• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

피싱 공격하는 데 오피스365만 한 수단이 없다? 2017.08.31

피싱 공격 알아채기 쉬워지면서 아는 사람 이메일 이용해 공격
예전엔 경영진 등 고위 간부 노렸다면 이젠 직원 전체가 공격 대상

[보안뉴스 오다인 기자] 사용자가 가는 곳에 사이버 범죄자도 간다. 매달 1억 명 이상이 활발하게 사용하는 오피스365(Office 365)는 사이버 공격자에겐 떠나기 싫은 놀이터다. 사이버 공격자는 직장 동료가 보낸 이메일이라면 일단 열고 보는 사용자를 노린다. 직장 이메일 주소가 제대로 찍혀 있더라도 사이버 공격자가 보낸 것일 수 있다.

[이미지=iclickart]


피싱 공격은 이제 적발되기 쉬워졌다. 의심스런 첨부파일과 미심쩍은 이메일 주소, 과감한 요구, 철자 오류 같은 특징이 드러나기 때문이다. 사용자는 이런 특징을 발견하는 순간 피싱 이메일이라는 걸 안다. 그런데 공격이 더욱 개인화된다면 무슨 일이 일어날까? 이메일 주소도 적절하고 요구 내용도 합리적인 이메일을 받는다면 사용자는 클릭할까, 클릭하지 않을까?

보안 업체 바라쿠다(Barracuda)의 스피어 피싱 전문가 아사프 사이돈(Asaf Cidon)은 개인화한 피싱 이메일 공격이 계속해서 증가하고 있으며 포착하기도 더 어려워졌다고 말한다. 바라쿠다는 최근 ‘계정 침해(Account Compromise)’라고 부르는 공격에 대한 보고서를 발표했다. 이 보고서는 위협 행위자가 어느 직원 하나의 오피스365 계정 정보를 손에 넣고 나면, 이후 그 직원이 신뢰하는 계정에서 보낸 것처럼 이메일을 매우 정교하게 만들어낼 수 있다고 지적했다.

사이돈은 크리덴셜을 훔치는 방식은 예전과 다르지 않다고 말했다. 공격자 대부분이 피해자를 가짜 웹사이트로 유인하는 피싱 또는 스피어 피싱 방식에 의존한다. 가짜 웹사이트를 통해 오피스365의 크리덴셜을 재설정하도록 유도하는 것이다. 다크웹에서 사용자 크리덴셜을 구입하는 공격자도 있다.

사이돈은 “공격자가 사용자 크리덴셜을 확보하고 난 뒤에 벌이는 일이 달라졌다”고 지적한다. 기업 시스템 안에 일단 발판을 마련한 공격자는 몇 가지 다른 유형의 공격을 펼칠 수 있다.

흔한 사례 중 하나로, 오피스365 계정의 이메일 전달 규칙(forwarding rule)을 바꿔 피해자가 이메일을 보낼 때마다 공격자가 제어하는 이메일 계정으로도 들어오게 만드는 것이다. 이렇게 하면 사용자의 통신 패턴을 안팎으로 감시하면서 정보를 빼돌릴 수 있으므로 추후 공격을 도모하기 쉬워진다.

또한 공격자는 더 많은 정보를 수집하기 위해 침해한 계정의 주인인 것처럼 행세하며 다른 직원들에게 이메일을 보낼 수도 있다. 어떤 공격자는 사용자명과 비밀번호를 입력해야만 열어볼 수 있는 PDF 첨부파일을 보내기도 하고, 다른 공격자는 인보이스를 보내 웹 포털에 로그인하라고 요구하기도 한다. 기업 이메일 주소와 비밀번호를 입력해야만 로그인할 수 있는 웹 포털로 유인하는 것이다.

이런 공격에 당하면 그 피해가 기업 하나를 초월한다. 사이돈은 공격자가 어떤 직원을 가장해 파트너 회사로부터 송금을 요구한 사례가 있다고 설명했다. 당시 피해 직원은 송금이 발생하고 있는지조차 알지 못했다.

사이돈은 “스피어 피싱은 진화하고 있다”며 “갈수록 더 정교해진 공격이 나타난다”고 말했다. 몇 년 전만 해도 공격자는 경영진을 우선적으로 겨냥했다. 지금의 오피스365 공격은 경영진뿐만 아니라 모든 직원을 위기에 몰아넣고 있다.

“일단 계정 하나를 뚫는 데 성공하면 다른 수많은 직원들이 공격 대상이 되는 겁니다. 이젠 고위직 간부만 노리는 게 아닙니다.” 사이돈을 설명을 이었다.

몇 가지 징후를 통해 공격자가 어떤 기업을 노리고 있다는 사실을 파악할 수 있다. 기업 계정 로그인에 사용된 IP 주소가 외국발이거나 로그에 지리적인 변칙들이 발견되는 경우다. 이메일이 낯선 주소로 전달 또는 발송되는 경우를 확인하기 위해 본인 이메일 계정을 계속 검토하는 것도 한 방법이다.

사이돈은 공격자의 최초 접근을 막는 것이 중요하다며 피싱 공격을 포착하는 방법에 대해 직원 교육이 필요하다고 조언했다. 또한 사이돈은 침해 가능성을 줄이기 위해 오피스365에 다중인증과 같은 보안 장치를 추가할 것도 권고했다.

“기존의 이메일 보안 시스템은 이런 공격을 막아내는 데 거의 쓸모가 없어졌다고 보면 됩니다.” 사이돈은 대개의 이메일 보안 툴이 이메일 제공자의 API만을 확인할 뿐이라며 이렇게 말했다. “일단 침입하는 데 성공하면 내부 이메일은 쳐다도 보지 않습니다. 그때부터 들어오는 외부 이메일을 기다릴 뿐이죠.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>