[데이터넷] 사이버 공격의 91%가 이메일을 이용하고 있으며, 공격자들은 AI를 이용해 더 쉽게, 더 대규모로, 더 정교한 타깃 맞춤형 피싱 공격을 하고 있다.

에스에스앤씨(대표 한은혜)가 국내에 공급하는 퍼셉션포인트의 ‘2024 피싱 현황 보고서’에 따르면 공격자들은 생성형AI를 이용해 20~30초 만에 정교한 피싱 템플릿을 생성하고 악성 URL과 파일을 교묘하게 삽입한다. 특정인이 감정과 글쓰기 스타일을 모방해 사람이 쓴 텍스트와 거의 구별할 수 없게 콘텐츠를 생성하고 있어 정교해지는 이메일 기반 사이버 위협 방어 체계가 시급한 상황이다.

정상 서비스로 위장하는 피싱 극성

피싱 공격 중 올해 가장 극성을 부린 것이 QR 코드를 이용하는 ‘퀴싱(Quishing)’으로, 퍼셉션포인트는 8월부터 9월까지 한달간 퀴싱 공격이 무려 427% 증가한 것을 감지했다. 퀴싱 탐지를 위해서는 QR코드에서 링크를 추출해 동적으로 분석해야 하는데, 보안 이메일 게이트웨이(SEG) 본문에서 의심스러운 링크를 검사하는 방법이기 때문에 QR코드 내에 숨은 악성링크를 탐지하지 못한다.

피싱은 주로 메일 본문에서 악성링크가 삽입된 위조 사이트로 접근하도록 유도하며, 피싱 방지 솔루션은 첫번째 페이지에서 악성 페이로드가 감염되는지 확인해 차단한다. 그래서 공격자는 두개 이상 페이지에 방문하도록 유도해 피싱 방지 솔루션을 회피한다.

예를 들면 사용자에게 비밀번호 만료 안내 메일을 보낸 후, 합법적으로 호스팅되는 서비스로 리디렉션 해 비밀번호 재설정을 하게 한다. 비밀번호를 재설정한 두번째 페이지가 위조된 것이었는데, 메일보안 솔루션은 첫번째 메일만 검사하기 때문에 피싱 여부를 인지하지 못했다.

세일즈포스, 셰어포인트, 어도비, 지라 등 업무에 많이 사용되는 400개 이상 서비스를 이용해 합법적인 워크플로우의 일부인 것처럼 보이게 하면서 악성코드를 감염시키는 방식도 있다. 예를 들어 개발자에게 버그 보고서 다운로드를 안내하면서 악성 로그인 페이지로 이동시킨다.

공격자는 합법적인 공급업체의 계정을 탈취하거나 직접 해당 공급업체 계정 소유자가 공격을 한다. 정상적인 권한의 계정을 이용하기 때문에 평판이 높고, 허용목록이나 기타 정책을 통해서도 정상적인 행위로 위장하기 때문에 공격 시도를 차단하기 어렵다.

링크드인, 페이스북 등 유명 SNS 플랫폼 관리자 계정으로 위장해 저작권 위반, 정책 위반 등의 경고를 보내면서 계정해지를 피하기 위해 작성해야 하는 양식을 보내주는 공격도 늘어나고 있다. 이 양식은 정식 사이트와 동일한 글꼴과 디자인으로 제작돼 있어 사용자가 주의해도 회피하기 어렵다.

15초만에 악성메일 검사해 선제 차단

이러한 피싱은 지하시장에서 리소스를 구입하거나 챗GPT와 같은 도구를 사용해 쉽게 제작할 수 있다. 피해자가 속아서 계정정보를 입력하면 공격자는 이 정보를 이용해 피해자 이메일에 접근한 후 대량의 피싱 공격을 벌이기도 한다. ‘리커시브 피싱’이라는 공격도 있는데, 피해자의 메일함을 계속 이용해 공격을 지속하는 방식이다. 이 같은 계정탈취 공격은 지난 한 해 동안 5배 증가했다.

정교하고 지능적인 피싱에 대응하기 위해서는 여러 분석 엔진을 사용하는 통합 보안 플랫폼이 필요하다. 퍼셉션포인트 지능형 위협방지 솔루션은 특허받은 우회방지 기술과 AI 기반 탐지 기술, 완전 관리형 인시던트 대응 서비스로 진화하는 메일과 웹, 애플리케이션 기반 공격에 대응한다.

퍼셉션포인트 고급 이메일 보안 서비스는 이메일에 포함된 텍스트와 파일, URL을 포함해 평균 15초만에 동적으로 검사해 악성 이메일이 사용자 받은 편지함에 도달하기 전에 차단한다. CPU 수준 탐지 기술을 활용하는 샌드박스 기술로 멀웨어 배포 전 익스플로잇 단계에서 공격을 탐지한다.

한은혜 에스에스앤씨 대표는 “최근의 사이버 위협에 대한 실질적인 이해를 바탕으로 사이버 보안 환경을 형성하고 기존과는 다른 새로운 피싱 방지 접근 방식을 도입해야 한다”고 강조하며 “이 보고서가 피싱 트렌드 파악과 공격 탐지 및 방어를 위한 인사이트를 제공하기 바란다”고 말했다.

김선애 기자 다른기사 보기