보안

"결제 취소하려면 전화 주세요" 더 고도화되는 '콜백 피싱' 사기

Michael Hill | CSO 2022.11.23
팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사한 결과를 발표했다. 이들은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 해커는 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다. 연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라를 집중적으로 노렸으며, 점점 전술을 고도화하고 있다. 피해자는 수백만 달러의 비용을 치러야 했고 갈수록 그 범위가 확장되고 있다.
 
ⓒ Getty Images Bank
 

콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 악성코드를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 악성코드를 내려받도록 했다. 

이렇듯 악성코드는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 악성코드를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다. 

 

가짜 구독 청구 영수증 

이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 이메일이다. 수신자의 신용 카드로 구독 서비스가 청구됐다고 알린다. 청구액은 보통 1,000달러 이하의 금액으로, 피해자의 관심을 끌 수 있을만한 액수로 책정된다. 이메일은 수신자의 개인 정보에 맞춰 작성되며, 합법적인 이메일 서비스를 통해 전송된다. 이는 곧 이메일 보호 플랫폼에서 악성 메일을 미리 탐지하기 어렵다는 의미다.
 
ⓒ Palo Alto Networks

유닛42 연구진은 "첨부된 영수증에는 고유 ID와 전화번호가 포함돼 있는데, 데이터손실방지(DLP) 플랫폼이 이를 인식하지 못하도록 여분의 문자나 서식으로 작성되는 경우가 많다"라며 “수신자가 구독을 취소하려 전화를 걸면 해커가 제어하는 콜센터로 라우팅되고 라이브 에이전트에 연결된다”라고 말했다. 해커는 피해자가 구독을 취소하도록 돕는 척하면서 피해자의 컴퓨터를 관리할 수 있도록 원격 지원 도구를 설치한다. 유닛42는 "이 단계에서 피해자는 또 다른 이메일을 받게 되는데, 이 이메일에는 지원 세션을 시작하기 위한 링크가 포함되어 있다"라고 말했다.
 
ⓒ Palo Alto Networks

그런 다음 해커는 원격 관리 도구(Syncro)를 피해자의 컴퓨터에 설치한다. 이 도구를 사용해 피해자의 개인 정보와 연결된 파일 공유를 식별하기 전 지속성을 확보하며, 이를 Rclone 및 WinSCP와 같은 파일 전송 도구를 사용해 자신이 제어하는 서버로 유출한다. 데이터를 훔친 후 해커는 피해자들에게 수수료를 내라고 요구하는 갈취 이메일을 보낸다. 그렇지 않으면 개인 정보를 공개하겠다고 협박한다. 이러한 요구에 피해자가 따르지 않으면 더욱 공격적으로 변한다고 연구진은 지적했다. 연구진은 "유닛42가 조사한 사례에서 해커는 수 기가바이트에서 1테라바이트가 넘는 양의 데이터를 빼냈다"라고 덧붙였다.
 

갈취 대금, 암호화폐로 세탁 

피해자들의 갈취 대금 지급을 위해 비트코인 지갑이 별로도 설치되기도 한다. 지급이 확인되자마자 지갑이 비워진다. 유닛42는 해커가 신속한 지불을 위해 25% 할인을 제공하는 등 조직의 수익을 기준으로 2~78 BTC를 지급받는다고 전했다. 연구진은 "하지만 해커에게 돈을 지급한다고 해서 약속을 이행한다는 보장은 없었다. 때때로 그들은 지불을 확인한 후 응답을 중단하고 협상된 약속을 이행하지 않았다“라고 말했다.

유닛42가 루나 모트 해킹 그룹의 수법을 분석한 결과, 그룹이 공격을 점점 더 교묘하게 발전시키고 있다는 점이 두드러졌다. 예를 들어, 해커가 보내는 이메일의 어휘는 이메일 플랫폼의 보호망을 피하도록 전략적으로 작성된다. 또한 초기에 해킹 수법은 같은 전화번호를 재활용했지만, 요즘 공격은 피해자당 고유한 전화번호를 사용한다. 때로는 피해자에게 전하는 청구서에 여러 개의 '원격 지원' 전화번호를 제공한다. 유닛42 연구팀은 "해커들은 인터넷 음성통화(VoIP)으로 전화를 건 피해자의 전화번호를 모두 수집했다"라고 전했다.

유닛42는 직원 사이버 보안 인식 훈련이 위협을 완화하기 위한 첫 번째 방어선이라고 조언했다. 이 수법의 배후에 있는 해커들이 탐지 가능성을 최소화하기 위해 큰 노력을 기울여 왔기 때문이다. 유닛 42 연구진은 "사람들은 두려움이나 긴박감을 불러일으키는 메시지를 항상 조심해야 한다"라고 말했다.
 
직원들은 의심스러운 영수증에 직접 응답하지 않아야 하며, 공급업체의 공식 웹 사이트에서 제공하는 채널을 통해 요청자에게 직접 연락하도록 해야 한다. 또한 회사 컴퓨터에 소프트웨어를 내려받거나 설치하기 전에 내부 지원 채널을 참조해야 한다. 두 번째 방어선은 환경의 행동 이상을 탐지하도록 설계된 강력한 보안 기술 스택이라고 유닛 42는 덧붙였다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.