불안한 심리 이용해 더 높은 수익 올리는 공격자
[데이터넷] 이메일은 공격자들이 가장 많이 사용하는 공격수단이다. 거의 대부분의 업무가 이메일을 이용해 커뮤니케이션 하기 때문에 타깃 사용자를 속이기 쉽다. 악성코드 없이 메일만으로 대규모 자금 탈취에 성공한 사례도 부지기수다. 이메일 기반 위협은 대응하기가 매우 복잡하고 까다롭다. 그럴수록 제로 트러스트 원칙의 보안이 필요하다. 이메일 기반 위협 트렌드와 대응을 위해 필수적인 기술과 솔루션을 소개한다.<편집자>
대북 관련 업계 전문가라면 이러한 메일을 받았을 때, 실제로 이 기자가 메일을 작성해서 보냈는지 확인하는 것이 좋다. 사이버 공격자들이 실제 언론사 기자를 사칭해 전문가의 의견을 수집하고, 후속 메일을 통해 메일 수신자의 개인정보와 민감정보를 훔치기도 하며, 수신자 PC를 감염시켜 또 다른 공격을 하기 때문이다.
2023년 6월 공개된 ‘사이버 안보분야 한미정부 합동 주의보: 북한 김수키 조직의 싱크탱크·학계·미디어 대상 사회공학적 기법을 악용한 해킹 공격’에서 북한 정찰총국 산하 조직인 김수키의 최근 공격 방식에 대해 상세히 소개하며 관련 업계 종사자들에 대한 각별한 주의를 당부했다.
김수키, 사칭메일로 정보 수집이 권고문에서 소개한 사례 중 대표적인 것이 예시로 든 것처럼 잘 알려진 언론사나 기자를 사칭하는 사례다. 예를들어 AAA라는 매체의 BBB라는 기자가 bbb@aaa.com이라는 이메일 주소를 공식 사용한다면, 공격자는 bbb@aaa.news라는 도메인으로 이 기자를 사칭한 메일을 보낸다.
김수키가 주로 질문하는 것은 ▲외교정책 관련 질문에 응답 ▲설문조사 ▲인터뷰 ▲문서 검토 ▲이력서 송부 ▲연구물 작성에 대한 보수 지급 제안 등이다.
어떤 사실에 대한 전문가의 의견을 묻거나 논문을 요청하는 내용의 메일에 답을 했을 때, 대부분의 전문가는 ‘공개된다’는 사실을 전제로 답변을 작성하기 때문에 민감한 기밀 정보가 회신에 포함되지는 않는다. 하지만 북한 정권은 세계 여러 국가, 여러 분야의 전문가에게 의견을 묻고, 정보를 수집해 북한의 전략이 세계 정세에 어떤 영향을 미치는지, 자국의 이익을 보장하기 위한 후속 정책은 어떻게 해야 하는지 등을 결정하는데 참고하기 때문에 공개를 전제로 한 답변도 북한정권에게는 중요한 정보가 될 수 있다.
사이버 공격 90%, 이메일 이용
김수키뿐만 아니라 많은 사이버 공격자들이 이메일을 공격에 이용한다. 공개된 보안 사고의 90% 이상이 공격 단계 중 이메일을 사용한 것으로 분석된다. 이러한 악성메일은 공격자가 목표로 하는 정보를 수집하거나 시스템과 데이터를 탈취하고 금전을 요구하기 위해 사용된다.
공격자는 공격 목표가 된 사람에게 침투하기 위해 SNS, 웹사이트 등에서 피해자와 관련된 내용을 수집한다. 사회공학 기법을 이용해 업무 혹은 관심사와 관련된 내용으로 조작된 이메일을 보내 응답을 요청한다.
공격자는 첫 번째 메일부터 공격도구를 포함시키지 않고 피해자와 정상적인 업무 연락을 하는 척하면서 적당한 단계에서 공격을 진행한다.
책자 발간, 논문 관련 의견 요청 등의 내용으로 메일을 보낸 후 피해자가 회신하면 답장을 보내 대용량 문서 파일을 내려 받도록 한다. 이 문서는 암호화돼 있으며, 암호화 문서 확인을 위한 본인인증이 필요하다며 피싱 사이트로 유도해 ID/PW 정보를 탈취한다. 이 정보를 이용해 피해자의 이메일 계정에 있는 정보를 훔치고, 주소록을 탈취해 다른 공격에 악용한다. 이 공격자는 피해자에게 감사 담장까지 보내 의심하지 못하도록 했다.
유명 포털사이트로 위장하는 고전적인 방식도 한층 진화했다. 기존에는 포털사이트 로그인 창만 위조했는데, 이제는 메일 발송 시점의 포털사이트 메인 화면과 똑같이 보이도록 조작된 사이트로 유인한다. 대신 정상 사이트가 xyz.com이라면 위조 사이트는 xyz.portal.com 식으로 도메인을 다르게 한다.
이 방식으로 피해자의 계정 정보를 획득한 후 이 피해자의 이메일 서명, 주소록, 과거 이메일 수발신 기록을 참고해 다른 사용자를 속이기 위한 스피어피싱 메일을 작성한다.
메타, 링크드인 등에서 유명 기업의 프로필로 위장해 피해자에게 접근하는 시도도 있다. 예를 들어 이직을 희망하는 사람에게 기업의 공식 프로필을 통해 스카우트를 제안하고, 그 사람으로부터 긍정적인 회신이 오면 교묘하게 악성앱을 설치하도록 유도하거나 그가 속한 조직의 기밀정보 혹은 기밀정보에 접근하는데 필요한 정보를 알아낸다.
사회적 이슈를 악용하는 공격도 끊이지 않는다. 우크라이나 어린이 후원 캠페인으로 위장하고, 가짜 NFT 이메일 제안 등으로 사용자를 유인한다. 사회적 이슈 악용 공격은 세계 정세가 불안정하고, 경제위기가 심해질수록 더 극성을 부린다. 사람들의 불안한 심리를 이용해서 보다 자극적인 이슈에 집중하게 해 더 쉽게 공격할 수 있기 때문이다.
