탐지 우회 기술 탑재한 지능화된 랜섬웨어 등장
[데이터넷] 정교한 사회공학 기법을 이용하는 비즈니스 이메일 침해(BEC) 공격이 지난해 35% 증가한 것으로 나타났다. 트렌드마이크로의 ‘이메일 위협 환경 보고서(Email Threat Landscape Report)’에 따르면 트렌드마이크로가 탐지한 BEC가 2022년 38만4000여건으로 전년대비 35% 증가했으며, 이 중 안티스팸 엔진을 통해 탐지한 것이 25만여건으로 전년 대비 66% 늘었다.
BEC는 AI·딥페이크 기술 발전으로 인해 더욱 피하기 어려운 사기사건으로 지목되고 있다. 실제로 지난해 공격자들은 바이낸스 임원의 홀로그램을 만들어 피해자들을 사기꾼의 회의에 참석시키기도 했다. 트렌드마이크로는 챗GPT와 같은 AI 기술이 사이버 범죄를 더 쉽고 대중화하고 있다고 지적했다.
피싱 공격으로 인한 피해도 심각하다. 트렌드마이크로는 지난해 피싱 공격이 45% 증가했으며, 특히 코로나19 규제 완화로 이와 관련된 피싱 사기가 크게 늘고 있다. 더불어 암호화폐, 정치적 불안정 등을 이용하는 공격이 늘고 있는데, 우크라이나 전쟁을 언급하면서 어린이에게 기부를 요청하는 사기 캠페인도 발견되고 있다. NFT와 암호화폐 사용자를 겨냥한 공격도 다수 탐지됐는데, 가짜 NFT 이메일 오퍼 사기, 수동으로 암호지갑 업데이트 등의 공격도 나타났다.
악성코드 탐지 우회 위한 HTML 스머글링 증가
지난해 트렌드마이크로가 발견한 이메일 위협은 800억여개에 이르며, 이 중 4000만여개가 고위험 이메일이었다. 여기에 포함된 멀웨어 파일은 전년대비 29% 증가한 430만여개이며, 알려지지 않은 악성 프로그램은 46% 증가한 380만여개, 알려진 악성코드는 26만여개에 이른다. 트렌드마이크로는 마이크로소트트가 매크로 프로그램 실행을 차단하면서 알려진 악성코드가 선제적으로 제거돼 알려진 악성코드 탐지율이 줄어들었다고 설명했다.
공격자들은 알려지지 않은 악성코드를 효과적으로 배포하기 위해 HTML 스머글링(HTML smuggling)과 같은 공격을 전개하고 있다. 이 공격은 HTML5와 자바스크립트를 이용해 페이지 방문 혹은 HTML 열람 시 HTML이 포함된 파일이 바로 다운로드 된다. 이메일에 Zip 파일로 보내 사용자가 열어보면 ISO 파일이 실행되며, 여기에 멀웨어를 로드하는 LNK 파일이 포함돼 있다.
개인정보 탈취를 위한 사회공학 기법 공격도 진화하고 있다. 지난해 페이팔 결제 요청 송장에 트렌드마이크로 이름을 활용한 공격이 발견되는가 하면, 일본, 호주 등을 목표로 한 APT 그룹 ‘어스 프리타(Earth Preta)’가 가짜 구글 계정과 구글 드라이브 링크 포함 스피어피싱 메일을 이용해 공격을 진행했다.
랜섬웨어 공격자들의 수익이 크게 줄어들면서 지난해 랜섬웨어는 전년대비 무려 42% 감소했다. 그러나 랜섬웨어 공격은 한층 더 진화했다. 트렌드마이크로가 탐지한 랜섬웨어의 경우, 탐지 회피를 위해 난독화된 스크립트를 사용하며, 사용자 정보를 도용하고, 이메일, 디스코드, 마이크로소프트 문서 링크, 실제 드라이브 등을 이용해 전달했다.
트렌드마이크로는 이미지 분석, 머신러닝을 결합해 자격증명 피싱 이메일을 탐지하는 컴퓨터 비전(Computer Vision) 기술을 이용해 전년 대비 3배 많은 240만개의 자격증명 피싱 링크를 탐지했다. 트렌드마이크로는 자격증명 피싱 공격에서 가짜 로그인 양식과 랜딩 페이지가 널리 퍼졌기 때문에 탐지되는 피싱 링크가 늘어나고 있다고 설명했다.
지난해 이메일 보안 솔루션 기업 아모블록스(Armorblox)가 탐지한 한 피싱 공격의 경우, 가짜 인스타그램 지원 이메일, 사용자 자격증명 탈취를 위한 가짜 랜딩페이지를 이용해 학생 2만2000여명의 계정이 탈취됐는데, 이 캠페인은 마이크로소프트의 보안 기능과 SPF·DMARC 이메일 인증 기술까지 통과했다.
머신러닝 이용 이메일 위협 방어
한편 트렌드마이크로는 ‘클라우드 앱 시큐리티(CAS)’가 지능화된 이메일 공격을 차단할 수 있다고 설명한다. CAS는 머신러닝을 이용해 이메일과 첨부파일에서 의심스러운 내용을 분석하고 탐지한다. 샌듭가스 악성 프로그램 분석, 문서 악용 탐지, 이메일·웹 평판 기술을 사용해 M365·PDF에 숨겨진 악성 프로그램을 찾아내며, 여러 클라우드 기반 애플리케이션에서 일관된 DLP와 고급 멀웨어 차단 기능을 제공한다.
머신러닝을 이용해 BEC와 자격증명 피싱을 조기에 탐지, 차단한다. 라이팅 스타일 DNA(Writing Style DNA)를 이용해 사용자의 이메일 작성 스타일을 파악하고 의심스러운 이메일을 탐지하고 사용자가 확인할 수 있도록 한다. 더불어 컴퓨터 비전으로 이미지 분석·머신러니응ㄹ 결합해 브랜드 이미지, 로그인 양식, 기타 사이트 내용을 확인해 피싱 사이트 접근을 차단한다.
더불어 XDR의 고급·확장된 보안 기능과 결합해 포괄적인 위협 조사, 탐지, 대응을 지원할 수 있다.
