세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
[주말판] 피싱 이메일에 가장 많이 등장하는 제목은?
  |  입력 : 2018-10-27 12:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
딱 한 번의 틈 노리는 피싱 공격...알면서도 당하는 위협적인 수법
돈 노리는 공격은 주로 ‘인보이스’, 계정 탈취 노리는 공격은 ‘로그인 요망’


[보안뉴스 문가용 기자] 장담하건데 지금 당신의 이메일 함에는 누군가의 피싱 공격 시도가 존재하고 있다. 그렇지 않다고? 그렇다면 장담하건데 내일은 누군가의 피싱 공격 시도가 있을 것이다. 문제는 당신에게 누군가 피싱 이메일을 보내느냐 아니냐가 아니라, 당신이 속지 않고 버티느냐, 이다.

[이미지 = iclickart]


아주 낡은 수법처럼 느껴지지만 피싱 공격은 발전에 발전을 거듭하고 있다. 기술적인 면에서도 그렇지만 사람을 유혹하는 방법에 있어서도 그렇다. 보안 개념이 전혀 없는 사람만 피싱에 당하는 게 아니다. “아무리 보안 전문가라도 잠시 정신을 놓는 순간에 피싱 공격에 당할 수 있습니다. 최대한 업무를 빨리 처리하고, 생산성을 높이고자 하는 일반 직원들의 경우 이메일을 보고 마우스부터 움직이기 십상이죠.” 보안 업체 웹루트(Webroot)의 CISO 개리 헤이슬립(Gary Hayslip)의 설명이다.

“이제는 피싱 이메일이 메일함에 없으면 그게 더 이상한 것처럼 느껴질 정도입니다. 일반 사용자들도 피싱 이메일에 너무 익숙해져 있어요. 그런데 이걸 무시하거나 어떤 그럴듯한 유혹에도 클릭하지 않도록 스스로를 절제하는 데에는 그렇게 뛰어나지 않습니다. 그래서 피싱 메일이 무서운 겁니다. 사람의 호기심이나 자동반사와 같은 습성 그 자체를 공략하는 것이기 때문이죠.”

헤이슬립은 “최근 피싱 메일 공격자들이 노리는 인간의 심리적 특성은 두 가지”라고 설명한다. “호기심과 도와주고 싶어 하는 마음입니다. 이메일을 궁금하게 만들거나, 도움을 청하는 식으로 작성하면 사람들이 열어봅니다. 그리고 실제로 피싱 공격에 당한 사람들은 이런 말들을 하죠. ‘정말 바빠서 생각할 틈이 없었어요.’ ‘제가 깜빡했네요.’ ‘뻔한 수법에 속았군요.’ 본능처럼 도사리고 있는 심리를 찌르면 판단이 잠시 멈춘다는 것을 보여줍니다.”

그러므로 피싱 막는 기술이 아무리 발전해도 계속해서 공격이 성립하는 것이라고 헤이슬립은 주장한다. “이건 교육이 필수적으로 병행되어야 할 분야입니다.” 그런 차원에서 헤이슬립은 최근 18개월 동안 전송된 수천~수만 개의 피싱 이메일을 수집해 분석했다. 특히 어떤 제목으로 사람들을 유혹하는지를 알아봤는데, “돈과 관련된 내용과 긴급 상황이라는 식의 접근법이 가장 많이 발견됐다”고 한다.

보안 업체 코펜스(Cofense)의 사이버 보안 전략가인 존 로빈슨(John Robinson) 역시 “공격자들의 심리적인 공격 방법이 더 정교해지고 있다”는 헤이슬립의 주장에 찬성한다. “자기가 공격하고자 하는 대상이 어떤 메일을 더 열어볼 확률이 큰지를 점점 더 확실히 이해하고 있어요. 그 사람이 종사하고 있는 사업 내 전문용어나 은어 같은 것도 사용해가며 경계심을 흩트리죠.”

다음은 현재 가장 많이 나타나고 있는 피싱 이메일 제목이다. 한글을 사용하는 우리나라의 경우 이 연구 결과가 그대로 적용될 수는 없지만, 이러한 제목들을 사용하는 공격자들의 심리와 전략을 파악하는 데는 도움이 될 것으로 보여 수록한다.

급한 도움 요청(Assist Urgently)
사용자가 메일을 클릭해보기 전에 1초라도 더 생각한다면, 공격자에게 불리하다. 헤이슬립은 “그러니 공격자들은 피해자들이 최대한 빨리 결정을 내리도록 해야 한다”고 설명한다. 그것이 이런 식의 제목을 가진 피싱 메일의 의도다. “‘급한 도움 요청’이라고 글자 그대로 적힌 제목이 아니더라도 그런 분위기를 풍기는 제목을 쓰는 경우가 많습니다. ‘검토(Review)’라든가 ‘빠른 검토 요망(Quick Review)’ 등이 자주 눈에 띄는 응용 버전입니다. ‘중요(Important)’라고 서두에 적힌 메일도 흔히 볼 수 있죠.”

그리고 여기에는 또 다른 심리적 요소도 작용한다고 헤이슬립은 지적한다. “도움을 주고자 하는 사람의 마음이 관여되어 있기도 합니다. ‘진짜 누군가 내 도움이 필요하면 어떡하지?’이런 마음이 드는 것이죠. 그래서 저는 직원들에게 ‘남 돕다가 본인만 난처해지면 얼마나 어리석은가’를 늘 강조합니다. 그리고 ‘급하다’는 느낌이 드는 제목의 이메일은 전부 무시하라고 합니다. 저 역시 그렇게 하고 있습니다.”

인보이스/영수증/청구서 등등
코펜스의 로빈슨은 “우리가 조사한 가장 흔한 피싱 메일 제목 10개 중에 6개에 ‘인보이스’라는 단어가 있었다”고 말한다. 즉 금전적인 내용이 사람을 가장 궁금하게 하고, 금전적인 동기가 사람을 가장 많이 공격자로 둔갑시킨다는 것이다. “인보이스라는 단어를 동원한 피싱 메일은 전부 돈을 벌기 위한 공격이었습니다. 굉장히 흥미롭죠.”

로빈슨은 “가장 흔한 피싱 메일 제목 10개 중 6개가 돈과 관련된 것이라는 점에서 돈이란 것이 얼마나 강력한 동기 요인인지 알 수 있다”고 설명한다. “공격자들도 이 점을 잘 알고 있습니다. 그래서 이런 제목을 즐겨 사용하는 것이죠. 비슷한 제목으로는 ‘지불 완료’나 ‘송금 완료’ 등이 있습니다. 자기한테 돈이 들어왔다는 제목에 많은 사람들이 클릭부터 하기 때문입니다.” 웹루트 역시 ‘전자 결제’ 혹은 ‘전신 송금’이라는 제목이 인기가 많다고 설명한다.

00은행(Bank of) / 새로운 알림 사항(New Notification)
일반 직원들을 겨냥한 피싱 공격 외에 기업이나 조직의 운영진을 노리는 피싱 공격들도 꽤나 많이 발견된다. 이런 피싱 메일들은 제대로 된 문법과 맞춤법을 사용하며, 더 전문적인 내용을 담고 있다. 그래서 공격자들은 더 많은 준비 과정을 거친다. 헤이슬립은 “그래서 본질적으로는 같은 피싱 공격이더라도 CEO들을 노린 것과 그렇지 않은 것을 구분하는 것이 보통”이라고 설명한다. “운영진을 노리는 피싱 공격을 웨일링 공격(whaling attack)이라고 합니다.”

보다 높은 지위에 있는 사람들을 노리는 공격자들은 피싱 메일을 최대한 진짜 이메일처럼 만든다. 회사가 실제로 거래하고 있는 은행의 이름을 제목에 넣는 것이 그런 방법 중 하나다. “같은 ‘긴급 도움 요청’이라는 제목이라도, 실제 거래 은행의 이름이 앞에 딱 붙으면 보다 더 진짜 같습니다. 연구와 조사를 통해 거래 은행이 어떤 식으로 고객들에게 메시지를 보내는지도 파악해 말투나 분위기를 흉내 내면 실제적인 느낌을 더할 수 있죠. 은행의 CEO와 CFO가 해외 출장 중에 긴급한 상황이 발생했다는 식의 메일 내용이 자주 보입니다.”

계정 확인 요청(Verify Your Account)
이 제목을 가진 피싱 공격은 금전적인 갈취보다는 계정 탈취를 목적으로 하는 경우가 많다고 로빈슨은 설명한다. 물론 계정 탈취의 궁극적인 목적이 돈을 훔치는 게 될 수는 있다. “하지만 이렇게 계정을 훔치는 가장 중요한 이유는 공격 표적이 되는 기업이나 조직의 네트워크 내에 첫 발을 딛기 위해서입니다. 들어갈 구멍으로서 계정이 사용되는 것이죠.”

공격자들의 목적인 ‘계정 탈취’를 이해하면 ‘계정을 확인하라’는 메일 제목을 수긍할 수 있다. 사용자가 계정을 확인하기 위해 스스로의 크리덴셜을 직접 입력하도록 유도한다는 생각이 이 뒤에 있는 것이다. “계정 탈취를 위해서 반드시 필요한 정보는 사용자 이름(ID)과 비밀번호입니다. 어떻게 해서든 피해자가 이 두 가지를 입력하도록 꾸미는 것이 피싱 공격자들의 목적입니다. 그래서 사람들이 자주 사용하거나 좋아하는 브랜드인 것처럼 위장하는 경우가 많습니다.”

그렇다고 공격자들이 삼엄한 경비를 뚫고 그러한 유명 브랜드까지도 침해하는 건 아니다. 그저 이런 브랜드의 전형적인 고객용 메일 형태나 말투 등을 따라하면 되기 때문이다. 원하는 브랜드의 고객 로그인 페이지를 그대로 복사하는 것도 그리 어려운 일은 아니다. 자매품으로는 “비승인 로그인 시도가 있었습니다”는 식의 제목이 있다.

복사본(Copy) 혹은 문서 복사본(Document Copy)
피싱 이메일을 만드는 사람들이 가장 많이 사용하는 것은 두 가지로, 악성 링크와 악성 첨부파일이다. 둘 다 공격자들 사이에서 인기가 많고 효과도 높다고 로빈슨은 설명한다. 특히 인보이스나 주문서, 청구서, 영수증과 관련된 제목을 가진 피싱 메일에는 ‘(복)사본’이란 이름을 가진 문서가 자주 첨부된다.

이런 첨부파일을 동원한 공격 수법은 공격자가 표적으로 삼은 기업이나 조직에 대한 이해도가 높을 때 파괴적인 효과를 발휘한다. “특정 직원이나 사업 부서에 따라 유독 첨부파일을 자주 주고받을 때가 있습니다. 워드나 엑셀 파일을 공격자가 첨부하더라도 전혀 이상해보이지 않을 정도의 분위기가 형성된 부분이 있어요. 그 점을 파고들 때 첨부파일을 직원이 의심 없이 열어볼 확률이 높아집니다.”

그러면서 로빈슨은 “최근 공격자들의 첨부파일 및 매크로 사용 행태를 보면 이들이 일반 기업들의 운영 체계를 얼마나 잘 이해하고 있는지를 알 수 있다”고 설명한다. “사업 운영이라는 큰 틀 안에서 어떻게 해야 자신들의 메일이 평범하게 보일 수 있는지 연구하기 때문입니다.” 그래서 나타난 현상 가운데 하나는 피싱 메일 제목이나 첨부파일 제목을 짧게 하는 것이라고 로빈슨은 설명한다. “요즘 사람들은 전부 바쁘게 움직이죠. 제목을 길게 해서 소통하지 않아요. 그럴 때 괜히 메일 길게 써서 이상하게 보일 필요가 없죠.”

그래서 헤이슬립은 “사업적 혹은 업무용 통신 프로세스와 체계를 표준화시키는 게 도움이 된다”고 주장한다. 영수증과 인보이스를 주고받고, 이메일을 통해 사업적 내용을 교환할 때의 정확한 방법을 규정으로 정해야 한다는 것이다. “그래서 어디서 인보이스가 오고, 어떤 형태로 와야 정상인 것인지 직원들에게 알려야 합니다. 정상적인 것이 정립되면, 비정상적인 것을 파악하는 게 보다 쉬워집니다.”

조치 요구 : 계정 잔액 지불 요청(Action Required : Pay your seller account balance)
헤이슬립은 “특정 행동을 반드시 해야 한다는 식의 메시지에도 사람들이 잘 반응하는 편”이라고 말한다. “내가 뭘 잊어버렸나, 하고 생각하면서 혹은 궁금해 하면서 메일을 열게 되는 것이죠.” 실제로 헤이슬립이 조사한 바에 따르면 이런 식의 악성 메일을 열고 링크까지 여는 경우가 40%나 된다고 한다. “그리고 이런 공격의 대부분은 크리덴셜 탈취를 목적으로 합니다. 속은 걸 깨달은 피해자들은 보통 ‘속지 않을 수 있었다’는 식으로 아쉬움을 표현합니다.”

지난 1년 동안, 이런 종류의 피싱 메일에서는 중요한 변화가 하나 있었다. 악성 첨부파일보다 악성 링크가 첨부되는 경우가 더 많아진 것이다. “링크를 클릭하면 크리덴션을 입력해야 하는 페이지가 나옵니다. 특히 인사부서에서 관리하는 페이지가 많이 나타나더군요. 피해자들은 아무 의심 없이 회사 계정에 로그인하는 것으로 착각하고 정보를 입력합니다.”

아마존 : 귀하가 주문하신 물품 배송에 문제가 생겼습니다
주로 연휴 기간이나 대대적인 쇼핑 시즌에 주로 나타나는 피싱 메일 제목이라고 헤이슬립은 설명한다. “그런 때에는 놀라울 정도로 아마존 사칭 메일이 증가하죠. 아마존만이 아니라 여러 유명 쇼핑몰의 이름이 제목에 등장한 메일이 늘어납니다. 비슷하게 세금 시즌 혹은 환급 시즌에는 국세청을 사칭한 메일이 많이 전송되고요.”

물론 예시에 든 것처럼 물품 배송만을 주제로 삼고 있는 건 아니다. “공격자들은 아마존을 사칭하고 영수증을 확인하라든지, 최근 누군가 귀하의 계정으로 물품을 구매하려고 했다는 식으로 다양하게 내용을 꾸립니다. 아마존을 휴가 기간에 주로 삽입하는 건 신빙성을 높이기 위한 것입니다.”

아마존을 자주 사용하는 사람들이라면 이런 메일에 잘 속는 경향이 있다고 헤이립스는 설명한다. 주문을 자주하고 배송 관련 메시지를 자주 받으니 피싱 메일이 이상해 보이지 않는 것이다. “거의 자동반사 수준으로 메일을 클릭하고 첨부파일을 확인합니다. 그게 일상이기 때문이죠. 주문 내용과 아마존의 공식 이메일을 잘 파악하고, 보다 꼼꼼하게 확인할 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)