• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커들의 나쁜 창의력, 피싱 공격 진화시키다 2014.11.10

당하는 사람에겐 더 감쪽같이, 공격하는 사람에겐 더 편하게

실제적인 피해를 입히는 피싱 공격 절반도 안 되긴 하지만


[보안뉴스 문가용] 어쩌면 그렇게 시간을 잘 맞추는지, 연말연시 시즌이 옴에 따라 해커들이 새로운 피싱 공격을 개발했다는 소식이다. 각종 선물이다 뭐다 해서 온라인 쇼핑에 한창 바쁠 사용자들은 한 단계 더 경계해야 할 것 같다. 트렌드마이크로(Trend Micro)에서 발견한 이 새로운 피싱 기술은 후야오 작전(Operation Huyao)이라는 이름이 붙었으며 공격자들이 피싱 공격을 할 때 드는 시간과 노력을 상당히 줄여주도록 고안 되었다. 그러면서 공격을 감지하기는 더 어려워졌으니 말 그대로 1석 2조다.

 

 ▲ 자, 이건 어떻게 막을 테냐?

그렇다면 기존 피싱 공격이 어떤 방식으로 이루어졌는지를 먼저 되짚어보자. 공격자들은 자신들이 점찍은 오리지널 웹 사이트와 거의 완벽하게 똑같은 사이트를 제작했다. 그래서 방문자들이 진짜인지 악성 코드가 가득한 가짜인지 구분할 수 없도록 해 놓은 것이다.


그런데 이게 말이 쉽지 여간 귀찮은 일이 아니었다. 화면을 캡처하고 복사하고 코드를 한줄 한줄 읽어가면서 적절히 수정해야 했다. 그리고 멀웨어를 호스팅하는 것도 따로 해야 했다. 트렌드 마이크로의 수석 위협 분석가인 노리아키 하야시(Noriaki Hayashi)는 다음과 같은 말을 인터넷에 게재했다.


“이런 일련의 과정 중 일부를 하지 않아도 되는 방법을 공격자들이 고안해 냈습니다. 바로 프록시 프로그램을 오리지널 웹 사이트와 가짜 웹 사이트 사이에 넣는 것입니다. 이 프록시가 웹 사이트와 사용자 사이의 트래픽을 연결해 사용자가 어떤 기기로 접속했느냐와는 상관없이 공격자가 원하는 페이지를 보게 만들 수 있습니다.” 사용자가 사이트에서 평소처럼 ‘브라우징만’ 한다면 평소와 똑같은 내용을 보게 된다는 것이다.


중요한 건 실제 구매를 실행하는 과정에서 나타난다. 사용자가 구매 버튼을 누르면 가짜 페이지가 나와서 사용자가 엉뚱한 곳에 돈을 내라고 하는 것이다. 물론 사용자는 이를 전혀 눈치 채지 못한다. 이 과정에서 사용자는 개인정보 및 카드 정보를 자기 손으로 내주는 꼴이 된다.


이런 패턴이 제일 먼저 발견된 건 일본의 백화점 사이트에서였다. 결제 페이지를 가짜 페이지로 바꿔서 상품을 구입한 사용자가 이름과 주소, 이메일 주소, 전화 번호, 웹 사이트 암호, 신용카드 정보 등을 입력하게 했던 것이다. 공격자들은 다양한 SEO 기술을 활용해 사용자들이 온라인에서 상품 검색을 어떤 식으로 하는지를 분석하고 파악한 후, 그것을 사용자들에게 악성코드를 섞어서 제공했다. 링크를 클릭한 사용자들은 실제 상품이 판매되는 진짜 백화점 사이트로 이동했다. 다만 중간에 악성 프록시를 거쳤다는 것만 차이점이었다.


“사실 공격을 당한 사람들의 입장에서 보면 기존의 피싱 공격과 큰 차이가 없습니다.” 트렌드 마이크로의 크리스토퍼 버드(Christopher Budd)의 설명이다. “사용자가 공격자를 가짜 사이트로 유인한다는 점에서는 똑같은 것이죠. 차이점이란 백엔드에서 발생하는데, 공격자들이 프록시를 사용함으로써 사용자들이 실제로 진짜 사이트를 브라우징하고 서핑한다는 데에 있습니다. 결정적인 한두 페이지가 다를 뿐이죠. 사용자들은 믿을 수밖에 없게 되어 있습니다.”


이는 지금의 공격 방법 자체보다 앞으로의 발전성이 더 두려운 사건이다. “가장 중요한 건 사용자가 더 알아채기 힘들게 발전했다는 겁니다. 또한 쇼핑 사이트 전체를 복사하는 해커들 편의 수고도 상당히 줄어들게 되었죠.” 즉 앞으로 더 많은 일들이 일어날 수 있는, 촉진제 혹은 기폭제 같은 사건이 될 가능성이 높다는 것.


해커들은 자신들을 위해 설치한 여러 방비책을 부수거나 무시하기 위해 계속해서 새로운 방법을 마련해낸다. 이는 보안 업계가 마련하는 방비책이 효과가 있다는 뜻이다. 실제 안티피싱 워킹 그룹(APWG)에서 발간한 보고서를 보면 2014년 전반기에 발생한 피싱 공격의 운영 시간은 평균 32시간 32분이었다. 하지만 중간값(median)은 8시간 42분으로, 전반기에 일어난 모든 피싱 공격의 절반이 9시간도 활동하지 못했다는 걸 뜻한다. 피싱 공격의 실제 활동 시간이 길면 길어질수록 피해가 심해진다는 걸 고려했을 때 9시간은 굉장히 짧은 편에 속한다.


그럼에도 피싱은 우리 사회의 고질병이다. 위와 같은 보고서에는 2014년 전반기에 일어난 피싱 공격의 총량이 123,700 건에 달하며 이는 2009년 이후 최고치라고 한다. 그 중 타깃형 공격을 받은 조직이나 단체는 756개에 달했다. 이는 역사상 최고 수치다. 가장 많은 피싱 공격을 받은 기업은 애플이었다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>