2020.11.27

8가지 유형의 피싱 공격과 이를 인식하는 방법

Fahmida Y. Rashid | CSO
모든 데이터 유출과 사이버 공격은 비밀번호 자격 증명을 훔치거나 사기 거래를 개시하거나 누군가 악성코드를 다운로드하도록 속이기 위한 일종의 피싱(Phishing) 시도가 관련되어 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 유출과 관련된 가장 많은 위협 활동으로 나타났다.
 
ⓒ Getty Images Bank

기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하는 방법을 모르고 있다. 그리고 사람은 사기를 잘 인식하지 못하는 경향이 있다. 프루프포인트(Proofpoint)의 2020년 피싱 실태 보고서에 따르면, 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다. 이는 공격자의 공격 활동이 정교해지고 있으며, 이에 대응하는 보안 인식 교육 또한 정교해져야 한다는 사실을 반증한다. 

그리고 모든 피싱 사기가 같은 방식으로 진행되지 않는다. 포괄적으로 무작위 이메일 전송에서부터 특정 유형의 사람을 표적화하기 위해 정교하게 만들어진 공격까지 굉장히 다양하기 때문에 사용자에게 의심스러운 메시지가 어떤 것인지 교육하기가 점차 어려워지고 있다. 다양한 유형의 피싱 공격과 이를 인식하는 방법에 대해 알아보자.


피싱, 대량 전송 이메일

가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(Header, 발신인 필드)에 메시지가 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)에 의존한다.

하지만 피싱 공격이 항상 UPS 배송 알림 이메일, 비밀번호 만료에 관련한 페이팔의 경고 메시지, 저장 공간 할당량에 관한 오피스 365 이메일처럼 보이는 것은 아니다. 어떤 공격은 기관과 개인을 구체적으로 표적으로 삼으며, 이메일 외의 방법을 동원하는 경우도 있다.


스피어 피싱, 특정 표적 노리기

피싱 공격은 사기꾼들이 위장 또는 사기 이메일을 미끼로 사용해 무작위 피해자를 낚는다는 의미에서 유래한 이름이다. 스피어 피싱(Spear phishing) 공격은 공격자들이 가치가 높은 피해자와 기업을 구체적으로 특정해 피싱 공격을 감행하는 것이다. 

공격자는 1,000명의 일반 소비자의 뱅킹 자격 증명을 얻는 것보다 일련의 기업을 표적으로 삼는 것이 수익성이 좋다고 생각할 수 있다. 국가 후원의 공격자는 다른 정부기관에서 근무하는 직원 또는 정부 관계자를 표적으로 삼아 국가 기밀을 훔칠 수 있다.

스피어 피싱 공격은 공격자가 수신인이 참석했던 컨퍼런스를 언급하거나 파일명이 수신인이 관심이 있는 주제를 참조하는 악성 첨부파일을 보내는 등 수신인 맞춤 정보를 작성하는 데 많은 시간을 보내기 때문에 성공률이 높다.

2017년 피싱 캠페인에서 Group 74(일명 Sofact, APT28, Fancy Bear)는 사이버보안 전문가를 상대로 미국 육군사관학교의 ACI(Army Cyber Institute), NATO CCMA(Cooperative Cyber Military Academy), NATO CCDCE(Cooperative Cyber Defence Centre of Excellence)가 주최하는 이벤트인 CyCon(Cyber Conflict U.S.) 컨퍼런스와 관련한 것처럼 보이는 이메일을 보냈다. CyCon은 실제 컨퍼런스이지만 첨부 파일은 세드업로더(Seduploader)라는 정찰 악성코드를 다운로드하고 실행하는 악성 VBA(Visual Basic for Applications) 매크로가 포함된 문서였다.


웨일링, 가치가 큰 피해자를 노린다

피해자마다 페이데이(Payday)가 다르다. 기업 임원을 표적으로 하는 피싱 공격은 피해자의 가치가 높은 것으로 여겨지며, 훔친 정보가 일반적인 직원이 제공할 수 있는 것보다 더 중요하기 때문에 웨일링(Whaling)이라 부른다. CEO의 계정 자격 증명은 신입 직원보다 더 많은 접근 권한을 갖고 있다. 웨일링 공격의 목표는 데이터, 직원 정보, 현금을 훔치는 것이다.

또한 웨일링은 공격자가 의도한 피해자가 누구와 소통하며 어떤 논의를 하는지 파악해야 하기 때문에 추가적인 조사가 필요하다. 그 예로, 고객 불만, 법적 소환장, 임원단의 문제 등에 대한 언급이 있다. 공격자는 일반적으로 소셜 엔지니어링으로 시작해 피해자와 회사에 대한 정보를 수집한 후에 웨일링 공격에서 사용되는 피싱 메시지를 작성한다.


BEC, CEO로 위장하기

일반적인 대규모 피싱 캠페인 외에 범죄자는 BEC(Business Email Compromise) 사기와 CEO 이메일 사기를 통해 재무 및 회계 부서의 주요 인물을 표적으로 삼는다. 이 범죄자는 재무 관계자와 CEO를 사칭해 피해자가 승인되지 않은 계좌로 송금하도록 속인다.

일반적으로 공격자는 기존의 감염을 이용하거나 스피어 피싱 공격을 통해 임원 또는 재무 관계자의 이메일 계정을 해킹한다. 공격자는 임원의 이메일 활동을 일정 기간 동안 읽고 모니터링하면서 회사 내의 프로세스와 절차에 관해 파악한다. 

실제 공격은 해킹된 임원의 계정에서 발신된 것처럼 보이는 가짜 이메일이 정상적인 수신인에게 전달되는 형태를 띈다. 이 이메일은 중요하고 긴급해 보이며 수신인에게 외부 또는 잘 모르는 은행 계좌로 전신 송금을 하도록 요구한다. 이 돈은 궁극적으로 공격자의 은행 계좌로 들어간다.

안티피싱 워킹 그룹(Anti-Phishing Working Group)의 2020년 2분기 피싱 활동 트렌드 보고서에 따르면, BEC 공격의 평균 송금액이 증가하고 있다. 2020년 2분기의 평균 송금 시도액은 8만 183달러였다.


클론 피싱, 사본이 그만큼 효과적일 때

클론 피싱(Clone Phishing)은 공격자가 정상적인 메시지와 유사한 것을 만들어 피해자가 진짜라고 생각하도록 속이는 것이다. 이메일이 정상적인 송신인과 유사한 주소로부터 전송되며, 메시지 본문은 이전의 메시지와 같아 보인다. 

유일한 차이점은 첨부 파일이나 메시지의 링크가 악성적인 것으로 바뀌었다는 점이다. 공격자는 원본 또는 업데이트된 버전을 다시 송부해야 한다고 이야기하면서 피해자가 왜 ‘같은’ 메시지를 다시 받게 됐는지를 설명한다.

이 공격은 앞서 본 정상적인 메시지에 기초하기 때문에 사용자가 공격에 당할 가능성이 더 높다. 이미 한 사용자를 감염시킨 공격자는 이 기법을 복제된 메시지를 수신한 다른 사람에게 사용할 수 있다. 또는 공격자가 피해자를 속이기 위해 위장한 도메인으로 복제된 웹 사이트를 만들 수 있다.


비싱, 전화를 통한 피싱

비싱(Vishing)은 ‘보이스 피싱(voice phishing)’을 의미하며 전화 사용이 수반된다. 일반적으로 피해자는 전화로 금융기관을 사칭한 음성 메시지를 받게 된다. 예를 들어, 메시지에서 수신인에게 보안 또는 기타 공식적인 목적을 위해 어떤 번호로 전화를 걸어 계정 정보나 PIN을 입력하라고 요청할 수 있다. 하지만 전화번호는 VoIP 서비스를 통해 공격자에게 직접 연결된다.

2019년의 정교한 비싱 사기에서 범죄자들은 피해자에게 애플 기술 지원 부서인 척 전화를 걸어 사용자에게 ‘보안 문제’를 해결하기 위해 전화할 번호를 제공했다. 예전의 윈도우 기술 지원 부서 사기와 마찬가지로 이 사기는 사용자의 기기가 해킹될 수 있다는 두려움을 이용했다.


스미싱, 문자 메시지를 통한 피싱

‘피싱’과 대부분의 전화 문자 메시지 서비스가 사용하는 프로토콜인 ‘SMS’의 혼성어인 스미싱(Smishing)은 오해의 소지가 있는 문자 메시지로 피해자를 속이는 사이버 공격이다. 목표는 메시지를 신뢰할 수 있는 사람이나 기관이 보냈다고 믿게 하고 공격자에게 악용할 수 있는 정보(은행 계좌 로그인 자격 증명 등)나 모바일 기기 접속을 제공하는 조치를 취하도록 설득하는 것이다.

사람들이 이메일보다는 문자 메시지를 읽고 반응할 가능성이 더 높기 때문에 스미싱이 증가하고 있다. 사람들은 문자 메시지의 98%를 읽으며 45%에 답신하지만, 이메일은 각각 20%와 6%에 불과하다. 그리고 사용자들은 컴퓨터보다 스마트폰에서 의심스러운 메시지에 덜 주의하는 경우가 많으며, 개인용 기기에는 일반적으로 기업용 PC에서 제공되는 보안 장치가 없다.


스노우슈잉, 독성 메시지 퍼뜨리기

스노우슈잉(Snowshoeing) 또는 ‘뺑소니’ 스팸은 공격자가 여러 도메인과 IP 주소를 통해 메시지를 발송한다. 각 IP 주소는 소량의 메시지를 발송하기 때문에 평판 또는 볼륨 기반 스팸 필터링 기술이 이를 악성 메시지를 인식하지 않아 차단할 수 없다. 또한 일부 메시지는 필터가 학습해 차단하기 전에 이메일 받은 편지함에 도착한다.

헤일스톰(Hailstorm) 캠페인은 메시지가 매우 짧은 시간 안에 발송된다는 점을 제외하고는 스노우슈잉과 같다. 일부 헤일스톰 공격은 스팸 방지 도구가 따라잡고 필터를 업데이트해 향후 메시지를 차단하면 끝나지만 공격자는 이미 다음 캠페인으로 이동한 상황이다.


다양한 유형의 피싱을 인식하는 방법 

사용자는 피싱 공격에 빠졌을 때의 상황을 잘 인식하지 못한다. 합리적이고 요령 있는 사용자는 이메일의 링크를 클릭하면 악성 다운로드나 돈을 요구하는 후속 사기 메시지로 이어질 수 있다는 위험을 평가할 수 있다. 하지만 일반적인 사용자는 아무 일도 없거나 스팸 광고 또는 팝업 정도로 끝날 것이라고 생각할 수 있다. 가장 요령있는 사용자만이 자격 증명 도난과 계정 해킹의 잠재적인 피해를 추정할 수 있다. 

이런 위험 평가의 차이로 인해 사용자가 악성 메시지 인식의 중요성을 이해하기가 더 어렵다. 기관과 기업은 기존의 내부 인식 교육 수준을 감안해 직원들에게 다양한 유형의 공격을 인식하기 위한 도구 제공을 고려해야 한다. 또한 스팸 필터 등의 전통적인 이메일 보안 도구 가운데 일부는 일부 피싱 유형을 방어할 수 없기 때문에 보안 방어책을 강화해야 한다. editor@itworld.co.kr


2020.11.27

8가지 유형의 피싱 공격과 이를 인식하는 방법

Fahmida Y. Rashid | CSO
모든 데이터 유출과 사이버 공격은 비밀번호 자격 증명을 훔치거나 사기 거래를 개시하거나 누군가 악성코드를 다운로드하도록 속이기 위한 일종의 피싱(Phishing) 시도가 관련되어 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 유출과 관련된 가장 많은 위협 활동으로 나타났다.
 
ⓒ Getty Images Bank

기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하는 방법을 모르고 있다. 그리고 사람은 사기를 잘 인식하지 못하는 경향이 있다. 프루프포인트(Proofpoint)의 2020년 피싱 실태 보고서에 따르면, 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다. 이는 공격자의 공격 활동이 정교해지고 있으며, 이에 대응하는 보안 인식 교육 또한 정교해져야 한다는 사실을 반증한다. 

그리고 모든 피싱 사기가 같은 방식으로 진행되지 않는다. 포괄적으로 무작위 이메일 전송에서부터 특정 유형의 사람을 표적화하기 위해 정교하게 만들어진 공격까지 굉장히 다양하기 때문에 사용자에게 의심스러운 메시지가 어떤 것인지 교육하기가 점차 어려워지고 있다. 다양한 유형의 피싱 공격과 이를 인식하는 방법에 대해 알아보자.


피싱, 대량 전송 이메일

가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(Header, 발신인 필드)에 메시지가 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)에 의존한다.

하지만 피싱 공격이 항상 UPS 배송 알림 이메일, 비밀번호 만료에 관련한 페이팔의 경고 메시지, 저장 공간 할당량에 관한 오피스 365 이메일처럼 보이는 것은 아니다. 어떤 공격은 기관과 개인을 구체적으로 표적으로 삼으며, 이메일 외의 방법을 동원하는 경우도 있다.


스피어 피싱, 특정 표적 노리기

피싱 공격은 사기꾼들이 위장 또는 사기 이메일을 미끼로 사용해 무작위 피해자를 낚는다는 의미에서 유래한 이름이다. 스피어 피싱(Spear phishing) 공격은 공격자들이 가치가 높은 피해자와 기업을 구체적으로 특정해 피싱 공격을 감행하는 것이다. 

공격자는 1,000명의 일반 소비자의 뱅킹 자격 증명을 얻는 것보다 일련의 기업을 표적으로 삼는 것이 수익성이 좋다고 생각할 수 있다. 국가 후원의 공격자는 다른 정부기관에서 근무하는 직원 또는 정부 관계자를 표적으로 삼아 국가 기밀을 훔칠 수 있다.

스피어 피싱 공격은 공격자가 수신인이 참석했던 컨퍼런스를 언급하거나 파일명이 수신인이 관심이 있는 주제를 참조하는 악성 첨부파일을 보내는 등 수신인 맞춤 정보를 작성하는 데 많은 시간을 보내기 때문에 성공률이 높다.

2017년 피싱 캠페인에서 Group 74(일명 Sofact, APT28, Fancy Bear)는 사이버보안 전문가를 상대로 미국 육군사관학교의 ACI(Army Cyber Institute), NATO CCMA(Cooperative Cyber Military Academy), NATO CCDCE(Cooperative Cyber Defence Centre of Excellence)가 주최하는 이벤트인 CyCon(Cyber Conflict U.S.) 컨퍼런스와 관련한 것처럼 보이는 이메일을 보냈다. CyCon은 실제 컨퍼런스이지만 첨부 파일은 세드업로더(Seduploader)라는 정찰 악성코드를 다운로드하고 실행하는 악성 VBA(Visual Basic for Applications) 매크로가 포함된 문서였다.


웨일링, 가치가 큰 피해자를 노린다

피해자마다 페이데이(Payday)가 다르다. 기업 임원을 표적으로 하는 피싱 공격은 피해자의 가치가 높은 것으로 여겨지며, 훔친 정보가 일반적인 직원이 제공할 수 있는 것보다 더 중요하기 때문에 웨일링(Whaling)이라 부른다. CEO의 계정 자격 증명은 신입 직원보다 더 많은 접근 권한을 갖고 있다. 웨일링 공격의 목표는 데이터, 직원 정보, 현금을 훔치는 것이다.

또한 웨일링은 공격자가 의도한 피해자가 누구와 소통하며 어떤 논의를 하는지 파악해야 하기 때문에 추가적인 조사가 필요하다. 그 예로, 고객 불만, 법적 소환장, 임원단의 문제 등에 대한 언급이 있다. 공격자는 일반적으로 소셜 엔지니어링으로 시작해 피해자와 회사에 대한 정보를 수집한 후에 웨일링 공격에서 사용되는 피싱 메시지를 작성한다.


BEC, CEO로 위장하기

일반적인 대규모 피싱 캠페인 외에 범죄자는 BEC(Business Email Compromise) 사기와 CEO 이메일 사기를 통해 재무 및 회계 부서의 주요 인물을 표적으로 삼는다. 이 범죄자는 재무 관계자와 CEO를 사칭해 피해자가 승인되지 않은 계좌로 송금하도록 속인다.

일반적으로 공격자는 기존의 감염을 이용하거나 스피어 피싱 공격을 통해 임원 또는 재무 관계자의 이메일 계정을 해킹한다. 공격자는 임원의 이메일 활동을 일정 기간 동안 읽고 모니터링하면서 회사 내의 프로세스와 절차에 관해 파악한다. 

실제 공격은 해킹된 임원의 계정에서 발신된 것처럼 보이는 가짜 이메일이 정상적인 수신인에게 전달되는 형태를 띈다. 이 이메일은 중요하고 긴급해 보이며 수신인에게 외부 또는 잘 모르는 은행 계좌로 전신 송금을 하도록 요구한다. 이 돈은 궁극적으로 공격자의 은행 계좌로 들어간다.

안티피싱 워킹 그룹(Anti-Phishing Working Group)의 2020년 2분기 피싱 활동 트렌드 보고서에 따르면, BEC 공격의 평균 송금액이 증가하고 있다. 2020년 2분기의 평균 송금 시도액은 8만 183달러였다.


클론 피싱, 사본이 그만큼 효과적일 때

클론 피싱(Clone Phishing)은 공격자가 정상적인 메시지와 유사한 것을 만들어 피해자가 진짜라고 생각하도록 속이는 것이다. 이메일이 정상적인 송신인과 유사한 주소로부터 전송되며, 메시지 본문은 이전의 메시지와 같아 보인다. 

유일한 차이점은 첨부 파일이나 메시지의 링크가 악성적인 것으로 바뀌었다는 점이다. 공격자는 원본 또는 업데이트된 버전을 다시 송부해야 한다고 이야기하면서 피해자가 왜 ‘같은’ 메시지를 다시 받게 됐는지를 설명한다.

이 공격은 앞서 본 정상적인 메시지에 기초하기 때문에 사용자가 공격에 당할 가능성이 더 높다. 이미 한 사용자를 감염시킨 공격자는 이 기법을 복제된 메시지를 수신한 다른 사람에게 사용할 수 있다. 또는 공격자가 피해자를 속이기 위해 위장한 도메인으로 복제된 웹 사이트를 만들 수 있다.


비싱, 전화를 통한 피싱

비싱(Vishing)은 ‘보이스 피싱(voice phishing)’을 의미하며 전화 사용이 수반된다. 일반적으로 피해자는 전화로 금융기관을 사칭한 음성 메시지를 받게 된다. 예를 들어, 메시지에서 수신인에게 보안 또는 기타 공식적인 목적을 위해 어떤 번호로 전화를 걸어 계정 정보나 PIN을 입력하라고 요청할 수 있다. 하지만 전화번호는 VoIP 서비스를 통해 공격자에게 직접 연결된다.

2019년의 정교한 비싱 사기에서 범죄자들은 피해자에게 애플 기술 지원 부서인 척 전화를 걸어 사용자에게 ‘보안 문제’를 해결하기 위해 전화할 번호를 제공했다. 예전의 윈도우 기술 지원 부서 사기와 마찬가지로 이 사기는 사용자의 기기가 해킹될 수 있다는 두려움을 이용했다.


스미싱, 문자 메시지를 통한 피싱

‘피싱’과 대부분의 전화 문자 메시지 서비스가 사용하는 프로토콜인 ‘SMS’의 혼성어인 스미싱(Smishing)은 오해의 소지가 있는 문자 메시지로 피해자를 속이는 사이버 공격이다. 목표는 메시지를 신뢰할 수 있는 사람이나 기관이 보냈다고 믿게 하고 공격자에게 악용할 수 있는 정보(은행 계좌 로그인 자격 증명 등)나 모바일 기기 접속을 제공하는 조치를 취하도록 설득하는 것이다.

사람들이 이메일보다는 문자 메시지를 읽고 반응할 가능성이 더 높기 때문에 스미싱이 증가하고 있다. 사람들은 문자 메시지의 98%를 읽으며 45%에 답신하지만, 이메일은 각각 20%와 6%에 불과하다. 그리고 사용자들은 컴퓨터보다 스마트폰에서 의심스러운 메시지에 덜 주의하는 경우가 많으며, 개인용 기기에는 일반적으로 기업용 PC에서 제공되는 보안 장치가 없다.


스노우슈잉, 독성 메시지 퍼뜨리기

스노우슈잉(Snowshoeing) 또는 ‘뺑소니’ 스팸은 공격자가 여러 도메인과 IP 주소를 통해 메시지를 발송한다. 각 IP 주소는 소량의 메시지를 발송하기 때문에 평판 또는 볼륨 기반 스팸 필터링 기술이 이를 악성 메시지를 인식하지 않아 차단할 수 없다. 또한 일부 메시지는 필터가 학습해 차단하기 전에 이메일 받은 편지함에 도착한다.

헤일스톰(Hailstorm) 캠페인은 메시지가 매우 짧은 시간 안에 발송된다는 점을 제외하고는 스노우슈잉과 같다. 일부 헤일스톰 공격은 스팸 방지 도구가 따라잡고 필터를 업데이트해 향후 메시지를 차단하면 끝나지만 공격자는 이미 다음 캠페인으로 이동한 상황이다.


다양한 유형의 피싱을 인식하는 방법 

사용자는 피싱 공격에 빠졌을 때의 상황을 잘 인식하지 못한다. 합리적이고 요령 있는 사용자는 이메일의 링크를 클릭하면 악성 다운로드나 돈을 요구하는 후속 사기 메시지로 이어질 수 있다는 위험을 평가할 수 있다. 하지만 일반적인 사용자는 아무 일도 없거나 스팸 광고 또는 팝업 정도로 끝날 것이라고 생각할 수 있다. 가장 요령있는 사용자만이 자격 증명 도난과 계정 해킹의 잠재적인 피해를 추정할 수 있다. 

이런 위험 평가의 차이로 인해 사용자가 악성 메시지 인식의 중요성을 이해하기가 더 어렵다. 기관과 기업은 기존의 내부 인식 교육 수준을 감안해 직원들에게 다양한 유형의 공격을 인식하기 위한 도구 제공을 고려해야 한다. 또한 스팸 필터 등의 전통적인 이메일 보안 도구 가운데 일부는 일부 피싱 유형을 방어할 수 없기 때문에 보안 방어책을 강화해야 한다. editor@itworld.co.kr


X