> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[사회공학 기법 공격①] SNS 이용하는 공격자
사람 심리·습관·사회적 이슈 이용하는 공격자…정상 사용자로 활동하면서 은밀히 공격 수행
     관련기사
  [사회공학 기법 공격②] 사이버 면역력 필요하다
  [사회공학 기법 공격③] 다양한 기술로 위협 제거
  파이어아이 “이란 정치적 이익 위한 여론조작 발견”
  “프리랜서 위장한 공격자 통해 공급망 공격 등장 가능”
2019년 07월 01일 08:31:53 김선애 기자 iyamm@datanet.co.kr

[데이터넷]‘아웃소싱 공격’이라는 새로운 형태의 공급망 공격이 등장할 가능성이 제기됐다. 개발자로 위장한 공격자가 프리랜서 마켓을 통해 소프트웨어 개발 업무를 수주 받아 백도어를 숨겨 소프트웨어를 납품해 공격을 진행했을 가능성이 있다는 주장이다.

문종현 이스트시큐리티 이사는 “소프트웨어 개발 시 프리랜서 개발자나 아웃소싱 업체를 통해 특정 기능을 공급받는 경우가 있는데, 이 때 개발 완료된 소프트웨어를 제대로 점검하지 않으면 침해당할 가능성이 높다”며 “납품받은 결과물을 신뢰할 수 있는지 무결성 검증을 반드시 거쳐야 한다”고 강조했다.

이제 공격자들은 비밀 메신저와 다크웹 등에만 숨어있지 않으며, 공개 SNS와 오픈마켓, 재능 공유 서비스 등을 적극 이용한다. 유명 연예인과 정치인, 언론인 등을 사칭해 피싱 메시지를 전파하거나 가짜 뉴스를 퍼트리는 것도 공격자들이 자주 사용하는 기법이다.

파이어아이가 추적하는 이란 공격집단 중에서는 가짜 SNS 계정을 통해 여론조작을 시도하는 사례가 다수 발견됐다. 파이어아이가 공개한 한 사례는 미국의 공화당 정치 후보자를 사칭한 SNS 계정을 만들고 인터뷰를 조작해 이란의 정치적 이익을 지지하는 여론을 만드는데 활용했다.

사회적 이슈 이용하는 공격자

사회공학 기법을 이용하는 이메일 피싱 공격은 꾸준하게 ‘애용되어 온’ 공격 수법이다. 이력서, 택배 송장, 견적서 등으로 위장하는 것은 흔한 일이며, 최근 암호화폐 가치가 다시 급등하면서 암호화폐 투자 관련 내용으로 위장한 악성문서도 활발하게 유포되고 있다. 명절, 휴가철을 이용한 공격도 변함없이 발생한다. 본격적인 휴가철을 맞아 저렴하고 깨끗한 숙소를 찾는 사람들을 유인하는 시도가 발견되고 있다.

악성 문서와 가짜 서비스 사이트는 외관상 위조된 것이라고 생각하지 못할 만큼 정교하게 만들어진다. 실제와 동일한 서비스로 보이도록 위장하고 있으며, 저가 혹은 무료 SSL 인증서까지 사용해 ‘https’로 시작하는 암호화 웹사이트로 제작해 사용자를 안심시키게 한다.

   
▲최근 암호화폐 가치가 다시 급등하면서 이를 이용하는 피싱 메일이 활발하게 유포되고 있다. 상기 이미지는 이스트시큐리티가 발견한 피싱메일 사례.

온라인 쇼핑몰의 장바구니에서 고객의 지불결제 정보를 훔치는 ‘메이지카트(Magecart)’라는 공격그룹이 있다. 이들은 온라인 쇼핑몰 장바구니 시스템을 해킹해 소스코드를 수정하거나 악성코드가 호스팅 된 웹사이트로 사용자를 리다이렉트 시킨다. 영국항공, 포브스, 티켓마스터, 미국 대학 캠퍼스 구내 서점 수천개 등이 메이지카트 공격으로 많은 피해를 입었다.

시만텍이 ‘폼재킹’ 공격이라고 명명한 또 다른 공격은 온라인 구매 사이트의 결제 페이지에서 사용자 정보를 훔친다. 결제 사이트의 카드 정보를 입력하는 위치를 알아내 해당 위치에 입력되는 정보를 훔치는 방법으로, 매달 4800개의 웹사이트가 감염된다.

최재우 시만텍코리아 이사는 “사회공학적 기법은 날이 갈수록 지능화되어 정상 서비스처럼 정교하게 설계된 메일과 웹사이트를 통해 사용자에게 피해를 입힌다. 또한 수익을 극대화 할 수 있는 시기와 공격 방법을 선택하고, 사용자들을 안심하게 만든 후 공격을 진행하고 있다”고 설명했다.

웹·이메일 이용 공격 가장 많아

F5네트웍스가 조사한 바에 따르면 2021년까지 사이버 범죄가 기업에 연간 6조 달러의 손실을 일으킬 것으로 보인다. 그러나 대부분의 사람들이 해킹으로 인한 피해자가 될 것이라고 생각하지 않는다. 그 이유는 대부분의 공격이 웹과 이메일을 통해 정상 사용자, 정상 서비스로 위장해 진행되기 때문이다. 랜섬웨어나 전자금융사기와 같이 직접적인 피해가 발생하지 않으면 사용자들은 피해를 입었는지도 인지하지 못한다.

허효승 소프트와이드시큐리티 기술본부 이사는 “최근 수 년 동안 사회공학 기법을 이용한 공격 이슈가 끊임없이 발생되고 있다. 이에 대응하기 위한 방법을 지속적으로 제안하고 있으며, 방어 기술도 제공되고 있지만 피해는 줄어들지 않고 있다”며 “단편적인 기술이나 사용자의 주의 만으로 이러한 공격을 막는 것은 역부족”이라고 주장했다.

사회공학 기법은 10여년 동안 효과적인 공격 전술로 기록되어 왔는데, 익시아 ‘2019 보안 보고서’에서는 인간이 가장 약한 링크이기 때문이라고 설명하고 있다. 피싱은 기술에 정통한 전문가라도 완벽하게 피해갈 수 없다. 이 공격은 메일 보안 시스템, 웹 스캐너가 탐지하는 시간 동안 활동하지 않도록 설계하고, 이러한 보안 탐지 기술을 통과한 다음에야 활동하기 때문에 단순한 보안 전략으로 방어할 수 없다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  사회공학 기법, 해킹, APT, 타깃 공격, 보안, 아웃소싱 공격, 스피어피싱, 워터링홀
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr