CEO와 CFO 노리는 피싱 공격 = 웨일링 공격
연말연시, 온라인 쇼핑객들도 공격 대상

[시큐리티월드 문가용] 이번 연말연시 시즌에 가장 많은 피해를 입힐 것이리라 보이는 공격은 무엇일까? 의외로, 고도로 발전한 최신식 멀웨어가 아니라 흔하디흔해 식상할 지경인 피싱 및 웨일링 공격일 가능성이 높다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲ 안 속았다면, 당신은 온라인 사기 면역.

카스퍼스키와 마임캐스트(Mimecast)가 이번 주 각각 보고서를 발간했는데, 둘 다 똑같이 피싱 및 웨일링 공격에 관한 ‘경고’가 주된 내용을 이루었다. 먼저 마임캐스트는 최근 사업체 최고임원을 노린 웨일링 및 스피어피싱 공격양이 치솟고 있다고 전하며 대부분 금융결제 시 실수를 유발해 잘못된 곳으로 돈을 송금하도록 하는 데에 있다고 했다.

그러므로 웨일링 공격에는 거의 반드시 CEO, CFO 등의 것으로 보이는 이메일이 발견된다. 이렇게 높은 권한을 가진 이들이 어디어디로 송금하라는 지시사항을 이메일로 보낸 것처럼 꾸미는 것이다. 이런 메일들은 보통 시급한 톤과 뉘앙스를 담고 있다.

“사이버 공격자들은 지난 몇 년간 굉장히 발전해왔습니다. 그래서 상상도 못한 공격을 퍼부어대죠. 그런데 그런 발전상이 사람들의 신경을 그런 쪽으로 쏠리게 합니다. 즉 조금 원시적이고 진부한 공격에 상대적으로 취약해지는 것이죠. 실제로 아직도 가장 높은 성공률을 보이는 공격은 고도로 발전한 해킹 기술이 아니라 단순하고 저차원적인 것들입니다.”

웨일링 켐페인이 저차원적이고 단순하다고는 하지만 그렇다고 쉬운 공격인 것은 아니다. 이들은 이메일을 최대한 그럴듯하게 꾸미기 위해 표적에 다각도로 접근해 긴 시간 조사하고 공부한다. 페이스북, 트위터, 링크드인 등 소셜미디어에 가입해 표적의 활동을 지켜보거나 심지어 친구를 맺기도 한다. 보통 사람들이 자기의 생각이나 행동, 심지어 위치정보까지 SNS에 공유하기 때문에 해커들이 손쉽게 많은 정보를 얻을 수 있다.

“그럼에도 웨일링 공격은 해커들에게 있어 꽤나 간단한 축에 속합니다. 멀웨어를 만들거나 구입할 필요가 없기 때문이죠. 기술적인 측면에서 거의 아무런 전문성도 필요 없다시피 합니다. 그렇기 때문에 초보 해커들이 제일 먼저 시도해보는 것도 이런 식의 피싱, 스피어피싱 공격이기도 하죠. 성공률도 높고 실행도 쉬우니, 당연히 사람이 모여들 수밖에 없습니다.”

FBI는 이런 류의 공격을 BEC, 사업 이메일 공격(Business Email Compromise)라고 부른다. 올해 초 FBI는 7천 곳의 미국 사업체가 이런 식의 이메일 공격을 받아본 경험이 있다고 발표하며 어떤 곳은 7억 4천만 달러의 손해를 입기도 했다고 밝혔다.

마임캐스트는 직원의 교육과 의식제고로 이런 공격을 방어할 수 있다고 한다. 또한 이런 식의 공격이 존재한다는 걸 임원진과 일반 직원들에게 알리고, 심지어 이런 가짜 이메일을 간헐적으로 발송해 직원들을 훈련시킬 필요도 있다. 한마디로 웨일링 시뮬레이션을 해보라는 뜻.

또한 회사 내 입출금 절차를 새로 수립하거나 재정비하는 것도 크게 도움이 된다. “예를 들어, 특정 상황에서는 입금 최종 확인 버튼을 누를 수 있는 사람이 CEO가 되도록 한다거나 보안 솔루션을 한 겹 더 마련한다거나 하는 식으로 말이죠.”

카스퍼스키도 연말연시 기간 내 있을 피싱 공격 및 메일 사기 수법에 대해 경고했다. 특히 온라인 쇼핑을 자주 하기 때문에 결제 관련 소식이 이메일로 잘 날아오는 사람들이 무심코 이런 가짜 메일을 열어볼 가능성이 높다고 한다. 그래서 DHL, 페덱스를 사칭하는 메일이 많이 돌아다니고 있다고 말했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 문가용 기자(sw@infothe.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>