Home > 전체기사

최근 피싱 공격의 핵심 2가지는 ‘유명 브랜드’와 ‘소셜미디어’

  |  입력 : 2022-09-22 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
피싱 공격은 수많은 사이버 공격의 시초다. 그 어떤 악랄한 공격이라도 거의 대부분 피싱 공격으로부터 시작한다. 따라서 피싱만 잘 피하면 꽤나 많은 공격을 차단할 수 있게 된다. 최근 피싱 공격자들은 유명 브랜드와 소셜미디어를 활용하고 있는데, 이것만 기억해도 방어력을 높일 수 있다.

[보안뉴스 문가용 기자] 인기 SNS 플랫폼 링크드인에서 사용자들을 노리는 악성 캠페인이 발견됐다. 특히 링크드인 프리미엄 사용자들에게 제공되는 기능인 스마트 링크(Smart Links)가 공격에 악용되었다는 게 눈에 띈다. 캠페인의 목적은 사용자들의 신용카드 정보를 수집하는 것이었고, 피해자들은 주로 슬로바키아의 링크드인 사용자들인 것으로 나타났다.

[이미지 = utoimage]


공격자들은 슬로바키아 우체국을 사칭하여 피해자들에게 이메일을 보냈고, 이 이메일에는 스마트 링크로 만들어진 ‘정상적인’ 주소가 삽입되어 있었다. 그렇기 때문에 이메일 필터링 장치들마저 악성 링크를 정상 링크로 판별했고, 피해자들도 눈으로는 악성 여부를 확인할 수 없었다고 한다. 이 링크를 클릭하면 피싱 사이트로 접속이 되는데, 이 피싱 사이트도 상당히 진짜처럼 보인다.

이메일은 배송 물품이 하나 대기 중에 있는데 적은 운송비를 지불해야 받아볼 수 있다는 내용으로 구성되어 있다. 지불을 하려면 우체국의 공식 지불 포털을 이용하면 된다고 안내되어 있는데, 당연히 안내되는 페이지는 가짜지만 겉모습은 실제 슬로바키아 우체국의 지불 포털과 똑같이 생겼다. 여기에 카드 정보를 입력하면 모두가 공격자의 서버로 넘어간다.

보안 업체 볼스터(Bolster)의 제품 마케팅 책임자인 모니아 뎅(Monnia Deng)은 “유명한 브랜드에 대한 일반 사용자들과 보안 솔루션의 신뢰를 악용하는 공격”이라고 이번 캠페인을 규정했다. “익숙한 브랜드나 로고가 나오면 그것만으로 충분하다고 믿어버리는 경향이 아직 일반 대중들 사이에서 강합니다. 보안 솔루션들도 링크의 출처가 정상적인 도메인에서 나오는 것이면 다 정상으로 간주하고요. 이런 관습들이 남아 있는 이상, 브랜드를 사칭하는 공격은 사라지지 않을 겁니다.”

스마트 링크, 꾸준히 악용되는 링크드인의 기능
링크드인의 스마트 링크 기능은 이전에도 악성 캠페인에 악용된 적이 있다. 보안 업체 코펜스(Cofense)의 수석 위협 분석가인 브래드 하스(Brad Haas)는 “링크드인의 스마트 링크로 만들어진 주소가 사용자의 이메일 함에 도착했던 사례가 있었다”고 말한다. 참고로 이번 슬로바키아 우체국 사칭 캠페인을 코펜스가 추적 및 조사 중에 있기도 하다.

스마트 링크는 링크드인에서 제공하는 일종의 마케팅 기능이다. 광고 콘텐츠를 내건 후 해당 광고를 노출하고자 하는 사람들에게만 보이게 할 수 있다. 일종의 표적 광고를 가능하게 하는 기능인 것이다. 또한 하나의 링크로 여러 가지 광고물(문서, 엑셀 파일, PDF, 이미지, 웹 페이지 등)에 접근할 수 있도록 해 주기도 한다. 광고를 받는 사람이 하나의 링크를 타고 들어가 편리하게 여러 콘텐츠를 볼 수 있게 해 주는 것이라고 볼 수 있다. 그 외에도 콘텐츠에 대한 통계 자료도 열람 가능하게 해 준다.

“스마트 링크는 매우 간단하게 만들 수 있습니다. 애초부터 ‘편리함’이 특징인 기능이었거든요. 프리미엄 서비스를 구독하는 계정이 필요하긴 한데, 공격 성공률만 확실하다면 공격자들로서 그 정도 투자는 아무 것도 아닙니다. 스마트 링크가 공격자들에게 주는 ‘탐지 회피’라는 장점이 어마어마하게 큰 것이거든요. 실제 여러 공격자들이 스마트 링크를 공격에 활용하기도 하고요.” 하스의 설명이다.

정상 서비스의 악용
유명한 브랜드는 사이버 공격자들에게 있어 항상 공격의 재료였다. 최근에는 링크드인만이 아니라 구글 클라우드, AWS 등도 공격에 자주 활용된다. 지난 주에는 우버라는 유명 카풀 서비스 업체에서 해킹 사고가 발생했었는데, 이 때도 공격자는 우버의 IT 부서 직원을 사칭했었다. 우버의 IT 담당자라고 하니 믿어버린 것이다.

소셜미디어가 공격의 발판이 되는 양상도 점점 흔히 나타나고 있다. 인터넷 사용자들 중 상당수가 소셜미디어에서 활동하고 있기 때문이다. 페이스북과 트위터의 경우 선거 시스템과 여론을 조작하기 위한 사이버전의 무대가 되고 있기도 하다.

보안 업체 슬래시넥스트(SlashNext)의 CEO인 패트릭 하(Patrick Harr)는 “피싱은 링크를 보내고 받을 수만 있다면 어느 플랫폼에서도 발생할 수 있다”고 말한다. “한 사람만 속일 수 있다면 아무리 기술적으로 탄탄히 보호되고 있는 기업망이라고 하더라도 뚫을 수 있거든요. 왜냐하면 사이버 공간은 애초부터 링크를 편리하게 주고 받도록 만들어진 환경이기 때문입니다. 이런 기본적인 기능 자체가 사라지지 않는 이상 피싱 공격은 늘 영리하고 창의적으로 일어날 것입니다. 최근에는 소셜미디어와 유명 브랜드가 주 재료가 되고 있는 추세인 게 맞고요.”

그러면서 패트릭 하는 “거꾸로 말해 소셜미디어를 통해 들어오는 링크, 유명 브랜드의 이름과 로고가 동원된 페이지나 문서 모두 극도로 조심해야 한다는 뜻”이라고 강조한다. “구분하기가 힘들다면 차라리 그 어떤 링크도 클릭하지 않는 게 낫습니다. 링크를 주고 받을 일이 있다면 당사자와 꼭 사전에 구체적인 약속을 하고요. 소셜미디어에서는 중요한 정보를 교환하지 않는 게 좋습니다.”

3줄 요약
1. 링크드인의 프리미엄 기능 악용한 피싱 캠페인 발견됨.
2. 슬로바키아의 우체국과 유명 SNS 악용하니 속는 사람 많은 듯.
3. 최근 피싱 공격의 트렌드는 유명 브랜드와 SNS.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)