많은 공격이 악성메일을 이용해 진행된다. 사회공학적 기법의 스피어피싱은 APT 공격 뿐 아니라 개인을 타깃으로 하는 랜섬웨어에도 사용된다. 악성메일을 탐지하는 메일보안 솔루션은 다른 보안 솔루션에 비해 우회하기 쉬우며, 정상 메일로 가장해 사용자를 속이는 것도 용이하기 때문에 이메일을 초기 침투에 활용한다.
SK인포섹 EQST ‘2019 보안위협 전망 보고서’에서는 “이메일이 APT 공격 전개를 위한 전초전으로 사용된다”고 설명했다. 이 보고서에 따르면, 공격자는 메일 자격 증명(Mail Credential)을 탈취해 정상 사용자를 사칭해 악성메일을 전파한다. 메일 수신자는 의심 없이 첨부파일이나 URL을 클릭해 자신도 모르게 악성코드에 감염된다.
이스트시큐리티 ESRC의 보안위협 전망 보고서에서는 스피어피싱 공격이 PC 환경에서 모바일, 태블릿 환경으로 진화할 것이라고 내다봤으며, 공격 방식 역시 압축파일 혹은 악성 매크로를 이용하는 것을 넘어 파워쉘을 이용한 파일리스 공격처럼 탐지하기 어렵고 흔적도 남지 않는 고도화된 방법을 사용할 것이라고 전망했다.
비즈니스 이메일 사기 피해 ‘심각’
우리나라에서는 피해가 크지 않지만, 전 세계적으로는 비즈니스 이메일 침해(BEC) 사고가 심각하다. 미국 FBI 집계에 따르면 BEC로 인한 미국의 피해 규모가 무려 14조원에 이른다. 팔로알토네트워크와 트렌드마이크로 보고서에서는 BEC가 메일 한 통으로 큰 돈을 벌 수 있는 아주 쉬운 공격이라고 설명한다.
BEC 공격자는 기업의 자금담당자에게 거래처 대표이사 혹은 임원을 사칭해 “거래대금 지불 계좌가 변경됐으며, 자금 사정이 급하니 빠르게 자금을 결제해 줄 것”을 요청하는 메일을 보낸다. 자금 담당자는 거래처 메일에 대해 전화 통화 등을 통해 사실을 확인해야 하는데, 임원의 지시에 대해 확인하는 것을 부담스러워 하며 때로 해외 거래처인 경우 시차로 인해 혹은 언어의 문제로 인해 통화가 어려운 상황도 있다.
공격자는 BEC를 위해 자금 담당자의 메일을 훔쳐보면서 대금지급 프로세스를 확인하고 거래처 임원을 사칭해 메일을 보내는 간단한 과정을 거쳐 돈을 훔칠 수 있다. 많은 보안 시스템을 우회할 필요가 없으며, 공격도구를 제작할 필요도 없기 때문에 매우 적은 비용과 노력으로 큰 돈을 벌 수 있다.
SNS 이용 사기·가짜뉴스 성행
페이스북, 인스타그램 등 SNS를 이용한 사기도 심각한 수준이다. 공격자들은 여러 차례 SNS 서비스를 해킹해 개인정보를 유출했으며, 이를 이용해 맞춤형 공격을 펼친다. 이러한 방법 외에도 로맨스 스캠, 몸캠 피싱 등 신종 사기를 통해 많은 피해자를 양산해내고 있다.
유명 정치인, 기업인, 연예인을 사칭한 계정을 이용한 악성코드 유포도 문제다. KISA가 보안기업들과 공동으로 발표한 ‘2019년 주목해야 할 7대 사이버 공격 전망’ 보고서에서 이스트시큐리티는 “유명인 계정을 해킹해 송금을 유도하거나 SNS 가짜 이벤트를 이용한 피싱 사기가 성행하고 있다. 2019년에는 유명인 SNS 계정 해킹으로 대규모 악성코드를 유포하거나 허위 프로필을 이용한 미인계 SNP(Social Network Phishing), SNS 메신저 이용 맞춤형 APT 등이 발생할 것”이라고 지적했다.
이 보고서에서 하우리는 ▲AI로 강화된 개인 맞춤형 스피어피싱 메시지 공격 등장 ▲가짜뉴스 등 자극적 이슈 소재로 악성코드 유포 ▲보안에 취약한 중소기업 대상 APT 공격 등이 발생할 것이라고 경고했다.
최근 공격자의 수익을 올리는 방법 중 하나가 가짜뉴스다. 정치적 목적으로 정부나 국가, 정치조직, 혹은 기업의 후원을 받아 진행되며, 중요한 선거가 있을 때, 혹은 경쟁사가 신제품을 출시할 때 등 다양한 상황에서 여론을 조작한다.
맥아피의 ‘2019년 보안위협 예측 보고서’에서 “기만적 메시지를 확산시킬 수 있는 봇넷이 사이버 범죄를 위해 지하시장에서 거래되고 있다. 대중의 여론 조작을 위해 저질러진 악명 높은 범죄들을 추적해 보면, 사이버 범죄자들이 봇넷 및 네가티브한 소셜 미디어 캠페인을 통해 공격 대상 기업 브랜드에 부정적인 영향을 끼칠 수 있음을 보여준다”고 지적했다.
