새롭고 정확한 스피어 피싱, 새로운 이메일 보안으로 대응해야

[보안뉴스=이상혁 웹센스 코리아 지사장] 최근 지능형 공격(APT)의 주요 수단으로 사용되는 스피어 피싱에 대해 어떤 방어시스템을 갖고 있는가? 대부분의 이메일 보안 시스템을 무력화시키는 스피어 피싱의 위협을 이해하고 조직을 이러한 지능형 공격으로부터 안전하게 보호할 수 있는 방안이 필요하다.

오늘날 이메일은 비즈니스를 수행하는 주요 수단이다. 이메일의 광범위한 사용과 수많은 위협을 차단하기위한 다양한 보안 조치에도 불구하고 이메일은 여전히 매우 취약한 상태로 남아 주요 공격루트로 사용되고 있다.

조직에서는 IT 전문가들이 매일같이 네트워크에 넘쳐나는 트로이 목마, 스팸, 바이러스 등의 대응에 많은 시간을 소비하지만 대부분의 보안 조치는 오래된 방식이다. 과거의 대량 이메일 공격은 사라지고 새롭고 보다 고도의 타깃 공격이 중요한 데이터에 접근하고 싶은 해커의 주요 수단이 되고 있기 때문에 전사적으로 이메일보안에 대하여 새로운 대응이 필요하다.

◇ 오래된 이메일 공격 : 피싱(Phishing)

전통적인 대량 이메일 공격은 피싱이라고 불리는 동시다발적 접근방법에 의존하는 믿을 수 있다고 증명된 모델을 따라했다. 이메일의 본문 또는 첨부파일의 형태로 악성코드(Malware)를 포함하는 대량의 이메일이 불특정 다수의 수신자에게 전송되었다.

해커는 이러한 방식으로 이메일에 반응하는 아주 적은 비율의 대상을 확보했지만, 아마도 이러한 방식은 한 가지 문제를 제외하고 해커가 선호하는 방법으로 남았을 것이다. 이제 사용자도 현명해지면서 더 이상 낚이지 않고 있으며 이러한 공격에 인식을 곤두세우고 있다.

이러한 방법은 더 이상 현명하지 않으며 마치 무작위로 머나 먼 이국 만리에 있는 사람을 우리 가족의 재산을 보호하기 위해 선택하는 것과 같습니다. 그러나 매우 많은 사람을 대상으로 사용되어 왔다.

스마트한 사용자와 함께 전통적인 이메일 보안 솔루션은 다음과 같은 기술들을 채택하여 이러한 방식을 알아채는데 매우 효과적이었다.

-스팸을 발송하는 알려진 주소를 식별해 이메일을 보낸 주소의 평판 정보

-일반적으로 스팸에 사용되는 단어의 조합과 패턴을 포함하는 이메일 콘텐츠를 분석하는 어휘 분석

-이메일에 첨부에 존재하는 알려진 바이러스에 대응하는 안티바이러스

이러한 방어기술은 매우 안정적이고 효율적으로 많은 이메일 보안 솔루션이 알려진 바이러스의 100% 및 모든 스팸의 99% 탐지 수준을 보장하고 있다. 그러나 증가하는 지식과 보안에도 불구하고 컴퓨터, 데이터, 네트워크 아마도, 전부에 대한 위협으로부터 해커를 막지 못했다. 어떤 고약한 바이러스처럼, 해커는 진화하고 있으며 완전히 다른 접근방식으로 새로운 방법을 찾았다.

◇ 새롭게 진화한 공격 : 스피어 피싱(Spear-phishing)

이메일이 우리가 알지 못하는 무언가를 수반하고 있다는 것을 아는 순간 이메일을 읽고 업무를 완료하는 것이 매우 두려울 것이다. 스피어 피싱은 소량의 고도의 타깃 공격이다. 더 이상 기존의 이메일 공격은 통하지 않는다.

그 대신 이메일을 완벽하고 합법적으로 가장하며 멀웨어는 이메일 안에 URL을 포함해 전달된다. 이러한 스피어 피싱 이메일을 공들여 만들기 위해 해커는 특정 이메일 수신자를 대상으로 하고 소셜네트워크 및 공공 기록 웹사이트로부터 대상자의 정보를 수집한다.

그리고 나서 해커는 합법적인 도메인 또는 서버를 장악해 평판이 좋은 주소를 이메일 주소로 확보한다. 조사를 통해 목표에 대해 학습한 정보를 사용해 해커는 확보한 주소로부터 대상이 링크를 클릭할 확률을 높이도록 하는 사회적 공학기법의 메시지가 포함된 이메일을 전송하는 피싱 이메일을 생성한다.

대상이 이메일에 포함된 URL(링크는 합법적이지만 웹사이트는 이미 해커에 의해 장악됨)을 클릭하면 컴퓨터는 멀웨어를 다운로드한다. 멀웨어는 네트워크의 취약점을 찾고 공격하도록 설계되어 있다. 새로운 접근방법이지만 최종 결과는 같다.

기밀 데이터는 유출되고 대상자는 이제 희생자로 바뀐다. 여기에 스피어피싱 공격이 실제로 어떻게 생겼는지 그 예를 하나 들면, 철수는 고양이 비디오를 좋아한다. 철수는 페이스북에서 크게 웃고 있는 고양이의 페이지를 보고 ‘liked’ 했다.

그리고 핀터레스트(Pintrest)에 좋아하는 고양의 사진을 올렸다. 심지어 유튜브에서는 최신의 고양이 만화를 분석하고 평가하는 블로그를 갖고 있다. 그래서 철수가 좋아하는 고양이 사이트에서 단지 임베디드 링크를 클릭하면 최신의 재미있는 비디오를 빠르게 볼 수 있는 이메일을 철수에게 보낸다면, 철수가 어떻게 거부하겠는가?

철수의 컴퓨터는 이제 감염되고 철수의 모든 개인정보와 전문적인 정보는 알려지지 않은 지역으로 전송된다. 또한 더 문제가 될 수 있다. 성공적인 스피어 피싱 공격은 대상의 타고난 호기심이 먹이가 된다.

기업을 대상으로 하는 가장 성공적인 공격의 일부는 ‘2013년 급여 지침’, ‘1분기 채용계획’ 및 ‘회의 일정 업데이트’ 등과 같은 제목에 첨부파일을 사용한다. 다른 성공적인 공격은 법원의 출두명령서 또는 소환장과 같은 두려움을 사용한다.

스피어피싱은 일반적으로 악성코드와 관련 없는 신뢰할 수 있는 출처에서 오기 때문에 일반적인 보안 시스템을 쉽게 우회하므로 지독하게 효과적이다. 또한 항상 일반적인 스팸과 관련 있는 단어의 조합을 사용하지 않으며 실제 메시지에는 악성코드가 없다.

2012년 4월, 오크리지(Oak Ridge) 국립 연구소(사이버 보안 주제에 대한 연구로 잘 알려진 조직)는 57명의 직원이 악의적인 링크를 클릭해 내부의 네트워크가 외부의 소스로부터 노출되어 감염된 성공적인 스피어 피싱 공격의 대상이 되었다. 그러나 이러한 스피어 피싱 대상이 철수의 예처럼 크게 웃고 있는 고양이 공격의 희생양이었는지에 대한 확인할 방법은 없다.

◇ 여러분의 조직에서 어떻게 차단할 것인가?

만약 여러분이 정보보안 책임자라면, 스피어 피싱은 여러분의 레이더에서 탐지가 어려움 의심의 여지가 없는 위협일 것이며 스피어 피싱과 대응하기 위한 몇 가지 유용한 팁이 제공된다면 매우 감사할 것이다. 여러분의 조직내에서 스피어 피싱 공격을 차단하는데 도움이 되는 몇 가지 권장사항

-소셜 네트워킹 사이트를 포함한 웹사이트의 현재 위협 수준을 결정하기 위해 실시간 웹 분석 실시 : 거의 모든 피싱공격(92%)는 이제 기존의 이메일 게이트웨이 및 안티바이러스 방어시스템을 우회하는 웹 구성요소를 포함한다. 이러한 이메일에 포함된 URL은 종종 숨겨진 멀웨어를 호스팅하는 웹사이트로 연결된다.

-클릭하는 시점에서 실시간 분석으로 URL을 포함한 의심스러운 이메일의 격리 및 샌드박스 제공 : 한밤중에 전송되는 이메일에는 게이트웨이에서 초기보안 검색을 무난히 통과하는 웹페이지로 연결되는 링크가 포함되어있을 수 있다.(웹페이지 또는 링크에는 아무 문제없음)

그러나 동일한 웹 페이지는 수신자가 다음날 아침에 링크를 클릭하는 순간 악성코드가 삽입되어 있을 수 있다. 최고의 안티바이러스 엔진들이 탐지 못하는 이러한 공격방법으로 매주 평균적으로 700 개 이상의 악성코드가 전달된다.

-자동적으로 중요한 정보의 유출을 암시하는 패턴의 모니터, 중요한 데이터의 차단, 격리, 또는 암호화의 모든 아웃바운드 데이터 분석 : 조직은 데이터 유출 방지 및 정보의 흐름을 감시하기위하여 테블릿 및 스마트 폰과 같은 데이터 액세스 장치에서 이메일 인프라 및 방어를 위한 추가적인 방안이 필요하다.

-사용자 교육, 실제 피싱 공격의 예를 직원들이 집중하게 해야한다. : 사용자가 사이버 안전을 실천하지 않는다면 최신의 보안솔루션 설치는 아무 의미가 없다. 대부분의 직원들은 회사 컴퓨터 또는 노트북에서 개인 이메일 계정의 확인만으로 어떤 문제가 발생하는지 알 수 없다. 그래서 사용자의 인식이야말로 정보유출을 보호하는 핵심 열쇠이다.

이메일 보안은 조직을 위해 끊임없이 진화해야 하는 대상이며 유일한 확신은 스피어 피싱이 덜 효과적일 때 뿐이다. 또 다른 형태의 공격이 대신할 것이다. 그러나 좋은 소식은 해커가 정보를 훔치기 위해서 존재하는 한, 또한 그것을 보호하기 위해 노력하는 사람들이 있다는 것이다. 지속적으로 지혜를 모은다면, 여러분의 IT 는 안전할 것이다.

[글_이 상 혁 웹센스코리아 지사장 (shlee@websense.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>