[보안뉴스 김경애] 지인을 사칭하고, 평소 자신의 담당업무와 관련된 ‘[이력서]***부서 지원’ 등을 사칭해 사용자가 이메일을 열어보도록 현혹하는 표적형 악성메일이 갈수록 진화하고 있다. 이는 스피어 피싱으로 APT(Advanced Persistent Threat) 공격 시작점으로 활용되기도 한다. 

이와 관련 안랩은 보안 바로알기 캠페인의 일환으로 스피어 피싱(Spear Phishing)에 대해 구체적으로 소개했다. 스피어 피싱은 수신자를 속이기 위한 사기 이메일 및 기타 활동’으로, 원래는 ‘spear:인 창, 찌르다란 의미와 phishing을 합쳐 물고기를 작살로 잡는 ‘작살 낚시(Spear Phishing)’라는 말에서 유래됐다.

보안 분야에서는 ‘불특정 다수가 아닌 특정인 또는 조직을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹 사이트로 유도 또는 악성 첨부 파일로 악성코드에 감염시키는 일종의 온라인 사기행위’라고 밝혔다. 즉 우리말로 옮기면 ‘표적형 악성 메일’로 이해할 수 있다.

일반적인 스팸 메일과 구별되는 점에 대해 안랩은 △불특정 다수를 노리는 것이 아니라 해커가 노리는 특정 기관 및 기업을 노리는 ‘표적성’ △일반적인 광고, 애드웨어보다 훨씬 심각한 정보유출 등을 노리는 악성코드의 ‘심각성’ △정상파일을 보여주거나 내용을 의심할 수 없을 정도로 정상 메일과 유사한 ‘정교성’ 등을 들 수 있다고 제시했다.

악성코드를 첨부해 사용자를 현혹 시키는 내용의 메일전송은 고전적인 방법이라 할 수 있지만, 문제는 이런 방법이 아직도 효과가 있다는 것이다. 이는 ‘최대의 보안 취약점은 바로 사람’이라는 보안전문가들의 지적과도 일치하는 현상이다.

해외 통계에 의하면 지금까지 밝혀진 APT 표적형 공격의 90% 이상이 스피어 피싱으로 유발되었거나 공격에 사용되었다고 한다. 또한, 많은 보안 전문가들이 기관과 기업이 스피어 피싱의 대상이 되었고, 대부분의 스피어 피싱에는 첨부파일이 있었다고 지적하고 있다.

이와 관련 안랩은 “최근 이러한 첨부파일이 사람들의 의심을 피하고, 열어볼 수 있는 확률을 높이기 위해 .exe나 .dll등의 실행파일에서 doc, pdf, hwp, xls등의 문서파일, .zip 등 압축 파일과 같은 비 실행형 파일으로 변하는 추세”라고 밝혔다.

예를 들어, 특정 문서파일에 악성코드를 심어서 보내면 이를 열었을 때, 해당 파일을 읽어서 사용자에게 보여주는 문서 프로그램에 존재하는 SW 취약점을 이용해 사용자의 PC에 악성코드를 감염시키는 방식이다. 이와 함께 .exe나 .dll등의 실행파일이지만 문서파일 처럼 속여 실행을 유도하는 경우도 있다는 것이다.

해커들은 공격할 표적을 정하면, 페이스북, 트위터와 같은 SNS나 인터넷에 퍼져 있는 상대방의 정보를 수집한다. 자주 가는 웹사이트, 취미, 소속된 조직 등 표적 대상에 대한 정보를 수집한 후, 피싱 메일을 전송한다. 클릭하는 순간 악성코드에 감염된다.

왜 위험한가?

특히, 개인이 근무하는 기관·기업에서 중요한 직책을 맡고 있다면 스피어 피싱이 APT 공격의 시작점이자 내부 시스템 파악의 첫 발판이 되기 때문에 각별히 주의해야 한다. APT 공격의 가장 큰 특징은 특정 기관·기업을 노려 매우 지능·조직적으로, 성공할 때까지 노린다는 점이다. 이런 APT의 특징을 생각해보면 그 시작점이 스피어 피싱이 되는 것이다.

스피어 피싱이 특히 위험한 이유는 사용자가 구분이 어렵다는 데 있다. 먼저 해커가 특정 조직을 목표로 삼으면 해커는 장기간에 걸쳐 목표 조직의 거의 모든 것을 파악한다. 이후, 조직 내부 부서를 사칭하거나, 이에 맞춤화 된 내용의 메일 및 첨부파일을 보내 감염을 시도한다.

특정 인물을 표적으로 삼을 때는 SNS나 가입 동호회 등 개인에 대한 장기간 조사로 자료를 수집한 후에 관련자를 사칭하거나 상대의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법의 스피어 피싱을 시도하기도 한다. 이런 정교하게 조작된 메일을 받았을 때 개인이 이를 구별해 내기란 쉽지 않다.

또한, 최근 첨부파일로 문서파일과 같은 비실행형 파일이 자주 사용되는 추세이다. 이는 당연히 수신자의 의심을 피하기 위함이다. 무심코 첨부된 문서파일을 열어도 표면적으로는 정상적인 문서를 보여주고, 사용자 몰래 뒤에서 감염을 시도하기 때문에 사용자는 그냥 지나치기 쉽다.

이 때 설치되는 악성코드는 광범위하게 사용되는 것이 아니라 특정 조직 침투만을 목적으로 만들어진 ‘맞춤형 소량 제작 악성코드’로, 이미 알려진 악성코드에 대응하는 ‘시그니처’ 방식의 백신만으로 막아내기엔 어려움이 있다. 또한, 자신이 속해있는 조직에 대한 큰 피해로 이어질 수 있다는 것도 스피어 피싱이 위험한 이유이다.

국내 및 해외 보안전문가들은 최초에 악성코드가 한번 시스템에 침투하기만 하면 이후 들키지 않고 내부망을 돌아다니며 취약점을 찾아내고, 이를 기반으로 시스템 장악 후 기밀정보를 유출하거나 피해를 입히는 것은 어려운 일이 아니라고 지적하고 있다.

실제로 2012년 중동지역의 국가기관을 대상으로 활동하다 발견된 ‘플레임’ 악성코드는 2년 여간 중동지역 기관·기업에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취했다.

어떤 사례가 있는가?

가장 유명한 사례는 약 4개월 간 지속된 뉴욕타임즈(NYT) 공격에서, 공격자는 NYT의 상하이 지부 책임자와 남아시아 책임자(전 베이징 지부 책임자)의 메일을 전송해 NYT 시스템에도 4달 동안 악성코드를 설치하고 이를 통해 시스템에 침입한 바 있다.

해외 매체에서는 이 공격의 시작이 바로 내부 혹은 외부 기관·기업으로 위장한 스피어 피싱일 것으로 추측하고 있다. 특히 공격의 배후를 조사한 맨디언트(Mandiant)도 공격자로 추정되는 조직이 가장 많이 사용하는 기법이 스피어 피싱이라고 밝혀 이런 주장을 뒷받침하고 있다.

2011년에 있었던 글로벌 보안업체의 정보유출 사건도 첫 시작은 스피어 피싱 메일이었다. 해당 업체는 자사가 운영하는 블로그에서 공격의 첫 시작이 ‘2011 인원 채용 계획’이라는 제목의 스피어 피싱메일이라고 기술한 바 있다.

같은 해에 세계최대 이메일 서비스 제공자인 글로벌 기업이 스피어 피싱에 당한 사례도 있다. 특히 이 기업은 침해사고 이후 고객사 데이터를 탈취 당했고, 이는 해당 기업에 대한 2차 스피어 피싱으로 이어질 수 있어 그 위험이 더욱 컸다. 결국 이 기업은 이 공격으로 인해 40억 달러에 이르는 피해를 입었다. 

예방하려면 어떻게 해야 하나?

APT공격의 다양한 시작점 중 가장 많이 이용된다는 스피어 피싱의 피해로부터 자신과 자신이 속한 조직을 보호하려면 조직과 개인 모두의 노력이 필요하다. 먼저, 조직의 경우 스피어 피싱의 심각성에 대해 충분히 인지하고, 전체적인 관점에서 이 스피어 피싱이 APT공격과 어떻게 연관 될 수 있는지 맥락을 파악하는 것이 중요하다.

특히, 스피어 피싱에 사용되는 악성코드는 맞춤형 소량 제작 악성코드이기 때문에, 알려진 악성코드에 대응하는 백신은 물론, 다계층적인 보안 솔루션을 조직의 특성에 맞게 설계하는 것이 필요하다. 따라서 솔루션 도입으로만 그치지 말고, 정기적인 직원 보안교육, 내부 보안 인재 육성 등의 노력도 동시에 진행되어야 한다.

개인의 경우, 조금이라도 수상한 메일이라면 첨부파일이나 URL을 실행하지 않는 것이 가장 스피어 피싱을 막기 위한 확실한 방법이다. 이와 함께, 사용하고 있는 SW 프로그램 제공사에서 보안 패치를 발표하면 이를 꼭 업데이트해야 한다.

특히, 비 실행형 파일을 이용하는 스피어 피싱 공격이 증가하는 추세에서 이는 더욱 중요하다고 할 수 있다. 만약 조금이라도 내용이 엉성하거나 모르는 사람에게서 받은 파일을 열었을 때는 즉시 사내 보안담당자에 연락해 후속조치를 취해야 한다.

스피어 피싱은 정보유출부터 시스템 파괴까지 개인의 피해뿐만이 아니라 조직에 대한 대규모 공격의 최초 시작점이 될 수도 있다. 조직과 개인의 노력이 합쳐질 때만이 스피어 피싱의 위협에서 벗어날 수 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>