Home > 전체기사

침해사고의 시작 ‘피싱’, 가장 많이 유포된 피싱 메일 유형 5

  |  입력 : 2020-08-24 01:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
피싱 메일에 의해 시작되는 해킹, 어떤 피싱 메일에 가장 많이 속았나
KISA '피싱 메일 공격 사례 분석 및 대응 방안' 기술보고서 발간


[보안뉴스 권 준 기자] 최근 발생하는 침해사고의 원인 중 대다수는 피싱 메일에 의해 최초 감염이 이루어지는 경우가 굉장히 많다. 공개된 홈페이지나 게시글을 통해 메일 주소를 쉽게 수집할 수 있고, 고난이도의 기법 없이도 기업 내부에 침투할 수 있기 때문이다.

이러한 가운데 한국인터넷진흥원(KISA)에서는 국내외 기관 및 기업을 사칭한 피싱 메일과 메일·발송지, 그리고 악성코드 유포지를 지속적으로 분석한 내용을 바탕으로 피싱 메일의 특징과 예방 및 대응 방법을 소개한 '피싱 메일 공격 사례 분석 및 대응 방안' 기술보고서를 발표했다.

[이미지=utoimage]


해당 보고서는 피싱 메일을 이용하는 수많은 공격 조직 중 최소 2013년부터 국내 주요 기관 및 기업 개인을 대상으로 사이버 공격을 수행하고 민감한 정보들을 수집하는 것으로 알려진 한 조직이 공격을 수행하기 위해 악용해온 서버들의 최근 분석정보를 중심으로 작성됐다는 게 KISA 측의 설명이다. 여기서는 보고서 내용 가운데 첫 단계에 해당되는 가장 많이 유포된 피싱 메일 유형 5가지를 중심으로 살펴본다.

피싱(Phising)은 개인정보(Private Data)와 낚는다(Fishing)의 의미를 포함하는 보안 분야에서 매우 익숙한 단어이다, 즉, 공격자가 일반 사용자들의 정보를 탈취하기 위해 메일 또는 메신저로 악의적인 내용을 정상적인 내용으로 위장하여 보내는 것이다. 그간 분석한 공격조직은 이렇듯 피싱 메일을 주요 공격수단으로 활용해 계정정보 탈취, 악성코드 유포 등의 행위를 지속적으로 감행하고 있는 것으로 알려졌다. 해당 조직이 주로 활용하는 피싱 메일 형태는 다음과 같다.

유형 1. 고객센터 안내 위장 메일
최근 개인정보가 탈취되는 사고가 지속적으로 발생하고 있으며, 유출된 개인정보를 악용한 계정 도용 판매 등의 시도가 자주 이루어지고 있다 이에 따라 포털사이트에서는 계정에 대한 접속기록 비밀번호 변경 기록 등을 사용자들이 쉽게 인지할 수 있도록 메일로 알려주고 있는데 공격자들은 이러한 점을 악용해 고객센터에서 발송된 메일로 위장하고 계정정보 입력을 유도하는 방법을 사용하고 있다. 이는 포털사이트의 고객센터라는 신뢰할 수 있는 발송자를 사칭한 것으로 전형적인 사회공학적인 공격 기법에 속한다.

포털 고객센터로 위장하여 로그인 이력 비밀번호가 유출되었다는 식으로 메일을 보내면 사용자 입장에서는 정상적인 메일로 인지하여 안내 내용에 표시된 링크에 자연스럽게 접속할 가능성이 높아진다. 하지만 메일 형식 및 내용은 모두 공격자가 작성한 내용이기 때문에 링크 클릭 시 아래와 같이 공격자가 만들어 놓은 로그인 위장 피싱 사이트로 연결된다.

유형 2. 첨부파일 위장 메일
공격자는 첨부파일 기능을 정상적으로 사용하지 않았지만 첨부파일이 있는 것처럼 위장해 피싱 메일을 발송하기도 한다. 공격자는 첨부파일의 존재를 미끼로 피싱 사이트에 접속하도록 유도하는데 마치 첨부파일이 존재하는 것처럼 메일 내용을 조작한다.

해당 첨부파일 링크를 클릭하는 경우 피해자는 공격자가 만들어놓은 외부 피싱 사이트로 연결되며 사용자들의 계정정보 입력을 유도하는 화면이 표시된다. 일반 첨부파일은 메일 열람상태에서 바로 다운되지만 대용량 첨부파일의 경우 외부 사이트로 접속을 시도하더라도 의심할 확률이 줄어들 수 있다는 점을 악용하는 것으로 추정할 수 있다. 악용되는 파일로는 .PDF 파일 외에도 파워포인트파일(.pptx) 워드파일(.docx) 한글파일(.hwp) 등 매우 다양하다.

메일에 첨부된 링크를 클릭하면 실제 첨부파일이 다운받아지지 않고 로그인 위장 피싱 사이트로 연결되는데, 사용자들이 계정정보 입력 후 로그인 버튼을 누르면 정상적으로 첨부파일이 다운로드 되어 필요한 본인인증 과정으로 착각할 수 있다. 결국 피해자들은 자신이 열람한 이메일이 피싱 메일임을 인지하기 어렵게 된다.

유형 3. 보안메일 위장
최근 피싱 메일을 이용한 사이버 공격 증가에 따라 문서보안을 위해 보안메일을 사용하는 기업 및 기관이 증가하고 있다. 정부기관이나 금융기관 등에서도 많이 사용하고 있는데 공격자는 이를 역으로 이용해 보안메일로 위장한 피싱 메일을 유포하기도 한다.

보안메일은 통상 특정 비밀번호 입력 후 일치하는 경우에만 메일을 열람할 수 있는데 피싱 메일의 경우 메일보기 버튼을 누르면 비밀번호 입력 없이 바로 피싱 페이지로 연결해 계정을 유출하며 이후 정상적인 파일이 다운로드 된다.

유형 4. 메일 열람 페이지 취약점
메일 본문에 취약점을 삽입시켜 열람만 해도 피싱 사이트로 연결될 수 있다. 이전의 방법들은 사용자가 링크를 클릭하거나 첨부파일을 열람하는 등의 행위가 필요하지만 취약점을 이용하는 경우 메일 열람 시 악성 스크립트가 바로 실행되어 피싱 사이트로 연결된다.

메일 열람 시 바로 악성페이지로 연결되기 때문에 공격자는 로그인과 관련된 내용으로 사용자의 계정정보 입력을 유도한다. 이러한 경우는 통상 취약점 공격을 위해 HTML을 지원하는 웹 메일 또는 메일 클라이언트를 이용한다.

유형 5. 악성코드가 포함된 첨부파일 열람 유도
제목과 본문, 그리고 첨부파일 명을 자극적이거나 수신자와 관련된 내용으로 위장해 악성코드가 포함된 압축파일 또는 한글문서파일 워드파일 등을 유포한다. 최근 사용되는 악성 한글파일의 대다수는 2017년에 패치가 이루어진 고스트 스크립트 취약점(CVE-2017-8291)을 이용해 악성코드를 실행시킨다. 첨부된 악성 한글파일 열람 시 2017년 2월 이전 버전의 한글 프로그램 사용자는 취약점으로 인해 악성코드에 감염되며, 원격제어, 키로깅, 정보유출 등의 악성 행위에 노출되게 된다.

악성 한글파일 외에 악성 매크로를 포함한 MS워드파일을 유포하기도 한다. MS워드, MS엑셀과 같은 오피스 프로그램에는 비주얼 베이직 스크립트를 이용하여 매크로 코드를 작성하고 실행해주는 기능이 내장되어 있는데, 공격자는 이를 악용하여 악성코드를 다운로드 받는 코드를만들어 놓고 추가 악성코드 다운로드를 시도한다. MS오피스 프로그램은 보안을 위해 기본적으로 매크로 코드가 실행되지 않도록 설정되어 있기 때문에 문서 열람 시 표시되는 첫 페이지에 매크로 코드 실행 방지 옵션을 비활성화하도록 유도하고 있다. 옵션을 비활성화하게 되면 실제 악성 매크로 코드가 실행되어 악성코드를 다운로드 받게 되는데, 이 방법은 프로그램의 취약점이 아닌 정상 기능을 악용하는 것이기 때문에 프로그램 버전과 관련 없이 감염될 수 있다.

특히, 해당 유형의 경우 메일 본문을 “첨부파일을 보내니 확인 바란다”는 내용으로 구성해 메일을 받은 사용자들이 자연스럽게 첨부파일을 읽도록 유도한다. 첨부파일로는 압축파일 포맷인 .zip, .rar, .egg 확장자의 파일을 사용하고 내부에 악성코드 다운로드 및 실행하는 악성 스크립트 파일을 포함시킨다. 악성 스크립트로는 윈도우 스크립트 파일(.wsf), 자바스크립트(.js) 등 공격대상에서 악성 행위를 수행할 수 있는 스크립트 파일이 사용되고, 악성코드 실행 후 메일과 관련된 정상 PDF 파일, 정상 HWP 파일, 정상 그림 파일 등을 감염 PC 화면에 표시해 사용자들의 의심을 피하기도 한다.

한편, '피싱 메일 공격 사례 분석 및 대응 방안' 기술보고서 전문은 KISA 인터넷 보호나라&KrCERT 홈페이지나 보안뉴스 콘텐츠 코너를 통해 다운로드 받을 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)