보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

여름 휴가철이 다가오면 반드시 꼬이기 시작하는 피싱 공격자들

입력 : 2023-05-30 15:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
여행을 떠날 시간이 다가오고 있다. 피싱 공격자들은 미리부터 당신들의 여행을 위해 여러 가지를 준비했다.

[보안뉴스 문가용 기자] 여름 휴가 시즌이 다가오면서 ‘여행’을 테마로 삼은 피싱 공격이 증가하고 있다. 보안 업체 맥아피(McAfee)가 최근 조사한 바에 따르면 30%의 성인들이 이런 식의 피싱 공격에 직접 당했거나, 당한 사람을 알고 있다고 한다. 피해자의 2/3는 최대 1천 달러의 피해를 입기도 했다.

[이미지 = gettyimagesbank]


보안 업체 피싱방어센터(Phishing Defense Center, PDC)가 발표한 보고서에 따르면 최근 급증하는 피싱 공격들은 주로 인사부(HR)를 사칭한 것으로, 고용인과 피고용인 사이의 신뢰 관계를 악용하는 원리를 가지고 있음이 분석됐다. 회사를 사칭한 공격자들이 피해자에게 휴가 요청서 제출 링크를 보내면, 피해자들은 의심 없이 링크를 클릭함으로써 자신의 휴가 계획을 회사에 알림으로써 사실은 공격자들에게 정보를 전송하게 됐다.

이는 일종의 BEC 공격으로, 피싱 공격이 최근 어떤 식으로 진화하고 있음을 고스란히 드러낸다. “인사부에서 보낸 듯한 링크를 피해자가 클릭할 경우, 피해자의 회사 홈페이지의 로그인 화면이 나타납니다. 당연하지만 보이지 않는 레이어가 덧입혀진 것으로, 일종의 오버레이 공격이라고 할 수 있습니다. 피해자는 회사 페이지에 로그인을 하고 있다고 생각하지만 사실은 그 오버레이에 자신의 정보를 입력하게 됩니다.”

이는 두 가지 피싱 전략을 하나로 합친 것이다. 회사와 직원들 간의 커뮤니케이션을 중간에서 스푸핑하는 공격이 하나고, 여행과 휴가를 테마로 한 미끼를 투척하는 것이 다른 하나다. “공격자들은 일반적인 회사에서 진행하는 휴가 신청과 접수 프로세스를 잘 알고 있는 듯합니다. 그리고 그것을 그대로 모방하여 피해자들을 속이고 있습니다. 속기에 쉬운 공격입니다.”

휴가라는 말에 모든 사람이 혹하고
보안 업체 혹스헌트(Hoxhunt)의 CEO 미카 알토(Mika Aalto)는 “이는 매우 고도화 된 크리덴셜 수거 전략”이라고 평가한다. “소셜엔지니어링 공격을 가능하게 하는 건 ‘신뢰’입니다. 이 ‘신뢰’ 때문에 허술하게 작성된 가짜 이메일이나 메시지에도 사람들은 속는 것입니다. ‘휴가’라는 지금 시즌에 딱 맞는 흥미로운 소재에, 인사부서가 늘 하던 일을 그대로 본 딴 공격 방식이니 신뢰하지 않을 수 없습니다.”

알토는 “피싱 공격은 계속해서 고도화 되고 있다”고 경고를 이어가기도 한다. “이제는 소셜미디어, 문자 메시지, 심지어 전화까지 직접 해서 피해자를 속이려 듭니다. 그리고 앞으로 변화는 계속될 것이고요. 심지어 인공지능 기술과 자동화 기술까지 더해 더 그럴듯한 공격을 이어가려 할 겁니다. 여러 가지 기법을 복합적으로 차용하기도 할 것이고요.”

문자 메시지를 통한 피싱 공격
여름 휴가철에 여름 휴가를 미끼로 한 피싱 공격은 예로부터 성공률이 높았다. 보안 업체 슬래시넥스트(SlashNext)의 CEO 패트릭 하(Patrick Harr)는 “여러 가지 응용 버전들까지 등장하는 바람에 더욱 성공률이 좋아지고 있다”고 말한다. “최근 여러 항공사와 여행사들이 여행객들이 보다 편안하고 안전하게 각종 탈 것들과 방을 예약하도록 문자 메시지나 앱을 통해 돕고 있습니다. 공격자들은 이미 이 점을 악용하고 있기도 합니다.”

호텔이나 여행사, 항공사에서 예약 고객들에게 직접 문자를 보내는 게 흔한 일이 되다보니 공격자들이 흉내 낼 것이 더 많아졌다는 뜻이다. “그래서 여행을 테마로 한 각종 피싱 공격의 기법이 더 풍부해졌습니다. 이메일을 통해 속이려 하는 것은 물론이고, 웹을 기반으로 사기 행각을 벌이고 소셜미디어와 문자 메시지까지 활용합니다.”

여행객들의 공통점은 그 동안 연락을 주고받지 않은 자(호텔, 여행사 등)와 갑자기 문자를 교환하는 일들이 생긴다는 것이다. 그러므로 ‘낯선 것은 의심부터 하고 봐야 피싱 공격에 당하지 않는다’는 명제가 깨질 수 있게 된다. “공격자가 보낸 문자든 여행사가 보낸 문자든 낯선 건 마찬가지죠. 경계심이 흐트러지기 쉽습니다. 뿐만 아니라 여행지에서 낯선 와이파이에 연결할 확률도 높아지죠. 그러므로 이에 대한 경계심도 낮아질 수밖에 없습니다.” 그래서 패트릭은 “익숙하지 않은 와이파이에 함부로 연결하지 말고, 만일 통신망이 필요하다면 셀룰러 망을 이용하든가 VPN을 사용하는 게 좋다”고 말한다.

여행 상품 할인이라는 완벽한 피싱 미끼
여행만큼 사람들이 좋아하는(잘 걸려드는) 피싱 미끼가 있는데, 그건 바로 ‘할인’이다. 무료 혜택이 떴다고 하면 무조건 클릭하고 보는 사람들이 대단히 많다. 그러니 각종 여행 상품들을 파격적으로 할인한다고 하면 어떨까? 피싱 효과가 크게 높아진다. “여행은 돈이 많이 들어가는 활동입니다. 여행 장비는 물론 각종 탈 것, 숙박 시설, 기념품 등 적잖은 돈을 써야 하죠. 그러니 은근 부담이 됩니다. 이럴 때 여행 상품을 할인해 준다고 하면 궁금함을 견디기 힘듭니다.”

이런 류의 함정에 빠지게 되면 엉뚱한 상품에 결제를 하게 되어 금전적 손해를 입기도 하고, 결제까지 가지 않더라도 결제 페이지까지 도달하는 데 필요한 크리덴셜을 도난 당하기도 한다. 그 외에 결제에 필요한 각종 민감 정보가 공격자들의 손에 넘어가기도 한다.

“다크웹은 수억 달러에 달하는 시장입니다. 그리고 그 시장에서 가장 많이 거래되는 건 ‘탈취된 데이터’이고요. 데이터가 다크웹의 부유함과 풍족함의 근간이 되는 자원이라는 것이죠. 그러므로 이 데이터를 도난 당하는 것도 꽤나 심각한 일이라는 것을 기억해야 합니다. 돈 잃지 않았으니 괜찮다고 하는 건 매우 단시안적인 생각입니다. 다크웹이 계속해서 성장하면 결국 사이버 공간 전체가 결국 위험한 뒷골목으로 전락하게 될 것입니다.”

3줄 요약
1. 여름 시즌 다가오면서 여행을 테마로 한 피싱 공격 급증.
2. 인사부에서 보내는 휴가 신청서를 본 딴 피싱 공격 때문에 속는 사람 다수.
3. ‘휴가’에다가 ‘할인’까지 겹쳐버리니 더 속기 쉬운 공격이 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)