암호화폐 거래소 빗썸이 스피어피싱 기법으로 해킹 당했을 가능성이 점쳐지고 있다. 스피어피싱은 정상 이메일로 위장한 공격으로, 최근 가상화폐 거래소 직원과 투자자 등에게 공문서로 위장한 악성메일이 전달된 정황이 발견된 바 있다.
스피어피싱의 가장 대표적인 공격 사례가 지난 2016년 발생한 인터파크 개인정보 유출 사고로, 한 직원에게 악성 메일을 보낸 것이다. 해당 메일은 동생을 사칭한 공격자가 가족사진을 이용한 화면보호기 프로그램을 첨부했던 것이다.
스피어피싱은 타깃 사용자의 이메일 주소를 입수한 후, 업무와 연관된 내용이나 개인적으로 관심있을만한 내용을 정교하게 위장해 이메일을 보낸다. 첨부파일이나 메일 본문에 악성링크 혹은 악성파일을 숨겨 사용자 PC를 감염시킨 후 내부망으로 접근하는 방식을 택한다.
스피어피싱은 쉽게 타깃 사용자를 감염시킬 수 있으며, 망분리된 환경이라 해도 관리되지 않는 망연계 구간의 취약점을 이용해 내부망으로 진입할 수 있다. 내부망 진입에 성공한 공격자는 주요 시스템 관리자 계정을 탈취해 정보를 수집해 외부로 보내게 된다.
“침해사고 사례 공유해 더 큰 피해 막아야”
정교하게 설계된 타깃 공격은 한 가지 기술만으로는 막을 수 없다. 공격은 악성메일 뿐 아니라 웹사이트 취약점, SNS, 각종 스팸 메일, 방치된 취약점 등 다양한 방법을 이용해 진행된다.
특히 한 번 성공한 공격 기법은 다른 기관을 타깃으로 공격을 시도한다. 업데이트 서버를 이용해 악성코드를 유포하는 공격은 2016년 국내 주요 정부기관에서 수시로 발생한 바 있다. 워너크라이 랜섬웨어에 이용됐던 이터널블루 취약점은 아직도 패치 되지 않은 시스템을 노리고 공격 활동을 진행하는 것으로 보고되고 있다.
황보성 한국인터넷진흥원(KISA) 사이버침해대응단장은 “주요 기관/기업을 노리는 공격은 이전에 발생한 공격이나 최근 유행하는 공격을 이용하는 경우가 많아 침해사고 사례를 공유하고 대응책을 적용해 더 큰 피해를 막을 수 있다”고 말했다.
그는 올해 상반기 발생한 주요 침해사고로 ▲암호화폐 거래소 해킹과 암호화폐 채굴 악성코드 유포 ▲갠드크랩 랜섬웨어와 같이 이력서·택배 등 정상 문서로 위장해 유포되는 랜섬웨어 ▲IoT 기기를 노리는 악성코드 ▲협력업체를 통해 주요 기관으로 잠입하는 공동망 공격 등을 들었다.
이러한 사고가 발생하면 KISA를 비롯한 유관기관과 민간업체들이 공동조사를 펼치면서 공격에 사용한 도구 및 취약점, 공격 방법 등을 알아내고 공격 확산과 추가 피해를 막는 한편, 이 사례와 대응 방안을 정부 기관 및 일반 기업에 안내한다.
또한 KISA는 각국 침해대응 전문팀과 협력하고, 국내외 보안 기업과 정보를 공유하는 커뮤니티(C-TAS, CAMP) 활동을 통해 국내외에서 발생하는 중요 침해사고에 전제적으로 대응한다.
황보성 단장은 “KISA 사이버침해대응본부(KISC)는 디도스 대응, 악성코드 유포지 조사, 주요 기관 해킹 사례 공유 등의 활동과 국내 사이버 보안 예방을 위한 종합상황실을 운영하고, 침해사고 발생 시 분석과 대응 등의 업무를 수행한다”며 “발생한 침해사고의 사례를 공유해 유사한 피해를 입지 않도록 도와주는 것도 KISC의 주요 업무”라고 설명했다.
머신러닝으로 메일 기반 공격 방어
정교한 타깃공격 외에 일반인을 괴롭히는 것 중 하나가 스팸이다. 스팸은 이메일 뿐 아니라 휴대전화 음성, 문자 메시지와 이미지, SNS, 모바일 메신저 등 다양한 방법으로 유포되며, 지능형 공격 기법을 사용해 기존의 차단 방법으로 막기 어려워지고 있다.
한국인터넷진흥원(KISA)에 신고된 스팸 사례는 2011년 5308만건에서 2017년 3051만건으로 줄었다. 2014년 1434만건으로 가장 낮았다. KISA는 2015년부터 휴대전화를 이용해 간편하게 스팸을 신고할 수 있게 되면서 신고 건수가 늘어난 것으로 분석했다.
KISA는 스팸으로 인한 피해와 불편을 근절하기 위해 허니팟과 같은 스팸 공격자 탐지 시스템을 운영하고, 메일 서버 등록제, 화이트리스트 등을 운영하며 스팸 발송자를 추적한다. 통신사 등 정보통신 서비스 제공 사업자에 신고된 스팸 정보를 제공해 사업자가 차단할 수 있도록 지원한다. 향후 KISA는 머신러닝 기술을 이용해 진화하는 스팸 전송 기법을 차단할 방침도 밝혔다.
봉기환 KISA 스팸대응팀장은 “최근 스팸 발송자들은 스팸 차단 기술로 필터링되지 않도록 지능적으로 진화하고 있다. KISA는 머신러닝 기술을 이용해 새로운 유형의 스팸을 학습시켜 효과적으로 대응하겠다”고 말했다.
