다양한 사이버 공격 유형 그리고 그에 대한 대처 방법은 이미 널리 알려져 있습니다. 그렇다면 실제 사이버 공격에 대처하는 것은 비교적 쉬울까요? 아쉽게도 그렇지 않습니다. 현재는 IT 지식이 없는 사람들도 범죄자가 되어 쉽게 피싱을 시도할 수 있는 피싱 키트가 등장했고, 유형별 피해 사례 그리고 대처 방안은 이제 기본 중의 기본이 되는 상식에 불과하게 되었습니다. 반면, 피싱은 고도화를 거듭하면서 갈수록 성행하고 있습니다. 광범위한 표적에게 전달되는 일반적인 피싱부터 시작해 특정 대상을 노리는 스피어 피싱까지. 소셜 엔지니어링 기법으로 나날이 치밀해지는 피싱 공격법과 대응 수칙을 점검해야 하는 시기가 바로 지금입니다.
1. 피싱의 이해
피싱(Phishing)은 ‘개인정보(Private data)를 낚는다(Fishing)’라는 의미의 합성어로, 소셜 엔지니어링 기법을 사용해 이메일 수신인을 속여 해당 메시지가 자신에게 필요하거나, 원하는 메시지라고 믿게끔 한 뒤에 링크를 클릭하거나 다운로드하도록 유도합니다. 범죄 조직은 위장된 이메일 뿐만 아니라 전화, 문자, 메신저, 가짜 사이트 등의 수단을 이용하기도 하며, 이러한 수단을 통해 상대방의 개인정보나 금융정보를 빼내어 금전적인 이득을 챙기는 사이버 범죄입니다.
피싱 이메일이 표적을 정하는 방법은 다양합니다. 표적을 처음부터 정하지 않는 경우도 있고 기업에서 특정 역할을 맡은 사람을 대상으로 한 소프트 타깃(soft target) 피싱, 특정한 유명인을 표적으로 삼는 피싱 등이 있습니다.
역사상 가장 큰 피싱 공격은 2016년에 발생했습니다. 당시 해커들은 미국 대선 후보 힐러리 클린턴의 선대본부장이었던 존 포데스타를 속였고 포데스타는 자신의 지메일 암호를 스스로 범죄 조직에게 넘겼습니다.
프루프포인트(Proofpoint)의 2022년 피싱 실태 보고서(2022 State of the Phish)에 따르면, 2021년에는 피싱 공격에 대한 보고가 전반적으로 증가했는데, 무차별적인 “대량”피싱 공격은 2020년 대비 12%증가했고, 영국 설문조사 응답자 91%는 응답자가 속한 조직이 2021년에 대규모 피싱 공격을 당했다고 응답했습니다.
모든 피싱 공격이 성공하는 것은 아니지만, 피싱 공격의 성공률은 2020년보다 2021년에 더 높아졌습니다. 설문 응답자의 80% 이상이 2021년에 자신의 조직이 이메일 기반 피싱 공격을 받았고 이에 피해를 입었다고 답했으며 이는 2020년에 비해 46% 증가한 수치입니다. 또한 68%의 조직이 랜섬웨어에 감염되었고 그중,가 한 번 이상 돈을 지불했습니다.
(1) 공격 목적에 따른 분류
피싱 공격을 분류하는 방법은 꽤 다양합니다. 대표적으로는 피싱을 시도하는 목적 즉 무엇을 위해 피싱을 계획하고 시도하느냐에 따라 분류하는 것입니다. 일반적으로 피싱은 피해자들이 다음과 같은 행동을 하도록 유도합니다.
(a) 민감 정보 공유 : 공격자가 시스템이나 계정을 침해하는 데 사용할 수 있는 사용자 이름과 비밀번호와 같은 중요하고 민감한 데이터를 노출하는 데 몰표를 둡니다. 은행해서 발송한 이메일로 가장하는 수법이 가장 대표적입니다. 이러한 이메일을 수백만 명에게 발송하면 일부는 해당 은행의 고객일 가능성이 높습니다. 피해자가 이메일 링크를 클릭하면 은행 사이트와 똑같이 보이도록 만든 악성 사이트로 이동하고 여기서 자신의 이름과 비밀번호를 입력하면 피싱 공격이 성공한 것입니다. 공격자는 피해자가 입력한 이름과 비밀번호를 이용해 피해자의 계정에 액세스 할 수 있습니다.
(b) 맬웨어 다운로드 : 피해자가 스스로 맬웨어를 다운로드해 자신의 컴퓨터와 같은 전자기기를 감염시키도록 만드는 것이 대부분의 스팸의 목표입니다. 구직자의 이력서를 가장하여 파일 내에 악성 코드를 심어두고 HR 직원에게 보내는 수법이 여기에 해당합니다. 가장 흔한 악성 코드 유형은 랜섬웨어입니다. 2017년에는 피싱 메일의 93%에 램섬웨어 첨부파일이 포함됐다는 연구 결과가 있기도 했습니다.
(2) 표적 및 메시지 전달 유형에 따른 분류
(a) 이메일 피싱 : 대규모 피싱 공격에서는 잠재적 피해자에게 이메일을 발송해 대중적인 웹사이트를 가짜로 만들어 로그인하도록 유도합니다. 이메일 보안 플랫폼 아이언스케일스(Ironscales)가 5만 개 이상의 가짜 로그인 페이지를 조사한 결과 해커들이 사용하는 인기 있는 웹사이트는 다음과 같습니다.
페이팔 : 22%
마이크로소프트 : 19%
페이스북 : 15%
이베이 : 6%
아마존 : 3%
(b) 스피어 피싱(Spear Phishing) : 구체적인 한 개인을 표적으로 삼은 메시지를 제작해 공격하는 유형입니다.
(c) 웨일링(Whaling) : CEO나 이사회 임원과 같은 유력 인사를 노린 스피어 피싱의 한 형태입니다.년, 한 범죄 집단이 기업 CEO들을 대상으로 FBI 소환장이 첨부돼 있다고 적힌 이메일을 발송했는데, 실제로는 경영자의 컴퓨터에 키로거(keylogger)를 설치하는 메일이었습니다. 약 2,000명의 피해자가 발생했고, 공격 성공률은 10% 였습니다.
(d) BEC(Business Email Compromise) : 공격자가 회사 CEO 혹은 고위 경영진이라고 주장하여 송금을 유도하는 표적화된 피싱 공격 유형입니다.
(e) 비싱(Vishing) 및 스미싱(Smishing) : 각각 전화 통화와 문자 메시지를 통한 피싱입니다.
2. 피싱 공격 차단 수칙 9가지
피싱은 처음 등장한 순간부터 지금까지 여전히 큰 골칫거리로 남아 있습니다. 개인 혹은 단체의 민감한 정보를 탈취하거나 기업 네트워크에 백도어를 설치할 수 있는 맬웨어 다운로드까지. 다양한 공격을 시도하기 위한 첫 단계로, 대응이 까다롭고 어려워 큰 부담이 되는 것이 사실입니다.
피싱 공격을 차단하거나 최소한 그 영향을 줄이기 위해 전문가 그룹이 권장한 9가지 수칙을 살펴보겠습니다.
(1) 감정적 트리거에 반응하지 말라
사이버보안 업체 사이베타(Cybeta)의 아몬드 카글러는 “성공적인 피싱 이메일은 보통 사용자가 무언가를 놓칠 수 있다는 두려움으로 성급히 행동하게 만드는 심리적 트리거를 미끼로 사용한다”라고 설명했습니다. 경품 미수령 알림, HR 부서의 중요 메일 등이 대표적인 예시입니다. 혹은 최근에 발생한 사건을 악용하여 행동을 유도하는 미끼도 있습니다. 이어 “피싱임을 인식하고 피해를 입지 않는 방법은 이메일로 하여금 ‘서둘러 행동해야 한다는 부담을 느끼고 있는가?’라고 스스로 자문하는 것이라고 덧붙였습니다. 제품 디자인 및 개발 업체 인텔리전트 프로덕트 솔루션(Intelligent Product Solutions)의 데이브 커바노는 “무언가를 하도록 종용하거나 압박감을 느끼게 하는 이메일이라면 대체로 피싱이다.”라고 조언했습니다.
(2) 비상 요청을 위한 정책 및 절차를 정립하라
피싱 공격자는 대부분 회사 내의 시급한 사태를 가장하여 피해자의 감정을 흔들고 자금을 이체하거나 자격 증명을 넘기도록 유도합니다. 클라우드 호스팅 업체 클라우드웨이(Cludways)의 폴 하버스톡은 이에 대처하려면 회사에서 명확한 비상 상황 절차를 마련해야 한다고 강조했습니다. 또한 “표준 절차를 거치지 않고 긴급하게 요청하는 은행 송금과 같은 것은 어떠한 경우에도 하지 않아야 함을 잘 알려야 한다.”라고 덧붙였습니다.
회사 내부 프로세스는 피싱 시도가 큰 문제를 일으킬 수 없도록 선제적 조치를 취하는 것에 중점을 둬야 합니다. 즉 민감 데이터 공유에 대한 기본적인 정책을 마련하는 것이 기업에서 취할 수 있는 중요한 예방 단계입니다. 고도로 민감한 데이터가 요청될 때를 위해 계층적 분석 프로세스를 만들면 의심스러운 요청을 심층적으로 검토함으로써 보안을 한층 더 강화할 수 있습니다.
(3) 피싱 이메일 판별 교육과 테스트를 진행하라
대부분의 직원들이 피싱 이메일을 판별할 수 있다고 생각하지만 때때로 그렇지 않습니다. 현재는 해커들의 언어 구사력도 더 좋아졌고 일부는 자연어 AI봇도 활용합니다. 따라서 직원들에게 피싱과 관련한 최신 동향을 알리기 위해서는 지속적인 교육과 테스트가 필요합니다. 사이버보안 업체 헬프시스템즈(HelpSystems)의 미엥 림은 “외부 테스트 업체나 테스트 제품을 활용해 맞춤화된 공격 테스트를 하라. 다양한 툴을 사용해 정교한 공격에 대한 방어 능력을 제대로 판단할 수 있도록 하라”라고 말했습니다.
(4) 피싱 이메일을 보고하도록 독려하라
사이버보안 메시 네트워크를 만드는 나오리스 프로토콜(Naoris Protocol)의 데이비드 조아오 비에리라 카발호는 의심스러운 피싱 사기에 대한 내부 보고 시스템을 제안했습니다. 가발호는 “직원들이 비즈니스 보호에 적극적으로 나서게 되고 사이버 위험 대응 예산이 상당 부분 줄었다.”라고 말했습니다.
동기 부여 측면에서 채찍보다는 당근이 훨씬 효과적입니다. 매니지드 보안 서비스 업체 뉴스파이어(Nuspire)의 조시 스미스는 “피싱에 넘어간 사용자를 배척하거나 징계하면 절대 안 된다. 이들은 인간의 감정이 현혹되도록 만들어진 악성 이메일에 당한 피해자”라고 강조했습니다.
(5) 회사의 자격증명이 다크 웹에서 거래되는지 모니터링하라
사이버 위협 모니터링 업체 서치라이트 시큐리티(Searchlight Security)의 가레스 오웬슨은 “대부분 피싱의 출발점은 다크 웹 마켓플레이스 또는 포럼을 통해 유출되거나 판매되는 회사의 자격 증명이다. 따라서 다크 웹 모니터링은 피싱 도달을 차단하는 전략에서 핵심 요소가 되어야 한다. 지속적인 모니터링으로 범죄 집단이 정찰 단계를 수행하는 동안 다크 웹에서 회사가 언급되거나 피싱 캠페인의 표적이 될 상황을 파악할 수 있다.”라고 설명했습니다.
(6) 공격자가 노리는 정보 유형을 파악하라
우리 주변에 잠재적으로 녹아 있는 피싱의 위험성은 모두가 인식해야 하지만, 특히 신규 직원은 주의를 게을리해선 안됩니다. 쉘만의 안사리는 “피싱 공격자는 링크드인과 같은 SNS를 활용해 표적을 지정한다. 개인 이메일 주소 또는 SMS 메시지로 올 수 있는 잠재적인 공격에 대해 알려한다.”라고 말했습니다.
지속적인 경계가 필요한 또 다른 그룹은 경영진입니다. 최근 거물급 인사를 노리는 웨일링 공격이 증가하고 있는 가운데, 경영진은 데이터 개인정보 보호에 관한 새로운 규약을 만들어야 합니다. 보안 테스트 업체 루무(Lumu)의 리카르도 빌라디에고는 “소셜 미디어의 공개 프로필에서 개인 정보를 없애거나 최소화하여 공격에 이용될 수 있는 정보가 공개되지 않도록 해야 한다.”라고 설명했습니다.
전반적으로 투명성은 미덕이 될 수 있지만 기업은 온라인에 올리는 모든 정보가 직원이나 내부자로 가장한 공격자에 의해 악용될 수 있다는 점을 유념해야 합니다.
(7) 피싱을 막기 위한 적절한 툴과 기술을 이용하라
가장 이상적인 것은 피싱 이메일을 아예 받지 않는 것이지만, 피싱 이메일을 완전 차단하는 것은 불가능합니다. 하지만 받게 되는 이메일의 양을 줄이거나, 피싱 이메일로부터 공격을 당했더라도 피해가 생기지 않도록 조치를 취하는 것은 가능합니다. IT 서비스 업체 인트러스트 IT(Intrust IT)의 데이브 해터는 “스팸이 메일 서버에 도달하기 전에 동작하는 필터링 솔루션을 이용하라”라고 조언했습니다.
넷스코프(Netskope)의 캔저니스는 “SSO(Single Sign-On)을 구현하면 한 곳에서 MFA를 활성화해서 모든 서비스에 적용할 수 있다.”며 SSO를 사용한다면 이 SSO 포털은 사용자가 자격 증명을 입력할 수 있는 거의 유일한 곳이 되며 이런 방법으로 다른 곳에서 자격 증명을 입력하기 못하도록 하는 정책 구성을 해야 한다고 조언했습니다.
(8) 정상적인 이메일을 알아보기 쉽게 만들어라
직원이 피싱 메시지를 쉽게 인식할 수 있도록 도와주는 정책 혹은 툴이 있다면 큰 도움이 됩니다. ESET의 토니 안스콤은 “회사 도메인이 발송처가 아닌 이메일에는 ‘외부’ 표시를 하라. 사용자의 경계심을 높이는 시각적 경고 표시이며, IT 팀이 쉽게 큰 효과를 볼 수 있는 방법”이라고 조언했습니다.
(9) 피싱 공격이 성공한 이후의 계획을 마련하라
IT 부서가 무심코 피싱 사기에 걸려드는 직원들에게 불평할 수는 있지만, 보안이라는 것은 궁극적으로 IT가 짊어져야 하는 문제입니다. 위에서 언급한 조언들을 새기고 따른다고 하더라도 언젠가는 피싱에 의해 피해를 입을 가능성이 있습니다. 따라서 피싱에 당한 사용자에 대응할 계획을 마련해야만 합니다. 정기적으로 시행한 교육, 테스트의 결과를 보안 성과로 전환할 수 있습니다. 테스트를 통해 보안 인식이나 시스템이 미비한 경우 더욱 견고하게 다지면 됩니다. 교육에서 일정한 테스트를 통화하지 못한 사람들에게는 비난보다는 장려, 보안 교육이 앞서야 합니다.
피싱 공격에서 비즈니스를 보호하는 데 도움이 되는 툴은 아주 다양합니다. 대부분 데이터 보호, 해킹 방어 기술이 있는 솔루션이라면 여러분의 소중한 민감 정보를 지키고 악성 코드를 피해 갈 수 있을 것입니다.
참고 :
https://www.itworld.co.kr/techlibrary/269427
https://www.proofpoint.com/us/resources/threat-reports/state-of-phish
