[SecuritIST] KISA_2021 사이버 위협 전망_2. 고도화된 표적형 악성 이메일

안녕하세요, 에디터 푸린입니다.

이번 아티클에서는 KISA의 2021 사이버 위협 전망 중 2번째 아이템인 <고도화된 표적형 악성 이메일>에 대해서 다뤄볼 예정입니다. 개요 아티클에서 설명드렸다시피, 발표된 2021 사이버 위협 전망이 한국뿐만 아니라 다른 나라와의 합작이기에 공통 아이템이었던 1. 랜섬웨어의 확산 이후로는 각 나라에서 선정한 전망 발표가 이어집니다. 2번부터는 나라명 알파벳 순으로 전망이 제시되며, 따라서 첫번째 타자는 호주(Australia) 의 AusCERT팀에서 발표한 전망이 소개됩니다.

---

KISA 발표 전망

우선 KISA에서 발표한 자료 내용 먼저 보고 넘어갈까요?

1-2 고도화된 표적형 악성 이메일 (호주, AusCERT)
▶ 맞춤형 악성 이메일과 대량 피싱이 결합한 매스피어링 등장
▶ Emotet 악성코드를 활용하여 스팸 메일 생성 및 배포 증가
▶ 유출된 기업 데이터에서 특정 대상의 전자 메일, 계약정보 등을 활용한 맞춤형 공격
□ 사이버 위협 전망
스피어 피싱이 날로 정교해지고 있다. 최근에는 대상 맞춤 형태의 공격이 발생하고 있으며 맞춤형 공격은 더욱 발전할 것이다. 해커는 다크웹이나 소셜네트워크, 언론 등을 통해 특정 대상의 내부정보를 얻고 이를 활용하여 정밀하고 신뢰성 있는 공격을 진행한다. 또한 유출된 기업 재무, 계약정보를 통해 기업 거래처나 고객에게 대량으로 악성 메일을 발송하여 공격을 확대하고 있다. 이렇게 맞춤형 이메일과 대량 피싱이 결합된 매스피어링(Masspearing)이 등장했다. 여기에 Emotet 악성코드 공격이 증가하면서 악성 메일 전파가 더욱 가속화되고 있다. Emotet 악성코드는 뱅킹 악성코드로 시스템에 설치된 이후 추가 모듈 또는 악성코드를 다운로드 시키는 트로이목마다. Emotet 악성코드를 첨부한 악성 메일을 보내고 감염된 계정의 주소록에 해당 계정으로 악성 메일을 보내 감염을 전파시키고 있다. 이러한 공격은 랜섬웨어 감염, 정보 유출 등 2차 공격의 기반이 되고 있어 더욱 주의가 당부된다.

 

표적형? 피싱?

일단 제목에서 알 수 있다시피, "표적형"이라는 말은 특정 타겟을 대상으로 한다는 의미입니다. 이는 위 본문에서 나온 "스피어 피싱"과 연결이 되는데, 스피어 피싱은 특정 개인이나 기업을 대상으로 진행되는 피싱 공격을 의미합니다. 즉 스피어 피싱 자체가 이미 "표적형 공격"이라는 뜻이죠. 다양한 방식으로 탈취되거나 유출된 정보를 기반으로 특정 대상 및 기업에 대한 정보를 얻고 이를 기반으로 교묘하게 맞춤형 공격이 자행되기 때문에 피해자들이 더 의심하기 어렵게 되는 것이죠. 

수치로 살펴보면, IBM Security에서 한국 기업을 대상으로 조사한 결과, 데이터 유출 사고 시 피해가 가장 컸던 최초 공격 방법은 비즈니스 이메일의 유출로 데이터 유출 시 피해액은 평균 약 67억 6,000만 원에 이르렀다고 합니다. 그 다음은 사회공학적 해킹으로 약 52억 9,000만 원, 피싱 약 49억 2,000만 원으로 나타났다는 보고가 발표되었습니다.
(출처: 보안뉴스, 한국 기업, 데이터 유출로 평균 41억 원 이상 손실, 2021.08.02) 

사회공학적 해킹이란, 시스템이 아닌 사람의 취약점을 공략하여 원하는. 정보를 얻는 공격기법을 통칭합니다. 전화사기, 이메일 피싱, 우편물 등을 통한 개인정보 도난 등 특별한 기술 없이도 손쉽게 기본 정보를 얻어내는 비기술적 침입 방법으로, 인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 무력화시키고 원하는 정보를 탈취하는 기술이죠 (KISA, CSO briefing, 2008).

개인이 SNS에 올리거나 카페, 블로그 등에 댓글을 쓰는 등 "기록이 남는" 행위를 한다면 그것은 언제든지 인터넷 상에서 필터링될 수 있습니다. 그리고 해커는 이런 부분을 노려 공개되어 있는 정보를 조합해 특정 타겟에 대한 시나리오를 가질 수 있게 되죠. 예를 들어 내가 요즘에 새 차를 알아보려고 카페에 가입해 활동을 하고 SNS에 새 차를 사고싶다는 글을 올리거나 차 딜러를 소개받는다거나 하는 어떤 목적을 위한 일련의 행위들이 있었다면, 이를 기반으로 "좋은 조건을 제시하는 딜러"에게 연락이 왔을 때 경계심이 매우 옅어지기에 첨부된 링크나 파일 등을 무심코 클릭하게 되는 것처럼 말이죠.

 

어떤 예시들?

코로나 이후로는 재난지원금을 이용한 피싱 수법도 추가되었습니다. 특히나 본인이 본인이 재난지원금 지급 대상에 해당되지 않음을 인지하고 좌절하고 있는 사람들에게 "특별한" 재난지원금이 지원된다고 하면 혹시나 하면서도 유혹에 넘어가기 쉽죠. 맞춤 공격에서 조금 더 나아가, 사람들의 심리를 이용하는 방식이 된 것이죠. 

위에서 말한 "개인 타겟의 공격"보다는 조금 더 일반적이며, 많은 사람들을 노리는 케이스지만 이 역시 이미 기업들의 인사 정보 및 임직원 계정이 탈취된 적이 있다면 공격자가 기업 인사관리 혹은 메일 시스템 DB 등에 접근해 전사 대상으로 위에서 나온 말 그대로 "매스피어링" 공격이 될 수 있습니다.

매스피어링 예시

 

예방법?

예방법은 간단합니다:

- 기업 도메인(@xxx.com)이 잘못된 이메일 주소로 온 경우 해당 메일에서 첨부파일이나 URL을 클릭하지 말 것
- 외부에서 온 메일은 자세히 살펴볼 것.

이미 어느정도 규모가 되는 기업들은 관련해서 모의훈련을 진행하고 있기 때문에 일부 페이지들은 말 그대로 "시험적인" 스팸 메일일 수 있습니다. 하지만 그런 경우라도 해당 메일을 무시하거나 사내 보안팀에 신고를 하지 않고 그냥 무심결에 클릭하는 습관이 생긴 다면 진짜 공격의 경우에는 어떠한 결과도 장담할 수 없게 됩니다.

특히나 이 사회공학적 기법 혹은 공격들이 무서운 이유는 이것이 보안 인식이 부족한 개인의 잘못이 전사 단위로 커질 수 있다는 것이죠. 아무리 보안 교육을 실시하고 각종 솔루션 등을 통해 보안을 강화한다고 하더라도 이를 제대로 듣지 않고 무심결에 잘못된 행위를 하는 사람들은 분명 존재합니다. 그렇기 때문에 아무리 강력한 보안 기법을 작용한다고 하더라도 파훼가 되는 시작은 아주 사소한 문제가 될 수 있는 것이죠.

그렇기 때문에 위에 말씀드린 가장 간단한, "에이 이게 끝이야?" 하는 수준의 가이드 조차도 모두가 준수한다면 강력한 효과를 낼 수 있습니다. 미국의 저명한 사업가였던 Clement Stone이 말했듯이, 작은 태도의 차이가 결국 큰 차이를 이끌어낼 것입니다.
("There is little difference in people, but that little difference makes a big difference. The little difference is attitude. The big difference is whether it is positive or negative." — W. Clement Stone Quotes.)

---

추석을 앞두고, 그리고 재난지원금 지급이 진행되면서 스팸이 부쩍 늘었을 텐데 이러한 이벤트가 있다면 기업/기업 임직원 대상의 표적형 공격도 마찬가지로 증가하고 있습니다. 코로나로 힘들지만 그대로 명절인 만큼 모두가 즐거운 휴일을 보내고 걱정없이 쉴 수 있는 때가 되기 위해서는 아주 작은 초반의 관심으로도 충분합니다.

추석연휴가 한창 진행중인데 다들 이러한 피해 없이 행복한 명절이 되시기를 바랍니다 :)

이상, 에디터 푸린이었습니다!

 

출처

대표 이미지: Pixabay