[데이터넷] 사례: 연구소장 A씨에게 메일이 수신됐다. 스팸메일 차단 솔루션이 스캔한 결과 별다른 이상은 없었다. 메일서버를 통해 A소장에게 전달됐다. 함께 프로젝트를 진행하고 있는 해외 연구원이 연구에 참고할만한 사이트 링크를 보내준 것이었다. A소장이 링크를 클릭했을 때 유해사이트 탐지 솔루션이 해당 링크에 악의적인 요소가 있는지 확인했는데, 깨끗한 정상 사이트였다.

A소장이 해당 내용을 검토하는 중 사이트에서 의심스러운 링크가 활성화되고 외부와 통신을 하다가 어떤 파일을 내려받았다. PC 보안 솔루션이 이를 탐지하고 검사했는데, 파일에서는 의심스러운 행동이 일어나지 않았다.

다음날 A소장의 PC가 랜섬웨어에 감염돼 네트워크에 연결된 연구소 전체 직원의 PC가 잠기고 데이터가 암호화 됐으며, 해커는 연구 중인 중 요한 정보를 공개하겠다고 협박하면서 돈을 요구했다.

이 연구소는 메일 보안, 악성웹 방어, 행위분석 기술을 갖춘 PC 보안 솔루션을 갖고 있었는데 공격을 당했다. ‘시간차 공격’ 때문이다. 공격자는 해외 연구원의 계정을 탈취해, 이 연구원이 일하고 있지 않은 시간에 A소장에게 악성링크가 포함된 이메일을 ‘참고자료’로 위장해 보냈다. 메일보안 솔루션과 악성웹 방어 솔루션이 해당 사이트를 검사했을 때 악성링크는 활성화되지 않았으며, 조사가 끝난 후 활성화돼 악성 파일을 다운로드했다.

이 파일은 PC 보안 솔루션이 조사하는 시간 동안 아무 활동도 하지 않아 PC 보안까지 무사히 넘겼다. 모든 검사가 끝난 후 네트워크 내 모든 PC를 감염시키고 랜섬웨어 공격을 한 것이다.

재택·원격근무로 악성메일 공격 증가

이메일을 이용한 공격이 날이 갈수록 심각해지고 있다. 특히 재택·원격근무가 확장된 코로나19기간 동안 이메 일을 통한 커뮤니케이션이 늘어난 것을 노려 악성 메일 공격이 급증하고 있다. 트렌드마이크로 조사에 따르면 지난해 피싱 공격을 차단한 사례가 전년 대비 19% 증 가했으며, 스팸을 통해 전송되는 피싱 위협을 탐지한 수가 41% 늘어났다.

악성메일을 이용한 공격은 업무와 관련된 내용, 피해자의 평소 관심사 등으로 위장해 이메일을 발송한다. 악성메일은 본문에 악성 URL을 삽입하거나 첨부 파일을 이용하는 방법을 주로 사용한다.

문서를 이용하는 공격이 가장 많이 사용되는데, 인사 담당자에게 이력서를, 자금 담당자에게 세금계산서를, 구매 담당자에게 견적서를 보내고, ‘이사장님 지시 사항’, ‘[사내 공지]코로나19 감염 예방 수칙’, 업무와 관련된 참고자료 및 보고서 등의 내용을 담고 있으면 업무 관련 내용으로 알고 열어보게 된다.

공격자는 메일 수신자를 정확하게 지정해 보내는 치 밀함도 보인다. 검색엔진을 통해 검색되는 담당자 메일주소, 회사 사이트에 공개된 메일 주소, SNS 등을 통해 수집하거나 이전에 유출된 개인정보 등을 통해 타깃 기업의 담당자를 지정해 그 사람의 업무와 맞는 메 일을 보낸다.

업무 관련 내용을 위장하기 위해 공문이나 문서 양식, 폰트, 자주 사용하는 문체 등을 그대로 따라하며, 사회적으로 이슈가 되는 내용이나 해당 시기에 주고 받을 법한 내용으로 위장한다. 분기말에는 ‘실적보고서 참고자료’, 명절 전에는 ‘직원 명절 선물 리스트’, 연봉협상 시기에는 ‘관련업계 연봉 현황’ 등으로 위장한다.

우리나라 외교·안보·국방·통일 분야 종사자를 대상으로 한 외교, 안보, 통일 관련 내용으로 위장한 스피어피싱도 자주 발견되는데, 대북·북미 관계를 분석한 보고서, 전문가 토론회, 전문가 대상 설 문조사 등의 내용으로 위장한다.

문서를 이용하는 공격은 첨부 문서에 악성 매크로, 자바스크립트 등을 삽입해 해당 문서를 열고 일정 부분 이상 읽어내려가면 자동으로 악성코드가 활성화되도록 한다. 첨부문서를 열었을 때 악성 여부를 검사하는 PC 보안 솔루션을 우회하기 위해 다소 시간을 두고 악 성코드를 활성화시킨다.

다양한 방법으로 사용자 속여

악성 실행파일을 이용할 때, 공격자는 실행파일 확장자를 속이는데, 예를 들면 abc.hwp.exe로 설정하는 방식이다. 사용자가 확장자를 보이지 않게 설정하면 하면 해당 파일이 정상 문서파일처럼 보인다. HTML 첨부파일을 이용하는 경우도 있어 악성문서 차단이나 악성 URL 차단 솔루션을 우회한다.

파일 없는 악성코드도 점점 더 정교해지고 있다. 파워쉘 스크립트, 원격 실행 도구 등을 이용해 악성파일을 탐지하는 보안 솔루션을 우회한다. 악성URL을 이용하는 경우는 자료 공유를 위한 클라우드 스토리지 사이트로 위장하거나 업무 관련 사 이트를 해킹해 악성링크를 삽입한다.

클라우드 스토리지 공유 사이트를 이용하는 예를 들어보면, 업무에 필요한 자료를 클라우드 공유 스토리지에 올렸다 며 해당 자료의 링크를 걸어둔다. 업무에 필요한 자료라는 내용에 사용자는 의심없이 클릭하게 되고, 감염된다.

발신자를 속이거나 계정을 탈취하는 공격도 있다. 피해자 PC를 해킹해 주고 받는 메일을 분석한 후, 정상 발신자와 유사한 메일 주소를 이용한다. 예를 들어 abc1@def.com이라는 메일 계정을 사용하는 사람으로 보이기 위해 abcl@def.com이라는 메일주소로 보낸다. 정상 메일 사용자의 계정 에는 숫자 ‘1’이 있지만, 위장 사용자는 알파벳 ‘l’을 썼다. 혹은 웹메일 계정을 이용하기도 하는데, “업무 참고자료인데 용량이 커서 개인 웹메일로 보낸다”는 내용으로 ‘abc1@포털 사이트 도메인’으로 보내면 속이기 쉽다.

발신자 계정을 해킹해 악성 메일을 보내는 경우도 있다. 시차가 있는 해외 협력 업체 직원의 메일을 해킹해 퇴근 직후 시간에 메일을 보내 정상 내용으로 보내도록 하는 예를 들 수 있다. 퇴사자나 임시직원 등 관리되지 않고 방치된 메일계정을 이용한 피싱메일도 자주 사용되는 예다.

악성코드 없이 피해 입히는 공격자

포털 사이트 고객센터의 안내문으로 위장한 공격은 사용자의 계정정보를 탈취하기 위해 발송된다. 계정관련 접속 오류, 비밀번호 변경, 저장공간 부족, 계정 차단, 개인정보 유출 등으로 위장해 사용자가 가짜 로그인 사이트에서 계정정보 입력을 유도한다.

악성파일이나 악성링크 없이 이메일만으로 공격하는 비즈니스 이메일 침해(BEC)와 역비즈니스 이메일 침해(RBEC) 피해도 상당하다. 거래처 담당 임원을 위장해 무역대금을 공격자의 계좌로 송금하도록 하거나, 피해자 마이크로소프트365를 장악한 후 금융기관과 경영진을 대상으로 공격을 진행한다.

한 선박회사가 실제로 입은 피해 사례를 살펴보면, 자금 담당자의 이메일을 탈취해 거래처들의 자금 담당자에게 거래대금 송금을 요청하는 메일을 보냈다. 공격자는 자금 송금과 관련한 프로세스를 정확하게 파악해 정상 업무처럼 위장했기 때문에 거래처 담당 들은 전혀 의식하지 못했다. 다행히 한 거래처에서 돈을 송금한 직후 이 사실을 알게 돼 금융기관에 인출 중단을 요청하고 다른 거래처에도 연락해 자금 송금을 중단시켜 실제 피해를 입지 않았다.

이메일 피싱과 사기에 대한 경각심이 높아지면서 사용자들이 메일의 발신자를 확인하고 첨부파일 열람을 신중하게 하면서 공격 성공률이 저조해지자 공격자들 은 더욱 정교한 툴킷을 이용해 정상 메일로 위장한다. 자동 서비스 툴킷을 이용해 이메일 전송 도메인에 따라 홈페이지와 로고 등을 변경해 정상 사이트처럼 보이게 한다.

이처럼 정교한 공격이 늘어나면서 피해도 크게 증가하고 있다. VM웨어가 금융기관 CISO와 보안 임원을 대상으로 진행한 ‘모던 뱅크 하이스트 4.0(Modern Bank Heists 4.0)’ 조사에 따르면 응답자의 57%가 송금사기가 증가했다고 답했으며, 54%는 파괴적인 공격이 전년대비 118% 증가했다고 답했고, 41%은 계좌 탈취 공격을 경험했다고 답했다. 또 51%는 맞춤형 타 깃 공격을 경험했으며, 38%는 공급망 공격 증가를 지목했다. 보고서에서는 사이버 범죄가 2022년 6조달러 의 비용이 발생하고, 2025년에는 2배로 늘어날 것으로 예상했다.