보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

피싱 공격 편리하게 해 주는 연장들의 등장으로 연장될 피싱 전성시대

입력 : 2023-02-10 20:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사실 본질이라는 측면에서는 뻔하디 뻔한 것이 피싱 공격인데, 전성기에서 도무지 내려오지를 않는다. 게다가 인공지능이 등장하면서 지금보다 더한 전성기를 누릴 것으로 보인다. 피싱에 대한 효과적인 대비책이 필요하다.

[보안뉴스 문가용 기자] 피싱 공격이 전성기를 맞이하고 있다. 피싱 캠페인의 양이 2022년 하반기 동안 급상승했으며, 그 기세는 꺾일 줄을 모른다. 지난 주 이메일 보안 업체 베이드(Vade)가 조사한 바에 의하면 하반기 동안 피싱 이메일이 61% 증가했다고 하는데, 최근 챗GPT 등 음성 기반 인공지능 도구들이 등장하면서 피싱 공격 증가율은 더 가팔라질 것으로 예상된다.

[이미지 = utoimage]


멀웨어를 첨부한 이메일도 크게 늘어난 것으로 조사됐다. 멀웨어는 분기별로 평균 12% 증가율을 보였으며, 2022년 마지막 분기 동안 멀웨어를 포함한 이메일은 총 5890만 개 발견됐다고 한다. 피싱 공격이 가장 많이 벌어지고 멀웨어가 가장 많이 유포되는 곳은 이메일이며, 공격자들에게 있어 이메일은 매우 사용하기 편리하고 효과적이며 확장성도 좋은 공격 도구라고 베이드의 마케팅 관리자 토드 스탠스필드(Todd Stansfield)는 설명한다.

피싱 공격에는 유명한 브랜드를 사칭하는 전략이 자주 나타나는데, 지난 3~4분기 동안 공격자들이 가장 많이 사칭한 건 페이스북이었다. 4사분기에만 베이드가 찾아낸 페이스북 사칭 URL이 중복 없이 무려 6700개였다고 한다. 그 다음은 순서대로 마이크로소프트, 페이팔, 구글, 넷플릭스가 많이 악용되고 있었다.

피싱 공격자들이 노리기 좋아하는 표적은 생산성 애플리케이션들인 것으로 나타났다. 이유는 단순하다. 수많은 기업들 내 근무자들이 즐겨 사용하기 때문이다. 그러니 이런 애플리케이션들을 노리면 공격을 통해 성과를 올릴 확률이 높아진다. 그런 의미에서 공격자들이 가장 많이 노리는 건 마이크로소프트 365였다. 3억 4500만 사용자를 보유한 애플리케이션이다. 그 다음은 구글 워크스페이스인 것으로 나타났다. 이 순위는 앞으로 크게 변동이 없을 것으로 보인다.

“생산성 앱들이 최근 들어 스위트 형태로, 즉 다양한 도구를 하나의 세트로 구성한 형태로 시장에 나옵니다. 그 중에는 이메일 앱도 있는 게 보통이죠. 사용자들은 이런 이메일로 생산성 도구들에 접근하여 파일을 공유하거나 메일을 보내는 등 여러 가지 업무를 실시합니다.” 스탠스필드의 설명이다. “이미 공격자들은 이런 상황을 잘 알고 있습니다. 그래서 업무와 관련된 것과 같은 이메일을 생산성 애플리케이션들에 보내 기업 내 임직원들을 속이기 시작한 것이죠.”

사실 피싱 공격이라는 게 대단히 창의적이고 기술적으로 고차원적인 기법은 아니다. 피싱 공격의 표적이나 피싱 공격이 수행되는 방법이나, 사실 다 거기서 거기다. 그렇다면 왜 피싱 공격이 갈수록 성행하는 것일까? 일반 기업/기관들의 정상적인 업무와 생산의 환경이 뻔하디 뻔한 피싱 공격을 허용하도록 구성되어 있기 때문이다.

인공지능, 피싱에 날개를 달다
늘 대동소이 한 피싱 공격이지만, 최근에는 변화가 있었다. 아니, 보다 정확히 말하면 있을 예정이다. 새로운 기술들이 등장하고 있기 때문이다. 이 때문에 피싱 공격에 능숙하지 않은 사람도 경험 많은 피셔가 될 수 있다. 이런 도구들에는 ‘서비스형 피싱(PaaS)’ 키트와, 최근 매우 뜨거운 관심을 받고 있는 인공지능 플랫폼 챗GPT 등이 있다.

“피싱 키트를 구매하기만 하면 초보 해커들도 매우 그럴 듯한 피싱 공격을 실시할 수 있게 됩니다. 요즘 피싱 키트들은 피해 시스템에 설정된 언어에 따라 자동으로 로컬라이징도 합니다. 공격자들 입장에서는 따로 외국어 공부를 하지 않아도 지역과 나라의 구분을 무시하고 광범위한 피싱 공격을 할 수 있게 됩니다.” 스탠스필드의 설명이다.

챗GPT도 매우 우려스러운 기술의 발전이다. 이 챗GPT만 있으면 누구나 순식간에 양질의 콘텐츠를 만들어낼 수 있다. “공격자들은 챗GPT를 이용해 효과적으로 피싱 키트나 도구들, 피싱 웹사이트나 페이지들을 만들 수 있습니다. 피싱 이메일도 챗GPT로 더 빠르고 설득력 있게 쓸 수 있게 되고요. 챗GPT의 경우 외국어 구사가 피싱 키트보다 더 자연스럽기도 하지요. 오타도 안 내고, 어색한 문장도 안 만듭니다.”

그러므로 기업들은 갈수록 늘어나는 피싱 공격에 대비해 가드를 바짝 올려야 한다. “지난 한 해에는 이메일 보안을 뚫고 들어온 공격자 때문에 심각한 데이터 유출 피해를 입은 기업이 70% 정도로 기록됐습니다. 우리가 지금까지 사용하고 있는 전통의 이메일 보안 방법론들로는 제대로 방어를 할 수 없다는 뜻입니다. 새로운 방어 체계가 필요합니다. 특히 인공지능을 기반으로 한 피싱 공격의 강력함에 대응할 수단이 필요하다고 볼 수 있습니다. 알려진 위협과, 알려지지 않은 위협들에 대응할 수 있는 예측형 방어 시스템에 대한 수요가 점점 높아질 것이라고 봅니다.”

베이드의 공동 창립자 아드리엔 젠더(Adrien Gendre)는 “인공지능이 피싱 공격자들을 강력하게 만든다면, 인공지능으로 방어벽을 두텁게 쌓을 수도 있다”고 말한다. “인공지능을 기반으로 수상한 이메일을 미리 파악할 수 있게 될 것이고, 거기서부터는 착한 인공지능과 나쁜 인공지능 사이에서 치열한 싸움이 벌어질 것입니다.”

하지만 기술력만으로 피싱 공격에 대응할 수는 없다. 임직원들의 훈련 또한 빠질 수 없는 방어 요소들이다. “아무리 좋은 솔루션이 있어도 누군가 악성 파일을 다운로드 받거나 악성 링크를 클릭하면 모든 게 물거품이 됩니다. 그러니 사람에 대한 교육을 계속해서 이어가야 합니다.” 보안 업체 테너블(Tenable)의 수석 연구 관리자인 스콧 카베자(Scott Caveza)의 설명이다.

“피싱 공격의 본질은 보안의 가장 약한 고리인 사람을 공략한다는 겁니다. 사람이 강해져야 피싱에 대한 방어가 효과를 보기 시작합니다. 이메일에 속는 것이든 소셜엔지니어링에 당하는 것이든, 결국 사람이 피싱 공격을 간파하고 속아넘어가지 않아야 합니다. 피싱 공격의 최신 유행을 부지런히 알려주고, 모의 피싱 공격을 주기적으로 실시함으로써 단련시키는 게 중요합니다.”

3줄 요약
1. 피싱 공격의 전성시대, 요 근래 눈에 띄게 이어지고 있음.
2. 특히 인공지능이 발전하면서 피싱 공격을 실시하는 게 훨씬 편해지고 있음.
3. 인공지능 공격에는 인공지능 방어가 제격이지만, 사람 대상 교육도 잊지 말아야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)