[2019 Hot News] ‘손 안대고 코 푸는’ 사이버 공격자…신뢰 이용 피해 유도
상태바
[2019 Hot News] ‘손 안대고 코 푸는’ 사이버 공격자…신뢰 이용 피해 유도
  • 김선애 기자
  • 승인 2019.12.27 09:20
  • 댓글 0
이 기사를 공유합니다

신뢰받는 기관·기업 사칭해 공격 … 제로 트러스트 기반 보안 습관 필수

[데이터넷] “안녕하세요. 미국 평화연구소 ○○○ 연구원입니다. 도움이 필요해서 연락드립니다”라는 메시지가 모바일 메신저를 통해 전달됐다. 상대방은 북한 이탈주민을 돕는 단체에서 활동하고 있으며, 보안 앱으로 대화하자고 제안한다. 구글 플레이스토어에 등록된 앱을 다운받게 하거나 별도 URL 링크를 보내 앱을 설치하도록 한다. 이 앱은 정상적인 암호화 메신저로 보이지만 실제로는 개인정보를 탈취하는 악성 앱이다.

북한 이탈주민 지원 단체로 위장하는 사이버 스파이가 등장하고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)가 추적하고 있는 APT 공격 ‘드래곤 메신저’는 이탈주민, 대북 관련 기관 종사자와 전문가 등을 타깃으로 이메일을 보내거나 북한 관련 전문 언론의 댓글, 각종 SNS 활동을 통해 북한이탈주민 모금운동을 알린다.

해당 사이트에서는 보안을 위해 별도의 안드로이드 앱을 설치해야 한다고 안내한다. 현재 구글 플레이에 등록된 악성앱은 삭제됐지만, 공격자가 안내하는 URL을 통해 다운받을 수 있다.

사회적 이슈 악용하는 공격자
드래곤 메신저는 ‘신뢰’를 악용한다. 공격 대상은 ‘북한 이탈 주민을 돕는다’는 말을 믿고 앱을 설치해 공격 거점을 만들어준다. 이처럼 공격자들은 신뢰할 수 있는 사람이나 공식 기관을 사칭해 피해자를 유인한다. 가족·친구로 위장하거나 공식 정부기관, 포털사이트, 기업 등으로 위장해 피해자의 의심을 피해간다.

마이크로소프트, 드롭박스 등 유명기업을 이용하기도 한다. ‘아카마이 2019 인터넷 현황 보고서’에 따르면 공격자들은 마이크로소프트, 페이팔, DHL, 드롭박스 등을 사칭해 이메일이나 메신저를 통해 연락해 타깃을 속인다. 공격자들이 사용하는 방법이나 공격 키트는 짧은 기간 동안 활동하기 때문에 시그니처 기반 보안 솔루션으로 막을 수 없다.

특정 기간 사회적인 이슈를 이용하는 공격도 꾸준히 발견된다. 남북 정상회담, 북미 정상회담, 한일 경제갈등이 불거졌을 때 이와 관련된 내용의 보고서, 언론 보도자료 및 해명자료, 토론회 참석 등의 내용으로 위장해 업계 종사자와 전문가를 속인다.

일반인을 대상으로는 급여일에 맞춰 급여명세서를 사칭한 악성파일을 보내고, 인사담당자에게 이력서를 보내며, 암호화폐 거래소 이용자를 대상으로 암호화폐 보상 프로그램을 안내하는 내용의 이메일을 보낸다. 택배, 저작권 위반, 검찰 출석 요구, 의심스러운 로그인 시도 등 다양한 내용의 메일과 문서를 보내 사람들이 의심하지 않고 메일 본문의 링크를 클릭하거나 문서를 열어보게 한다.

임원을 사칭해 무역 관련 대금을 가로채는 비즈니스 이메일 침해(BEC)는 한층 더 진화했다. 급여 담당자에게 해당 기업의 임원을 사칭해 급여 통장이 바뀌었다고 알리면서 공격자의 계좌로 급여를 입금할 것을 요청한다. 사칭 메일은 해당 임원의 이메일 계정을 탈취했거나 유사하게 만든 것이다.

공급망 공격·적대적 머신러닝 위험
신뢰를 악용하는 공격은 이메일에만 국한하는 것은 아니다. 정상 소프트웨어 패치를 통한 공급망 공격도 있다. 공격자들은 소프트웨어 개발사의 코드사인 인증서를 탈취해 위조된 패치에 코드사인 해 정상 소프트웨어로 인식되도록 한다. 이미 여러 차례 국내 보안 기업 인증서가 탈취돼 큰 혼란을 겪은 바 있다.

매니지드 서비스, 써드파티 파트너를 이용하는 공급망 공격도 등장한다. 외부에서 개발된 서비스를 별도로 검증하지 않고 사용한다는 점을 악용한다. 클라우드의 빠른 개발·적용을 위해 사용되는 도커 컨테이너도 취약점을 검증하지 않고 사용한다는 점을 이용, 취약점을 심한 컨테이너를 도커 허브에 올리고 이를 기업이 적용하도록 한다.

머신러닝을 이용한 공격도 신뢰를 악용하는 것이다. 머신러닝이 대량의 오염된 데이터를 학습하도록 해 실제 공격을 정상 트래픽이라고 인식하도록 한다. 공격자들은 머신러닝을 이용해 보안 기술을 자동으로 분석하고 우회 공격 방법을 찾아내기도 한다.

신뢰를 악용하는 공격에 대응하는 방법은 ‘제로 트러스트’ 원칙에 입각한 보안 습관을 들이는 것이다. 꺼진 불도 다시 보는 심정으로, 신뢰할 수 있는 사람과 기관이 보낸 메일이라도, 메일 주소가 정확하게 일치하는지 살펴보고 평소와 다른 표현이나 내용이 있다면 반드시 다시 확인해야 한다.

외부 링크를 클릭할 때에는 정상 링크인지 확인하고 보안 검사를 수행해야 하며, 문서를 열 때 매크로를 실행하지 않는 것이 좋다. 신뢰할 수 없는 사람이 보낸 메일이나 의심스러운 웹 링크를 클릭하지 않는 것은 기본적인 보안 수칙이다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.