공격자는 공격 대상자가 자신들의 덫에 빠져들 온라인 상태가 될 때까지 기다린다. 최근 스팸 발송자들의 표적 대상이 기업 계정으로 바뀌면서 악의적인 활동 시간이 전통적인 정식 근무일과 시간에 맞춰지고 있다.
IBM 엑스포스 카셀(X-Force Kassel)의 연구원들은 2016년 12월부터 2017년 6월까지 스팸 허니팟에 의해 수집된 수십억 개의 스팸 메시지를 분석했는데, 스팸의 83% 이상이 평일에 보내졌으며, 그 가운데 화요일이 가장 활동이 많았고, 수요일과 목요일이 뒤를 따랐다.
스팸 발송자가 일하는 시간은 UTC(세계협정시) 오전 5시(한국 시각 오후 2시)부터 유럽 직원들을 대상으로 시작되며, 대다수의 활동은 UTC 오후 8시(한국 시각 오전 5시) 경에 중지된다. 주말에 근무한 그룹들은 UTC 오후 1시에 정점을 이루며, UTC 오후 11시경에 속도가 느려지는 경향이 있었다.
스팸 발송자는 미국에서 해가 떠오르기 전부터 유럽에서 출발하기 때문에 미국에서도 스팸 피해가 발생하기 시작한다. 일부 스팸은 이 시간대부터 미국 내 표적이 된 피해자를 대상으로 활동한다.
타이밍이 중요
IBM 엑스포스 조사 결과는 올해 초 악의적인 이메일 첨부 메시지 양이 목요일에 평일 평균보다 38% 이상 증가한다는 프루프포인트(Proofpoint)의 휴먼 팩터 보고서(Human Factor Report)와 일치한다. 수요일은 악성 이메일이 두 번째로 높은 날이었으며, 월요일, 화요일, 금요일이 뒤를 이었다. 주말에는 이메일을 통한 위협의 양이 적어지는 경향이 있지만, 전혀 없다는 것을 의미하지는 않는다.
프루프포인트 연구원은 2016년 악성 이메일 메시지 트래픽을 분석한 보고서에서 다음과 같이 전했다. "공격자는 클릭할 확률이 가장 높은 사용자에게 도달할 수 있도록 최선을 다한다. 근무 시간 중 업무 시작 시간에 악의적인 메시지를 보고 클릭할 확률이 높다는 것을 인지하고 있다."
프루프포인트의 분석에 따르면, 악성 이메일은 주중 언제든지 도착할 수 있지만 공격자는 특정 위협 범주에 대해 특정 요일을 선호한다.
키로거(Keyloggers)와 백도어(backdoors)는 월요일에 시작하는 경향이 있으며, 수요일은 뱅킹 트로이목마가 가장 높다. 랜섬웨어(Ransomware) 메시지는 화요일과 목요일 사이에 전송되는 경향이 있다. PoS(Point-of-sale) 트로이목마는 늦은 주중인 목요일과 금요일에 많이 전송되는데, 이는 보안 팀이 주말 전에 새로운 감염을 탐지하고 완화할 시간이 적은 시기를 노린 것이다. 2016년 PoS 관련 악성활동은 거의 80%가 목요일이나 금요일에 발생했다.
프루프포인트는 보고서에서 "몇 가지 예외를 제외하고 주말에 보내지는 악성코드는 랜섬웨어가 유일했다"고 전했다.
IBM 엑스포스가 스팸 메시지의 발신 IP 주소를 조사한 결과, 스팸 발송자의 지역에 따라 각기 다른 공격일자를 선호하는 것으로 나타났다. 러시아 스팸 발송자는 목요일과 토요일에 가장 활발한 활동을 펼친 반면, 북미와 중국의 스팸 발송자들은 일주일 내내 일정하게 활동했다.
IBM 엑스포스 연구원들은 사이버범죄자들이 다른 국가의 스팸 발송자들과 메시지를 교환하기 위해 계약을 맺을 수도 있지만, 대부분의 스팸 발송자들은 동일한 국가의 피해자들을 표적으로 할 때에는 스팸 필터에 적법하게 나타나는 경향이 있다고 지적했다. 유럽, 인도, 남미 등지에서의 스팸 발송자는 낮동안 활동하고 야간에는 활동을 하지않는 전통적인 근무 시간과 동일한 일정을 따르는 경향이 높았으며, 북미 지역 스팸 발송자는 하루종일 끊임없는 활동을 펼쳤다.
보안 팀은 목요일에 특히 조심해야 할 필요가 있다. 악의적인 첨부파일, 악의적인 URL, 랜섬웨어와 PoS 감염은 모두 목요일에 가장 많다. 신원 정보를 훔치는 범죄자들 또한 목요일을 선호한다. 악의적인 첨부파일은 목요일에 확실히 증가했지만, 악의적인 URL(신원 정보를 훔치기 위한 피싱 공격의 가장 보편적인 방법)이 있는 이메일은 화요일과 목요일에 조금 증가했지만 주일 전체에 걸쳐 일정했다.
성공율, 특정시간에 높다
공격자들은 직원의 이메일 습관을 이해하고 적시에 잘 만들어진 이메일을 통해 직원들을 공격하는 것이 성공률이 높다는 것을 알고 있다. 대부분의 공격 이메일은 영업일 시작 후 4시간에서 5시간 후에 보내며, 점심 시간 전후에 최고조에 달한다. 프루프포인트 분석에 따르면, 악의적인 URL에 대한 클릭 가운데 90%가 처음 24시간 이내에 이뤄지며 절반은 1시간 이내에 발생한다. 그 가운데 클릭의 1/4이 단 10분 내에 발생한다.
피해자의 받은 편지함에 도착한 이메일과 실제로 악의적인 링크를 클릭하는 시간과의 간격은 업무 시간 중에 가장 짧다. 미국과 캐나다 내에서는 오전 8시부터 오후 3시까지다. 유럽의 다른 지역에서도 비슷한 패턴을 보였지만 지역별로 몇 가지 뚜렷한 차이가 있었다. 프랑스 사용자들은 악의적인 링크를 클릭하는 시간이 오후 1시경에 최고조에 달했지만, 스위스, 독일 사용자는 근무 초기 시간대에 최고점에 달하는 경향이 있었다. 영국 직원들은 클릭이 분산되는 경향이 있지만 오후 2시 이후에는 클릭률이 급격하게 감소했다.
처음에는 악의적인 메시지가 받은 편지함에 도달하는 것을 차단하는 것이 중요하지만, 이메일 방어의 또 다른 기능으로 이미 전달된 메시지에 대해 플래그를 지정하고 해당 링크가 악의적인 것으로 인식하고 차단할 수 있어야 한다. 받은 편지함에 악의적인 URL이 오래 있을수록 사용자가 클릭할 확률이 높아지기 때문에 이런 링크를 차단하거나 전달된 후에도 이메일을 사전에 제거하면 위협을 줄일 수 있다.
IBM 엑스포스는 최근 스팸 발송자는 드리덱스(Dridex), 트릭봇(TrickBot), 칵봇(Qakbot)과 같은 뱅킹 트로이목마와 랜섬웨어를 사용자에게 무차별로 보내는 것이 아니라 조직들을 표적으로 한다고 전했다. IBM 엑스포스 연구원은 "이 범죄자들은 악의적인 이메일을 열어볼 가능성이 있는 시기에 직원들에게 스팸 메일을 보낸다. 수신된 이메일을 열 가능성을 높여 잠재적인 새로운 피해자 수를 높이기 위함이다"고 말했다.
사이버범죄, 쉬는 날은 없다
프루프프린트의 조사 분석은 이메일 기반의 공격에 중점을 두고 2016년 말까지 진행됐다. 하지만 주중에 활동하는 위협요소는 이메일만이 아니다. 2017년 1분기 이센타이어(eSentire) SOC에서 조사한 모든 공격을 분석한 결과, 일부 공격은 특정 날짜에 더 자주 발생한다는 사실이 밝혀졌다.
이센타이어 보고서는 분산서비스거부(DDoS), 사기, 정보 수집, 침입 시도, 악성코드 등과 같은 가용성 공격을 포함한 위협의 양은 금요일에 가장 높았으며, 목요일이 뒤를 이었다. 가용성 공격은 요일에 별다른 차이가 없었지만, 사기 행위는 주말에 아주 크게 감소했다. 목요일에는 악성코드가 가장 많았으며, 금요일에는 침입 시도가 더 많았다.
주중 시간별 스팸 양. Credit: IBM
네커스(Necurs)와 같은 봇넷은 절대로 멈추지 않으며, 좀비들이 언제든 스팸을 뿌리도록 프로그래밍할 수 있다. 또한 스팸 발송자는 메일러, 트래픽 분산 시스템, 그리고 해킹 컴퓨터를 사용해 악성 활동을 수행한다. 그러나 스팸 발송자는 스팸 필터를 우회해 피해자 수신함에 전달하기 위해 지속적으로 정제해야 하기 때문에 자동화된 도구에만 의존하지 않는다. 예를 들어, 네커스 봇넷을 사용하는 스팸 발송자는 최근에 위장된 도큐사인(DocuSign) 파일을 제공하기 위해 익스플로잇이 내장된 오피스 문서를 전송하는 방법으로 전환했다.
IBM 엑스포스 연구원은 "공격 방법을 배우고 활동을 추적함으로써 방어자는 위험을 효과적으로 관리하고 스팸으로부터 조직을 안전하게 지킬 수 있다"고 전했다.
방어할 때에는 쉬는 시간이 없다. 이메일 메시지가 도착할 때 사용자가 받은 편지함에 도달하기 전에 조사하는 보안 도구는 성능 저하없이 트래픽 최대치를 처리할 수 있어야 한다. 그러나 수주일이 지나면 악성코드과 신원 절도 측면에서 악화되는 경향이 있다는 걸 방어자들이 알고 있다면 추가 감염을 탐지하기 위해 추가 모니터링 및 검사를 실시할 수 있다. 또한 경보를 조사하기 위해 후반에 더 많은 시간을 할당함으로써 보안팀은 공격을 좀더 빨리 탐지하고 잠재적 피해를 줄일 수 있다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.