[데이터넷] 이메일에 악성코드, 악성문서, 악성링크를 첨부하는 방식의 스피어피싱은 줄어들고 사회공학 기법을 이용한 이메일만으로 금품을 갈취하는 비즈니스 이메일 침해(BEC)가 늘어나고 있다. 특히 정상적인 이메일 커뮤니케이션에 자연스럽게 끼어들어 범죄자에게 송금하도록 하는 지능적인 공격도 발견되고 있다.

트렌드마이크로 ‘2019 클라우드 앱 보안 결과 보고서’에 따르면 지난해 트렌드마이크로가 마이크로소프트와 구글 클라우드 기반 이메일 서비스를 사용하는 기업을 대상으로 위협 방어 서비스를 제공한 결과를 분석한 결과, 트렌드마이크로가 2019년 한 해 동안 차단한 이메일 위협 중 21%(약 38만6000건)이 BEC였는데, 이는 2018년 7%보다 세배 가까이 늘어난 것이다.

미국 FBI는 지난해 BEC로 인한 손해는 전체 사이버 범죄 피해액의 절반에 이르는 17억달러에 이른다고 보고한 바 있다. BEC는 이메일에 가짜 송장이나 거래대금 요청, 선물카드, 스타트업 투자요청서 등을 이용해 대금을 갈취한다.

트렌드마이크로 앱시큐리티가 탐지한 전체 BEC 시도는 2018년 10만명에서 2019년 40만명으로 급증했는데, 트렌드마이크로는 AI와 머신러닝을 이용해 BEC 탐지 비율을 2018년 7%에서 2019년 21%로 끌어올렸다.

클라우드 자체 보안 우회 공격 1270만건

트렌드마이크로가 ‘스마트 프로텍트 네트워크(SPN)’ 인프라를 통해 탐지한 이메일 위협은 전년대비 14% 늘어난 470억건이었으며, 이 중 오피스365, 익스체인지 온라인, 원드라이브 포 비즈니스, 쉐어포인트 온라인, 지메일, 구글드라이브 등에서 탐지된 위협은 1270만건여건에 달한다. 이 중 피싱 메일이 89%(약 1100만건), 멀웨어는 95만5000건으로 전년대비 다소 감소한 수치를 기록했다.

보고서는 “이메일 위협이 클라우드로 이동하면서 클라우드 사업자가 제공하는 보안에 의존하고 있다. 일부 타사 이메일 게이트웨이를 사용하고 있지만, 수많은 위협이 이러한 보안 필터를 통과하고 있다”며 “특히 BEC 공격이 늘어나고 있다는 점이 우려스럽다. BEC는 한 번의 공격 만으로도 조직에 상당한 재정손실을 초래할 수 있다”고 지적했다.

특히 보고서는 중소·중견기업에 대한 이메일 위협에 경고했는데, 1000명의 지메일 사용자가 있는 한 고객에 대해 트렌드마이크로 클라우드 앱 시큐리티가 탐지한 고위험 이메일은 900개에 이르렀다. 거의 한 사람당 한 건의 공격을 당했다는 뜻이다. 8만명의 오피스365 사용자가 있는 조직의 경우 마이크로소프트 메일 보안 필터를 통과한 메일 중 550만건이 고위험 이메일로, 개인당 평균 7개의 악성메일을 수신했다.

탈취된 오피스365 계정서 악성메일 150만건 발송

보고서에서 주목한 또 다른 위협은 클라우드 앱 자격증명 탈취 시도였다. 오피스365 관련 피싱 링크가 크게 늘고 있으며, 관리자 계정 탈취 시도를 통해 오피스365 도메인과 연결된 모든 계정을 통제하고자 했다. 또한 클라우드 공유를 악용하는 사례도 늘어났는데, 예를 들면 가짜 마이크로소프트 사이트의 하위 도메인에 가짜 쉐어포인트, 원노트 온라인 페이지를 통해 자격증명을 탈취하는 시도가 탐지됐다.

지난해 탐지된 자격증명 피싱 시도는 전년대비 35% 증가했으며, 알려지지 않은 피싱 링크를 이용하는 공격이 전체 탐지된 자격증명 피싱의 44% 이상 차지했다. 알려지지 않은 링크를 이용해 안티바이러스 등 보안 솔루션의 탐지를 피하고자 한 것이다.

탈취한 계정은 다른 공격에 사용되는데, 지난해 탈취된 오피스365 계정에서 한 달 150만건의 악성메일을 보낸 것이 탐지된 바 있다. 탈취된 계정은 수신자 입장에서는 정상 계정에서 발송한 것으로 인식하기 때문에 의심없이 메일을 열어보고 송금하거나 멀웨어를 실행시킬 수 있는 행위를 하게 된다.

또한 공격자는 단일 URL이나 IP 주소를 사용해 이메일을 보내지 않고 퍼블릭 클라우드 인프라와 호스팅된 클라우드 인프라를 사용해 공격을 합법적으로 보이도록 한다. 더불어 이메일 커뮤니케이션이 진행되는 과정에서 이메일 회신을 통해 공격을 진행해 의심받지 않고 공격을 이어갈 수 있게 한다.

더욱 지능화되는 멀웨어

멀웨어를 이용하는 공격은 여전히 높은 비중을 차지하고 있지만 멀웨어 증가세는 차츰 줄어들고 있다. 2018년 발견된 멀웨어가 100만개, 2019년에는 960만개였다. 탐지된 신종 멀웨어는 줄어들고 있지만, 멀웨어에 탑재된 기능은 더욱 더 교묘해졌다.

악성 문서에 난독화된 멀웨어를 숨겨 탐지와 분석을 회피하는가 하면, HTML 응용프로그램과 다형성 백도어를 이용하고 속성을 지속적으로 수정하면서 보안 시스템을 무력화한다. 악성 ISO 파일과 스테가노그래피, 원격 액세스 트로이목마 등을 사용하고 있다.

피싱 웹사이트는 탐지를 피하기 위해 HTTPS 암호화 통신을 이용하는데, 이러한 양상이 2019년 1분기 58%로 증가한 것으로 나타났다. 또한 피싱 캠페인에서 대상이 된 웹사이트는 난독화된 소스코드를 통해 보안 분석 시스템을 우회한다.

기업·기관 뿐 아니라 일반인, 특히 유명 인플루언서를 이용하는 공격도 크게 늘고 있다. 트렌드마이크로가 발견한 한 공격 캠페인은 인스타그램을 이용한 것이었는데, 7만명의 팔로어를 보유한 인스타그램 사용자의 계정이 탈취당해 방문자가 계정탈취를 위해 설계된 악성 웹사이트를 방문하도록 유도했다.

다중 계층 클라우드 보안 솔루션 필수

이 처럼 지능화된 이메일 위협에 대응하기 위해 트렌드마이크로는 다음과 같은 조치를 취할 것을 권고했다.

▲단일 게이트웨이에서 다중 계층 클라우드 애플리케이션 보안 솔루션으로 전환

▲오피스 365·PDF 문서에 숨겨진 멀웨어를 탐지하기 위한 샌드박스 멀웨어 분석, 문서 악용 탐지, 파일 및 이메일 그리고 웹 평판 기술 도입 고려

▲클라우드 이메일 및 관련 앱 전반에 걸쳐 정보 유출 방지(DLP) 정책 도입

▲클라우드 플랫폼에 원활하게 통합해 사용자·관리 기능을 유지할 수 있는 보안 파트너 선택

▲포괄적인 최종 사용자 인식 및 트레이닝 프로그램 개발

김진광 한국트렌드마이크로 지사장은 “기업은 생산성 향상, 비용 절감과 성장을 이루기 위해 SaaS 기반 애플리케이션을 활용하고 있다. 그러나 이 과정에서 기본적으로 탑재된 보안에만 의존한다면 위협에 노출될 수 있다”고 경고했다.

이어 그는 “트렌드마이크로가 보고서를 통해 밝힌 바와 같이 기본적으로 탑재된 보안만으로는 현 사이버 범죄자들을 제어하는데 한계가 있다. 기업은 클라우드 보호에 대한 주인 의식을 갖고 다중 계층 보안을 제공하는 써드파티 보안 전문 솔루션을 도입해 플랫폼의 본질적인 보안 기능을 향상시켜야 한다“고 덧붙였다.

김선애 기자 다른기사 보기