[데이터넷] 6월 발표된 ‘사이버안보분야 한미정부 합동 권고문’에서 북한 정찰총국 산하 사이버 첩보 수집 그룹 ‘김수키(Kimsuky)’의 활동에 대해 상세히 소개하면서 외교·안보 전문가에 대한 각별한 주의를 당부했다.

김수키는 실제로 존재하는 언론사의 기자, NGO와 싱크탱크 등을 사칭해 전 세계 외교, 안보, 국방 전문가를 대상으로 첩보 활동을 한다.

이 권고문에서는 김수키의 첩보활동 위협 수준이 낮다고 평가될지 모르지만, 북한은 세계 주요 정책 분석가를 통해 수집한 정보를 참고해 대외 전략을 펼치고 있다고 설명했다. 또 김수키가 수집한 정보는 다른 신뢰성 있고 효과적인 스피어피싱 메일 작성에 사용된다는 문제도 있다.

다양한 악성코드 숨기는 스피어피싱

김수키와 같은 스피어피싱 공격자는 철저한 사전조사를 거쳐 공격을 시작하며, 종종 공개된 정보를 활용하고, 피해자 맞춤형 메일과 메시지를 이용해 접근한다. 그들은 신뢰할 수 있는 인터넷 서비스, 미디어 사이트, 공식 기관·기업과 유사한 도메인을 활용하고 공식 프로필을 도용해 사용자를 속인다.

공격자는 피해자에게 의견을 물으면서 정보를 수집하기도 하고, 사례비 지급 혹은 강연 요청 등으로 위장해 피해자의 계정정보와 개인정보를 탈취한다. 탈취한 정보는 중요 시스템 접근을 위해 사용하거나 다른 공격자에게 판매해 이익을 얻기도 한다.

스피어피싱에는 다양한 형태로 악성코드가 숨어있기도 하며, 피해자와 여러 차례 이메일 커뮤니케이션 하면서 악성앱을 다운받도록 유도하기도 한다. 이런 방식으로 피해자를 감염시킨 후 피해자 기기에서 정보를 훔치고, 연락처 정보를 탈취해 또 다른 공격에 이용하는 것도 일반적이다.

속이기 쉬운 직원 이용하는 위장기반 공격

최근에는 멀웨어 하나 없이 사용자를 속이는 위장 기반 공격(Impersonation-based attacks)이 극성을 이룬다. 공격자는 ‘직원’이 보안 사슬에서 가장 약한 고리라는 사실을 이용한다. 직원은 분산되어 있고 각자 일하기 때문에 사용자의 실수를 유도해 침투하기 쉽다.

위장 기반 공격자는 거래처 담당자, 신뢰할 수 있는 기관과 기업, 유명인을 사칭하며, 업무와 관련 있는 내용으로 조작된 이메일을 보내거나 정상적인 이메일 커뮤니케이션 도중에 끼어들어 업무 관련 내용으로 사칭해 공격을 이어간다. 피해자는 자연스럽게 공격자의 메일이 업무상 진행되는 것으로 이해하고 공격자의 요청을 들어주게 된다.

위장기반 공격 기법 중 오래됐지만 확실하게 공격자의 수익을 얻을 수 있게 하는 것이 비즈니스 이메일 침해(BEC)다. 가트너는 BEC를 URL이나 첨부문서가 없는 피싱 메일로 규정한다. 기업 구조나 통상적 거래 정보로 위장해 직원이 돈이나 자료를 보내거나 결제를 위한 계좌정보를 바꾸게 한다. FBI는 BEC 공격으로 인한 손실이 5년동안 125억달러에 이른다며 현재 진행되는 공격 중 가장 위험한 형태라고 경고했다.

CEO를 사칭하거나 보너스 인보이스로 위장하는 등 수많은 종류의 BEC가 있지만, 공격자들은 ▲계좌탈취와 인증서 절도 ▲이메일 변조를 통해 조직에 침투한다. 그리고 다음의 4단계를 거쳐 공격한다.

대상 수집: 공격자들은 잠재적인 대상으로부터 기업구조, 핵심인력, 임원진 등의 자료를 학습하며 정보를 획득한다. 추가적으로 공격자들은 대상들이 보유중인 보안대책을 파악하기 위해 노력한다. 가장 쉬운 방법은 MX 레코드를 분석하는 것이며, 목표 조직의 보안대책을 무마시킬 계획을 세운다.

사전준비: 이 단계에서 공격자들은 회사의 특정 이메일 계정을 탈취하려고 한다. 다양한 경로와 조작 기법으로 이뤄지며, 다음 페이로드를 포함한다.

사용자 인증서 수집: 이용자들이 가짜 웹사이트로 이어지는 링크를 누르도록 이메일을 설계한다. M365나 도큐사인 등 정상 이메일과 서류를 사용한다. 사용자가 인증서를 입력하면 공격자들은 이를 통해 시스템이나 계정을 침해한다.

악성 프로그램 다운로드: 사용자를 속여 악성 프로그램을 다운로드하게 만들거나 링크를 눌러 악성코드를 컴퓨터에 다운로드하게 한다.

메일 전송(중간과정): 탈취한 자격 증명을 바탕으로 공격자들은 직원들을 관련 없는 은행계좌로 돈을 송금하거나 개인정보를 탈취하기 위해 기회를 노린다. 대부분의 목표는 관리팀, 재무팀이나 법무팀이다. BEC 공격이 성공했다면, 직원들은 적절한 조치를 취하고 있는지 생각해봐야한다.

탈취: 공격자들은 직원들의 계좌 권한을 획득해 탈취하거나 제 3의 악의적인 행위자에게 그들의 정보를 판매한다.

이메일 변조해 금전 탈취

이메일 변조 공격 역시 킬 체인의 어떤 부분에서도 페이로드를 전혀 포함하지 않는다. 이 공격을 할 때 공격자는 BEC와 유사하게 대상에 대한 정보를 수집한다. 주요 직원의 이름과 직위, 이메일 서명, 도메인 이름 등에 집중한다.

타깃 피해자를 정했으면 다음 기술 중 하나를 사용해 이메일을 보낸다.

유사 도메인: 실제 이메일 도메인 대신 시각적으로 유사한 이메일 도메인을 사용한다. 예를 들어, 공격자는 정상적인 xxx@esxption-point.io 라는 메일 주소에서 도메인의 하이픈을 제외한 xx@perceptionpoint.io로 이메일을 보낸다.

이름 변조 표기: 다른 이메일 계정을 사용하여 표시 이름을 전문가처럼 변경한다. 예를 들어 실제 주소는 john.doe@freemail.com이지만 John Doe<support@perceptionpoint.io> 로 표기해 메일을 보낸다.

공격자는 변조된 이메일 만을 기반으로 하기 때문에 사용자 조작은 보다 과감해질 필요가 있다. 일반적으로 긴박감과 권위를 수반하며, 매우 간단하고 요점이 있는 지시를 내린다. 결국 공격자는 다시 자신의 은행 계좌에 연결된 돈을 통제하고 훔친다. 또는 다른 제3자 악의적 행위자에게 정보를 판매한다.

내부 트래픽도 모니터링 해야

BEC 또는 다른 사칭 기반 공격을 방지하기 위해서는 다음을 검토해야 한다.

페이로드 기반 보호: 많은 BEC 공격은 페이로드 기반 공격에 의해 활성화된다. 강력한 안티피싱과 안티파일 기반 공격을 사용하면 추가적인 BEC 공격 양이 크게 줄어든다.

신뢰할 수 있는 발신자는 없음: 공격자가 합법적인 사용자를 사칭할 수 있는 세상에서 ‘신뢰할 수 있는 발신자’는 존재하지 않는다. 따라서 기업은 내부 트래픽도 검토해야 한다.

강력한 변조 방지 도구: 기업은 IP 평판 검사, SPF, DKIM·DMARC 레코드 검사를 포함한 변조 공격에 대비한 멀티 레이어 중심 엔진을 보유해야 한다.

트래픽 100% 검색: 볼륨과 스케일은 정책과 규칙이 아니라 모든 규모를 충족할 수 있는 강력한 플랫폼을 통해 해결해야 한다.

HW 가시성·SW 민첩성 결합 기술 제공

에스에스앤씨가 공급하는 퍼셉션포인트는 악의적인 행위자가 악성 문서(매크로파일)를 첨부한 것을 식별하고 사회공학 기법으로 사용자가 첨부파일을 열어서 추후에 타인과 다른 기업에 피해를 줄 수 있는 악성 소프트웨어를 다운로드 받도록 조작하는 행위를 식별한다.

퍼셉션포인트 고급 이메일 보안(Advanced Email Security)은 차세대 위협탐지 플랫폼이다. 안티바이러스, 샌드박스, CDR, 안티피싱을 대체해 지능형 지속 공격과 피싱, 악성 프로그램, BEC 등을 클라우드의 속도와 규모, 구축 편의성을 높이면서 정확한 위협 탐지를 지원한다.

퍼셉션포인트는 지능형 위협에 대처하기 위해 하드웨어 가시성과 소프트웨어 민첩성을 결합해 기존 주요 솔루션이 놓치고 있는 것을 확인하는 지능형 기술을 개발했다. 퍼셉션포인트의 독점 소프트웨어 알고리즘은 CPU 레벨에서 엑스레이 코드를 작성, 악성 소프트웨어가 전달되기 전에 빠르게 공격을 차단해 샌드박스가 필요하지 않다.

여러 검색 엔진, 이미지 인식, 포괄적인 위협 인텔리전스가 내장돼 피싱, 악성 소프트웨어, BEC 등의 공격을 방지한다. 효과적인 위협 탐지와 다중 채널 보호 기능을 통해 퍼셉션포인트는 보안 비용과 리소스 요구 사항을 대폭 절감하는 동시에 회사를 공격으로부터 안전하게 보호한다.

<한은혜 에스에스앤씨 대표이사>