[안랩 보안 바로알기(Know the security) 캠페인]#8 스피어 피싱 바로알기

2013.12.11

 

‘[당첨] 라식/라섹 선착순 한정 할인’, ‘***님, 모공지우개+화장품 샘플 무료로 받아가세요~’라는 메일 하루에도 수십 개씩 받아보시죠? 하지만 이런 메일을 하나하나 열어보는 사람은 거의 없을 것입니다.

하지만 이런 건 어떨까요? 회사 근무 중에 보내는 사람이 재직 중인 회사(와 매우 비슷한) 메일주소로 온 ‘연봉 협상 결과 통지서’, 평소 가입했던 동호회 지인의 이름으로 온 ‘이번 달 모임 공지 드립니다’, 평소 자신의 담당업무와 관련된 ‘[이력서]***부서 지원’이라는 메일을 받았다면 과연 열지 않고 지워 버릴 수 있을까요?

 

그리고 그 안에 문서 파일이 첨부 되어있을 때 이를 열지 않을 사람이 얼마나 될까요? 첨부된 문서 파일을 열었을 때 정상적인(조금은 싱거운 내용의) 문서가 보이고, 자신의 PC에 별 이상이 발견되지 않았을 때, 이를 의심하는 사람이 과연 얼마나 될까요?

 

안랩의 보안 바로알기(Know the security) 캠페인의 여덟 번째 이야기는 지금까지 보다 조금 더 심각한 주제인 스피어피싱(Spear phishing)에 대해 바로 알아 보겠습니다.

 

스피어 피싱(Spear phishing)이라는 말을 나누어보면 “spear: 창, 찌르다 / phishing: 수신자를 속이기 위한 사기 이메일 및 기타 활동”으로, 원래는 물고기를 작살로 잡는 ‘작살 낚시(Spear Phishing)’라는 말에서 유래되었다고 합니다. 보안분야에서는 “불특정 다수가 아닌 특정인(조직)을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹 사이트로 유도 또는 악성 첨부 파일로 악성코드에 감염시키는 일종의 온라인 사기행위”입니다. 우리말로 옮기면 ‘표적형 악성 메일’로 이해할 수 있습니다.

 

일반적인 스팸 메일과 구별되는 점은 1)불특정 다수를 노리는 것이 아니라 해커가 노리는 특정 기관 및 기업을 노리는 ‘표적성’ 2)일반적인 광고, 애드웨어보다 훨씬 심각한 정보유출 등을 노리는 악성코드의 ‘심각성’ 3)정상파일을 보여주거나 내용을 의심할 수 없을 정도로 정상 메일과 유사한 ‘정교성’ 등을 들 수 있습니다.

 

사실 악성코드를 첨부해 사용자를 속일 법한 내용의 메일을 보내는 것은 아주 고전적인 방법이라 할 수 있지만, 문제는 이런 방법이 아직도 효과가 있다는 것입니다. 이는 ‘최대의 보안 취약점은 바로 사람’이라는 보안전문가들의 지적과도 일치하는 현상입니다.

 

해외의 통계에 의하면 지금까지 밝혀진 APT 성의 표적형 공격의 90% 이상이 스피어피싱으로 유발되었거나 공격에 사용되었다고 합니다. 또한, 많은 보안 전문가들이 기관과 기업이 스피어 피싱의 대상이 되었고, 대부분의 스피어 피싱에는 첨부파일이 있었다고 지적하고 있습니다.

 

안랩에 의하면 최근 이러한 첨부파일이 사람들의 의심을 피하고 오픈율을 높이기 위해 .exe나 .dll등의 실행파일에서 doc, pdf, hwp, xls등의 문서파일, .zip 등 압축 파일과 같은 비 실행형 파일으로 변하는 추세라고 합니다.

 

예를 들어, 특정 문서파일에 악성코드를 심어서 보내면 이를 열었을 때, 해당 파일을 읽어서 사용자에게 보여주는 문서 프로그램에 존재하는 SW적 취약점을 이용해 사용자의 PC에 악성코드를 감염시키는 방식입니다. 이와함께 .exe나 .dll등의 실행파일이지만 문서파일 처럼 속여 실행을 유도하는 경우도 있습니다.

 

해커들은 공격을 할 표적을 정하면, 페이스북, 트위터와 같은 SNS나 인터넷에 퍼져 있는 상대방의 정보를 수집합니다. 자주 가는 웹사이트, 취미, 소속된 조직 등 표적 대상에 대한 정보를 수집한 후, 피싱 메일을 전송합니다. 클릭하는 순간 악성코드에 감염이 되어 공격의 희생양이 되는 것입니다.

 

왜 위험한가?

개인이 일상 생활에서 이런 스피어 피싱을 겪는 경우는 거의 없을 수도 있습니다. 하지만 그 개인이 자신이 일하는 기관/기업에서 PC를 사용할 시, 특히 중요한 직책을 맡고 있다면 상황은 매우 달라집니다. 이는 바로 이 스피어 피싱이 APT(Advanced Persistent Threat)공격의 시작점이자 내부 시스템 파악의 첫 발판이 되기 때문입니다. APT 공격의 가장 큰 특징은 특정 기관/기업을 노려서 매우 지능적/조직적으로, 성공할 때까지 노린다는 점입니다. 이런 APT의 특징을 생각해보면 그 시작점이 스피어피싱이 되는 것이 매우 자연스럽습니다.

 

스피어 피싱이 특히 위험한 이유는 사용자가 구분이 어렵다는 데 있습니다. 먼저 해커가 특정 조직을 목표로 삼으면 해커는 장기간에 걸쳐 목표 조직의 거의 모든 것을 파악합니다. 이후, 조직 내부 부서를 사칭하거나, 이에 맞춤화 된 내용의 메일 및 첨부파일을 보내 감염을 시도합니다. 특정 인물을 표적으로 삼을 때는 SNS나 가입 동호회 등 개인에 대한 장기간 조사로 자료를 수집한 후에 관련자를 사칭하거나 상대의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법의 스피어 피싱을 시도하기도 합니다. 이런 정교하게 조작된 메일을 받았을 때 개인이 이를 구별해 내기란 쉽지 않습니다.

 

또한, 위에도 밝혔듯, 최근 첨부파일로는 문서파일과 같은 비실행형 파일이 자주 사용되는 추세입니다. 이는 당연히 수신자의 의심을 피하기 위해서인데요, 무심코 첨부된 문서파일을 열어도 표면적으로는 정상적인 문서를 보여주고, 사용자 몰래 뒤에서 감염을 시도하기 때문에 사용자는 그냥 지나치기 쉽습니다. 이 때 설치되는 악성코드는 광범위하게 사용되는 것이 아니라 특정 조직 침투만을 목적으로 만들어진 ‘맞춤형 소량 제작 악성코드’로, 이미 알려진 악성코드에 대응하는 ‘시그니처’ 방식의 백신만으로 막아내기엔 어려움이 있습니다.

 

또한, 자신이 속해있는 조직에 대한 큰 피해로 이어질 수 있다는 것도 스피어 피싱이 위험한 이유입니다. 국내 및 해외 보안전문가들은 최초에 악성코드가 한번 시스템에 침투하기만 하면 이후 들키지 않고 내부망을 돌아다니며 취약점을 찾아내고, 이를 기반으로 시스템 장악 후 기밀정보를 유출하거나 피해를 입히는 것은 어려운 일이 아니라고 지적하고 있습니다. 실제로 2012년 중동지역의 국가기관을 대상으로 활동하다 발견된 ‘플레임’악성코드는 2년 여간이나 중동지역 기관/기업에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취했습니다.

 

어떤 사례가 있는가?

가장 유명한 사례는 뉴욕타임스의 사례라 할 수 있습니다. 약 4개월 간 지속된 뉴욕타임즈(NYT) 공격에서, 공격자는 NYT의 상하이 지부 책임자와 남아시아 책임자(전 베이징 지부 책임자)의 메일을 했습니다. 또한, NYT시스템에도 4달 동안 악성코드를 설치하고 이를 통해 시스템에 침입했습니다. 해외 매체에서는 이 공격의 시작이 바로 내부 혹은 외부 기관/기업으로 위장한 스피어 피싱일 것으로 추측하고 있습니다. 특히 공격의 배후를 조사한 맨디언트(Mandiant)도 공격자로 추정되는 조직이 가장 많이 사용하는 기법이 스피어 피싱이라고 밝혀 이런 주장을 뒷받침하고 있습니다.

 

2011년에 있었던 글로벌 보안업체의 정보유출 사건도 첫 시작은 스피어 피싱 메일이었습니다. 해당 업체는 자사가 운영하는 블로그에서 공격의 첫 시작이 ‘2011 인원 채용 계획’이라는 제목의 스피어 피싱메일이라고 기술한 바 있습니다.

 

같은 해에 세계최대 이메일 서비스 제공자인 글로벌 기업이 스피어 피싱에 당한 사례도 있습니다. 특히 이 기업은 침해사고 이후 고객사 데이터를 탈취당했고, 이는 해당 기업에 대한 2차 스피어 피싱으로 이어질 수 있어 그 위험이 더욱 컸습니다. 결국 이 기업은 이 공격으로 인해 40억 달러에 이르는 피해를 입었습니다.  

 

예방하려면 어떻게 해야하나?

APT공격의 다양한 시작점 중 가장 많이 이용된다는 스피어 피싱, 이 피해로부터 자신과 자신이 속한 조직을 보호하려면 조직과 개인 모두의 노력이 필요합니다.

 

먼저, 조직의 경우 스피어 피싱의 심각성에 대해 충분히 인지하고, 전체적인 관점에서 이 스피어 피싱이 APT공격과 어떻게 연관 될 수 있는지 맥락을 파악하는 것이 중요합니다. 특히, 스피어 피싱에 사용되는 악성코드는 맞춤형 소량 제작 악성코드이기 때문에, 알려진 악성코드에 대응하는 백신은 물론, 다계층적인 보안 솔루션을 조직의 특성에 맞게 설계하는 것이 필요합니다. 솔루션 도입으로만 그치지 말고, 정기적인 직원 보안교육, 내부 보안 인재 육성 등의 노력도 동시에 진행되어야 합니다.

 

개인의 경우엔, 어쩌면 더욱 쉬울 수도 있습니다. 바로 조금이라도 수상한 메일의 첨부파일이나 URL을 실행하지 않는 것이 가장 스피어 피싱을 막기 위한 확실한 방법입니다. 이와 함께, 사용하고 있는 SW 프로그램 제공사에서 보안 패치를 발표하면 이를 꼭 업데이트 해야 합니다. 특히, 비 실행형 파일을 이용하는 스피어 피싱 공격이 증가하는 추세에서 이는 더욱 중요하다 할 수 있습니다. 혹시 (조금 내용이 엉성하거나 모르는 사람에게서 받은)파일을 열었을 때는 즉시 사내 보안 담당자에 연락해 후속 조치를 취해야 합니다.

 

스피어 피싱은 정보유출부터 시스템 파괴까지 개인의 피해뿐만이 아니라 조직에 대한 대규모 공격의 최초 시작점이 될 수도 있습니다. 조직과 개인의 노력이 합쳐질 때만이 스피어 피싱의 위협에서 벗어날 수 있습니다. <Ahn>