[데이터넷] QR코드에 악성코드를 심는 ‘큐싱(Qshing)’이 유행하고 있다. SK쉴더스는 국내 탐지된 공격 중 17%, 해외 14%가 큐싱이라고 설명했다. 사용자 기기를 감염시킨 공격자는 스마트폰 개인정보와 연락처 정보 탈취, 메신저 피싱 등의 사기를 저지르는 한편, 기업 네트워크로 침투할 수 있는 방법도 찾아낸다.

큐싱이 새로운 공격 기법은 아니지만, 최근 기업용 기기의 보안 설정이 강화되면서 공격자들이 보다 쉽게 침투할 수 있는 사용자 개인의 스마트폰을 악용하고 있는 것이다. QR코드 이미지에 악성링크를 삽입하는 큐싱은 URL이 직접 노출되지 않기 때문에 스마트폰 백신의 악성코드·악성링크 탐지 기술로 차단하지 못한다.

사용자가 정상적인 사이트 접속 경로라고 믿도록 유도하면서 쉽게 정보·기밀정보를 입력하도록 해 기존 탐지 기술을 막지 못한다. QR코드 링크를 통해 악성앱을 설치하도록 유도하는데, 사용자 UI 등이 신뢰할 수 있는 사이트로 보이게 하기 때문에 사용자들이 의심없이 악성앱을 설치한다. 악성앱은 난독화 되어 있어 스마트폰 악성앱 탐지 기술로 찾아내지 못한다.

공개된 공문서 악용 피싱 등장

진화한 피싱 사기 피해가 점점 더 심각해지고 있다. 피싱은 뢰할 수 있는 유명 기업, 업무 관계자나 상급기관 등을 사칭해 공격하며, AI를 이용해 사용자 맞춤형 공격을 자동으로 진행하기도 한다.

가장 흔하게 일어나는 피싱은 업무와 관련된 이메일에 문서로 위장한 실행파일을 첨부하거나, 악성 매크로가 삽입된 문서를 첨부하는 방법이다. 그래서 메일 서비스 기업들은 첨부문서의 미리보기 기능을 제공해 확장자 변경으로 악성실행파일을 정상문서파일로 위장하는 공격을 제거하고, 정상 문서 여부를 확인하고 열어볼 수 있게 했다. 마이크로소프트는 오피스 파일의 매크로 자동설정 해제를 기본 설정으로 해 악성 매크로로 인한 피해를 크게 줄였다.

그러자 공격자는 공개된 정상 문서를 이용하는 방법으로 탐지를 우회하고 있다. IBM이 분석한 러시아 배후 공격그룹 ‘ITG05’는 실제로 진행된 전문가 토론회, 유럽의회 보안 및 국방 소위원회 회의록, UN 특별위원회 보고서, 미국 의회 공공정책연구소에서 정책 입안자에게 배포한 러시아-우크라이나 전쟁과 관련된 내용 등을 담은 정식 공문서를 사용했다. 공식 배포된 문서이기 때문에 사용자들은 의심 없이 열어보고 감염됐다.

사이버 금융범죄 55%, 메신저 피싱

사회공학기법을 이용하는 공격자는 딥페이크, 딥보이스를 악용해 더 정교하게 사용자를 속인다. 거래처 임원을 사칭해 거래대금을 탈취하는 비즈니스 이메일 침해(BEC)에 이러한 수법이 사용된다.

BEC 공격 방식이 잘 알려지면서 대금 입금 계좌 변경을 요청받았을 때 자금 담당자는 공식 경로를 통해 해당 거래 담당자와 다시 연락하면서 피해 입지 않도록 하고 있다. 그러자 BEC는 거래대금 탈취에서 중요정보 탈취 혹은 악성코드 감염 등으로 공격 목표를 바꾸었다.

세일즈포스, 셰어포인트, 어도비, 지라 등 업무에 많이 사용되는 400개 이상 서비스를 이용해 합법적인 워크플로우의 일부인 것처럼 보이게 하면서 악성코드를 감염시키는 방식도 있다. 개발자에게 버그 보고서 다운로드를 안내하면서 악성 로그인 페이지로 이동시키는 등의 방법을 사용한다.

유명 사이트의 관리자를 사칭하는 공격도 널리 유행하고 있다. 텔레그램, 페이스북 등의 관리자로 위장한 공격자가 비밀번호 만료 안내, 업데이트 요청, 저작권 위반으로 인한 계정 정지 등의 메시지를 보낸다. 특히 기업의 공식 SNS를 운영하는 관리자는 이러한 메시지를 받으면 회사 계정 탈취와 중지를 막기 위해 메시지에서 안내한 링크에 접속해 계정정보를 입력한다.

관리자를 사칭해 악성 앱을 다운받게 한 후 피해자 스마트폰의 텔레그램 메신저에서 보관된 대화내용과 개인정보를 탈취하는 공격도 발견됐다. 또 메신저 피해자 계정으로 접속해 금전을 요구하는 등의 메신저 사기도 여전히 발생하고 있다.

검색엔진서 광고까지 진행하는 위조 사이트

최근 어려운 경제사정을 악용해 ‘저가 구매’, ‘고수익 알바’, ‘원금 보장 투자’ 등의 광고글을 이용하는 사기거래는 AI를 이용해 더 지능적인 방법으로 사용자를 속인다.

예전에는 유명 쇼핑사이트를 그대로 복사한 위조 사이트를 이용했으나, 이제는 신뢰할 수 있는 사이트처럼 보이는 새로운 사이트를 만드는 방식을 택하고 있다. 유명 사이트들이 위조 사이트를 찾아 테이크다운 시키는 서비스를 이용하면서 위조 사이트를 이용한 사기가 어려워졌기 때문이다.

범죄자들은 뛰어난 UI로 포장한 사이트를 개발하기 위해 다크웹 생태계에 있는 여러 개발사와 서비스를 이용하고, 합법적인 기업의 광고와 같은 도구를 활용해 피해자를 속인다. ‘기간 한정 특가’ 등의 문구로 소비자를 유혹해 당장 결제하지 않으면 좋은 상품을 싸게 구입할 수 있는 기회를 놓칠 수 있다는 조급함을 갖게 한다.

그런데 이전처럼 비정상적으로 낮은 가격이 아니라 일반적인 타임세일 기간 동안 할인하는 수준이지만 조금 더 좋은 조건을 제시하는 정도이기 때문에 소비자들이 의심하지 않는다. 더불어 정상적으로 광고를 게시할 수 있는 계정을 높은 가격에 판매해 사기 사이트 광고가 소비자에게 합법적인 서비스로 보일 수 있도록 한다.

악성앱 이용 SIM 스와핑

사용자를 속여 공격자가 SIM 카드를 무단으로 발급해 대포통장을 만들고 사용자 계좌에서 돈을 빼가는 SIM 스와핑도 이뤄지고 있다. 공격자는 사용자에게 악성앱을 설치하게 한 후 스마트폰에서 사용자 개인정보를 탈취한다. 통신사 서비스에서 사용자 개인정보 중 연락처 정보를 공격자 정보로 변경한 후 SIM 카드를 재발급한다. 재발급 안내 문자를 공격자가 받도록 해 사용자는 자신 명의로 스마트폰이 발급됐다는 사실을 인지하지 못한다.

공격자는 이 스마트폰을 이용해 비대면 계좌 개설, 자금 이체, 대출을 시도한다. 금융사 FDS에서 이상거래를 탐지하고 고객에게 연락했을 때 연락처 정보가 공격자의 정보로 바뀌었기 때문에 공격자에게 거래 사실을 확인하고 정상 거래로 승인하게 된다.

이 같은 공격을 가능하게 하는 악성앱은 난독화돼 있어 모바일 악성앱 차단 솔루션으로 막기 어렵다. 보안 전문기관에서는 공식 앱스토어 외에는 앱을 다운받지 않도록 안내하고 있지만, 공식 앱스토어 등록된 앱 중에서도 이 같은 악성행위를 하는 앱이 많이 있다.

사용자 주의·보안기술과 정책으로 피해 완화

AI를 이용해 고도화되는 피싱을 완벽하게 차단할 수 있는 방법은 없지만, 사용자들의 보안 습관과 인식, 그리고 보안 기술과 정책을 통해 피해 입을 가능성을 낮추는 것이 좋다.

개인 피해를 막기 위해서는 이메일이나 메신저를 통해 일상적이지 않은 요청이나 은밀한 제안은 단호히 거절한다. SNS를 통해 친교나 스카우트 제의가 왔을 때 해당 프로필의 과거 활동 내역을 반드시 살펴봐야 한다. 아무리 지능적인 AI 사용 공격이라 해도, 공격에 사용되는 SNS 계정은 급조된 것이며, 일상적인 삶을 사는 개인이라고 보기 어려운 억지스러운 설정이 있기 때문이다.

쇼핑이나 웹 서핑 시 HTTPS 설정된 사이트를 이용하며, 웹사이트 인증서를 확인해 무료 혹은 저가 인증서를 사용하는 사이트 방문을 자제하는 것이 좋다. 공식 앱 마켓에서 배포하지 않은 앱과 업데이트는 설치하지 않으며, 공공장소에서 취약한 와이파이를 사용하지 말고, 단말기 비밀번호를 생체인증, 패스키 등을 이용해 강화한다.

SNS 등에 개인정보나 사생활 정보를 지나치게 노출시키지 않는 것이 좋으며, 이메일 주소 등을 공개해야 할 경우 해당 업무에만 사용하는 별도 메일 계정을 만드는 것이 바람직하다.

기업·기관에서는 신뢰할 수 있는 이메일만 수신할 수 있도록 DMARC와 같은 인증 기술을 사용하거나 발신자 검증 솔루션을 도입하는 것이 권고된다. 이메일·메신저 등을 통해 악성링크·악성코드가 유입되지 않도록 보안 솔루션을 도입하고, 회사 지급 노트북에는 강력한 보안 설정으로 업무 외 활동을 제한시키며, 광고차단기를 설치해 광고문구에 현혹돼 사용자가 계정을 탈취당하지 않도록 보호한다. 사용자 행위 분석과 EDR·XDR 등의 위협 탐지 솔루션을 활용해 사용자가 감염됐는지 여부를 반드시 확인한다.

MFA 피로공격을 막을 수 있도록 평소와 다른 인증 요청 시 반드시 본인과 보안팀이 확인해야 한다. 기업 내 세부적인 조직 구성도가 불필요하게 외부와 공유되지 않도록 하고, 전화번호와 메일주소 노출도 자제해 공식 메일과 전화만 공개되도록 설정한다.