록 유도해 기기를 악성코드에 감염시키거나, 수신인이 정보나 돈을 넘기는 등 공격자에게 도움이 되는 행동을 취하도록 속이는 것이다. 스피어 피싱 메시지는 치명적인 소셜 엔지니어링 기법을 사용해 신중하게 작성되며, 단순한 기술적 수단으로는 방어하기 어렵다.
 

보안관제 서비스 공급업체(MSSP) 뉴스파이어(Nuspire)의 CSO J.R 커닝햄은 “스피어 피싱에서 중요한 것은 스피어 피싱을 당하는 사람이 실제 표적이 아닌 경우가 많다는 것이다. 피해자가 접속하는 기업 환경이 최종 목표일 가능성이 가장 높다”라고 말했다.

피싱 vs. 스피어 피싱 vs. 웨일링

피싱, 스피어 피싱, 웨일링(Whaling)은 모두 이메일 공격 유형이다. 피싱은 이메일 또는 기타 전자 메시지를 사용해 표적을 속이는 광범위한 카테고리이며, 스피어 피싱과 웨일링은 피싱의 2가지 공격 유형이다.

대부분 피싱 공격은 수천 명의 수신자에게 자동으로 전송되는 포괄적인 메시지의 형태를 띤다. 첨부파일명이 ‘급여 명세서’라던지 가짜 복권 당첨 사이트로 연결되는 링크가 포함되어 있는 등 꽤 유혹적으로 작성되어 있다. 메시지 내용이 특정 사람에게 특화된 것은 아니다. ‘피싱(phishing)’이라는 용어는 ‘낚시(fishing)’에서 파생됐다(‘ph’로 바꾼 것은 엉뚱한 스펠링을 붙이는 해커들의 전통과도 같다). 미끼가 걸린 낚시 바늘(피싱 이메일)을 던지고 피해자가 물기를 기다리는 것을 비유했다.

스피어 피싱은 그 이름에서 알 수 있듯이 ‘특정’ 물고기를 잡으려고 시도하는 것이다. 스피어 피싱 이메일에는 공격자가 원하는 행동을 유도하기 위한 구체적인 정보가 포함돼 있다. 수신자의 이름부터 시작해 공격자가 다양한 소스에서 얻을 수 있는 직업 또는 사생활에 관한 정보가 포함될 수 있다.

웨일링은 스피어 피싱과 같은 맥락에서 매우 큰 물고기를 잡기 위한 공격이다. 보안 및 프라이버시 준법감시 평가 업체 쉘먼(Schellman)의 보안 변호사 겸 신규 사이버 트렌드 애널리스트 제이콥 안사리는 “웨일링은 유명 인사, 고위 임원, 기타 대형 표적에 집중된 스피어 피싱 유형이기 때문에 ‘스피어(spear)’라는 표현과는 다소 어울리지 않는다. 모든 스피어 피싱이 표적화 되어 있기는 하지만, 때로는 사용자 액세스를 제어하고 송장을 승인하는 IT 또는 재무팀 직원처럼 비즈니스에 필수적인 역할을 하지만 눈에 덜 띄는 표적에 집중하기도 한다”라고 말했다.

스피어 피싱 공격의 메커니즘

이메일 작성에 필요한 개인정보 수집은 스피어 피싱 공격에서 필수적인 기법이다. 전체적인 공격 프로세스가 메시지의 신뢰 여부에 달려있기 때문이다. 

공격자가 개인정보를 수집하는 방법은 다양하다. 일반적인 피싱이나 이메일 인프라의 취약점 악용 등의 수단으로 이메일 또는 메시지 시스템을 해킹하는 대표적이다. 하지만 이런 방법은 첫번째 단계일 뿐이다. 보안 운영 플랫폼 제공업체 사이어브로(CYREBRO)의 CTO 오리 아벨은 “표적이 된 기업 내 누군가의 이메일이 해킹되고, 공격자는 한동안 네트워크 안에서 흥미로운 대화를 모니터링하고 추적한다. 그리고 적절한 시기에 과거 대화를 언급하거나 이전에 송금한 구체적인 금액을 언급하는 등 내부자 정보가 포함된 신뢰할 수 있는 맥락을 사용해 표적에게 이메일을 전송한다”라고 설명했다.

커뮤니케이션 시스템을 해킹할 수 없는 경우 공격자는 OSINT(Open Source Intelligence), 소셜 미디어, 기업의 홍보 채널 등을 활용해 표적을 파악한다. 자문 업체 카우프만 로신(Kaufman Rossin)의 사이버 보안 및 준법감시 책임자 조지 레이는 보편적인 공격 벡터에 관해 다음과 같이 설명했다. 

“카우프만 로신에 입사한 것으로 링크드인(LinkedIn) 프로필을 변경한 것이 확인되면 몇 시간 또는 몇 분 만에 지메일이 아니라 카우프만 로신 이메일을 통해 CEO로부터 기프트 카드 구매를 요청하는 이메일을 받게 된다. 물론, 이 이메일은 CEO가 보낸 것이 아니며 신입 직원을 속이려는 공격자가 보낸 것이다. 이런 작업을 하는 봇은 스크립트로 링크드인의 모든 것을 모니터링하며 누군가 속기를 바라면서 정보를 전송한다.”

공격자가 온라인 활동(online presence)으로 개인정보를 얻을 수 있다면 이를 유리하게 활용할 것이다. 뉴스파이어 커닝햄은 보안에 능통했음에도 불구하고 스피어 피싱에 걸린 한 고객의 사례를 제시했다. 커닝햄은 “보험사로 가장해 보험금 청구 사항이 자동 업데이트되었음을 알리는 이메일을 받았고 링크를 클릭한 즉시 피싱 공격이라는 사실을 알아차렸다. 당시 고객은 자동차 사고를 당했고 소셜 미디어에 사고 자동차 사진을 공개했으며, 보험 제공사의 이름을 공개하며 청구에 신속하게 대응했다는 댓글을 남겼다. 이를 통해 공격자는 피해자의 보험사에 관한 정보를 확보했고 스피어 피싱에 활용했다”라고 말했다.

스피어 피싱의 조짐 파악하기

공격자는 새로운 기업 환경에 아직 적응하지 못한 신입 직원에게 집중한다. 공격자가 제대로된 개인정보를 확보한 경우에 스피어 피싱 이메일의 주된 조짐은 이례적이거나 기업 채널을 벗어난 행동을 요청한다. 어쨌든 그것이 피해자 또는 피해자가 재직 중인 기업의 돈을 빼앗는 유일한 방법이다. 신입 직원은 요청이 이상하다는 것을 알아차리기 어려울 수 있다. 가능하면 자신의 직감에 의존해야 한다.

코드형 인프라 플랫폼 스페이스리프트(spacelift.io)의 보안 엔지니어 우즈시에크 서키윅즈 트레피악은 “CEO로 위장한 알 수 없는 전송자가 내가 근무하던 기업에 있는 여러 사람들에게 이메일을 전송한 적 있다. 해당 이메일은 모든 보안 메커니즘을 통과했으며, 실제 이메일 주소를 사용했다. 하지만 이메일 주소 도메인은 회사 메일이 아닌 지메일이었으며 모든 회사 정책을 우회하는 등의 작업을 긴급하게 수행하도록 요청하면서 수신자가 실수를 하도록 압박을 가했다”라고 말했다.

긴급성에도 주의해야 한다. 직장에서는 무언가를 신속하게 조치해 달라는 정당한 요청을 받는 경우가 많다. 하지만 서두르게 만든다는 것은 멈추고 생각할 기회를 주지 않는다는 뜻이기도 하다. 컨설팅 업체 쿠마(Kuma LLC)의 수석 보안 및 준법감시 애널리스트 마시모 마리니는 “개인적으로 사기 기프트 카드 스피어 피싱 캠페인을 목격한 적 있다. 해당 캠페인에서는 감독자의 지시라고 추정되는 것에 따라 표적에게 기프트 카드 구매를 요구했다. 기프트 카드를 구매한 후 답장으로 공격자에게 코드를 제공하는 방식이었다. 한 임원 비서는 자신의 ‘상사’가 비밀 선물을 위해 신속하게 카드를 구매하라고 재촉하는 것을 느꼈다. 하지만 마지막 순간에 상사와 직접 대화를 하게 되었고, 상사가 아무것도 모르는 상황을 감지하고는 사기를 피할 수 있었다”라고 설명했다.

사례로 살펴보는 스피어 피싱

스피어 피싱의 실제 사례를 살펴보자. 먼저 컨설팅 업체 싸이젠(Cyzen)의 운영 상무이사 윌리엄 멘데즈가 공유한 사례로, 회계 기업에서 보편적으로 사용하는 ‘CCH’ 기술을 언급한 스피어 피싱 이메일이다. 
 

멘데즈는 “이 이메일은 바쁜 업무로 인해 수신 이메일에 주의를 기울이지 않는 세무 시즌에 전송됐다. 일반적으로 회계 기업에서 가장 바쁜 시기다. 이메일은 피해자가 특정 행동을 취하지 않으면 액세스가 종료될 것이라고 명시함으로써 공포심을 이용한다. 이 경우에는 링크를 클릭하는 행동이었고, 클릭 시에는 공격자가 사용자 이름과 비밀번호 또는 다른 민감 정보를 수집할 수 있는 사이트로 이동된다”라고 설명했다.

컨설팅 업체 OTSS(OpenText Security Solutions)의 수석 보안 애널리스트 타일러 모피트는 트위터 보안에 대한 경고처럼 보이는 스피어 피싱 이메일을 소개했다. 이 메시지는 사용자가 계정을 보호하기 위해 비밀번호를 변경하도록 만드는 전통적인 방법을 시도한다. 
 

모피트는 “이 메일을 받은 저널리스트는 우크라이나/러시아 사태에 대한 기사와 관련해 표적이 됐다. 해당 메시지는 사용자에게 러시아에서 계정에 액세스했고 링크를 사용해 비밀번호를 재설정해야 한다고 알려준다. 해당 링크는 가짜 비밀번호 재설정 사이트로 연결되고, 기존의 자격 증명을 수집한 후 계정을 훔친다”라고 말했다. 이 경우에는 추정되는 로그인 위치가 신빙성을 더해준다.

모피트는 “이런 메시지를 받으면 연결된 웹 페이지가 실제로 본인이 생각하는 도메인인지 매우 신중하게 판단해야 한다. 해당 사례에서는 트위터가 사용하는 실제 도메인이 아닌 ‘twitter-supported.com’으로 피해자를 보내려고 시도했다”라고 덧붙였다.

스피어 피싱을 예방하는 방법

스피어 피싱 공격을 완전히 차단할 수 있는 기술적인 방법이 있다면 좋을 것이다. 도움이 될 만한 것들이 있다. 보안 교육 제공 업체 커리큘라(Curricula)의 설립자 닉 산토라는 “사이버보안에서는 물리적인 지갑을 보호하는 것과 같은 원칙이 온라인 활동에도 적용된다. 피해자가 되지 않도록 이중/다중 인증(2FA/MFA)을 활성화하고, 각 계정마다 고유하고 강력한 비밀번호를 사용하고, 온라인 자격 증명이 포함된 비밀번호 보호 장치를 사용하는 등의 조치가 중요한 이유를 모두에게 설명해야 한다”라고 말했다.

카우프만 로신의 레이도 기술적인 솔루션이 중요하다고 강조했다. 레이는 여러 가지의 이메일 보안 솔루션을 사용하고 서드파티 솔루션으로 이메일 제공업체의 서비스를 보완해 스팸과 유해한 첨부파일을 필터링할 수 있도록 해야 한다고 조언했다. 하지만 스피어 피싱 같은 소셜 엔지니어링 공격에 대한 최고의 방어책은 인간의 지능이다. 이를 위해서는 항상 대비하도록 교육해야 한다.

레이는 “피싱 시뮬레이션은 큰 차이를 만든다. 단순히 파워포인트로 피싱 이메일을 시뮬레이션해서 보여주는 방법과 실제로 이메일에 무언가를 첨부해 클릭 시 교육 자료로 이동하도록 만드는 방법에는 차이가 있다. 사람들은 링크를 클릭하고 ‘피싱을 당했다’는 메시지를 받는 것을 싫어하기 때문에 공격을 더욱 잘 인지하게 된다. 연간 준법감시 교육보다 훨씬 강력하다. 이 글이 도움이 되기를 바라며, 실제로 피해를 입는 것보다는 비공개 시뮬레이션에서 창피를 당하는 것이 낫다”라고 말했다.

결국 스피어 피싱을 예방하는 가장 좋은 방법은 항상 의심하는 것이다. 사이버보안 애널리스트 에릭 플로렌스는 “피싱 사기는 이메일 계정이 해킹되거나 복제된 신뢰할 수 있는 사람이 전송하는 경우가 많다. 사람에 대한 믿음과 대다수 사람이 선량하다고 믿고 싶은 마음은 피싱 공격에서 이용된다. 최소한 근무 시간에는 이런 바람을 버려야 한다”라고 조언했다.
editor@itworld.co.kr