사이버 공격 모두 수준 높은 것 아냐...이메일 만으로도 수익 올려
무서운 보스 시늉해서 심리적 압박 가하는 공격도 존재

[시큐리티월드 문가용 기자] 사람들에게 ‘사이버 공격’이라는 말은 어떤 의미를 가지고 있을까? 마치 ‘나쁜 날씨’와 비슷하다. 누군가에겐 짜증나도록 더운 날이 나쁜 날씨일 수도 있고, 누군가에겐 외출이 불가능할 정도의 눈보라가 나쁜 날씨일 수도 있다. 그럼에도 ‘내일 날씨 나쁠 것 같아’라고 말하는 모든 사람의 공통점은 ‘예측이 불가능하다’는 걸 인정한다는 것이다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
사이버 공격도 이와 같아서 누군가에겐 짜증나는 시스템 마비 현상 정도에 그칠 수도 있지만, 누군가에겐 사업을 접어야 하는 대 재앙이 될 수도 있다. 그러나 스케일의 크고 작음과 상관없이 하나의 공통점이 있다면 바로 ‘누구도 예측할 수 없다’는 것이다. 해커들은 너무나 많고 다양해, 쉽게 항목화할 수도 없고, 그럴 필요도 없다.

그렇지만 모든 해커들이 그런 건 아니다. 일기예보도 어느 정도 확률로 맞을 때가 있듯이, 해커들 사이에서도 유행하는 것들이 있고 초보자들도 있으며 당연히 실수하는 사람들도 있다. 이런 때는 몇 가지 패턴이 드러나기도 하는데, 이렇게 흔적을 드러내는 공격자들은 대부분 수준이 낮은 공격 방법을 사용한다. 그 중 흔히 나타나는 공격 방법 5개를 소개한다.

1. 브라우저 잠그기 공격
브라우저 잠그기 공격, 일명 브라우저 락커(browser locker)는 사용자에게 가짜 ‘블루 스크린’을 자꾸만 노출시키거나 자잘한 오류 메시지들을 자꾸만 띄워서 사용자가 고쳐달라고 애원하도록 만드는 것이다. 기술 지원 서비스랍시고 가짜 금액과 연락처를 공개해 한 사람당 평균 500달러를 빼앗는다. 기술 지원 사기 범죄라고도 불린다.

최근 이런 공격을 감행하는 자들은 레지스트리 해킹을 통해 윈도우 셸 자체를 락커로 바꿔치기하기도 하는 등 기술적인 진보도 보이고는 있지만, 그래도 이러한 해킹 범죄가 크나큰 재앙 수준은 아니다. 대부분의 브라우저 락커에는 다음과 같은 코드가 포함되어 있다.

For x in range (a lot) {
Alert(“You have a virus, please call Scam Number”)
}

2. 디도스 협박
디도스 공격용 봇은 다크웹에서 절찬리에 판매 중이다. 심지어 일반 웹에서도 거래가 되기도 한다. 그래서 어쩌면 가장 널리 사용되는 공격 방법이기도 하다. 그러나 디도스 공격이라는 것 자체가 기술적으로 대단히 뛰어나거나 수준 높은 건 아니다. 오히려 일반 사이버 공격보다 더 게으르다고도 볼 수 있다. 왜냐하면 공격자들이 제일 먼저 하는 일은 보안 담당자에게 협박성 이메일을 보내는 것이기 때문이다.

돈 내지 않으면 디도스 공격을 하겠다는 메일을 보내면 입금을 서두르는 경우도 상당히 많아 실제 공격은 시작도 하지 않는다고 한다. 게다가 요구하는 금액도 소소한 편이라 보안 담당자가 사비로 입금하는 경우도 심심찮게 있다. 공격하는 자도, 그에 응하는 자도 그저 간편하고 게으르게 움직일 뿐이다. 혹여 디도스 협박 메일이 온다면, 1) 먼저 실제 공격이 일어나지 않을 가능성이 높다는 걸 인지하고 2) 인터넷 서비스 제공업체와 상담하라. 공격자와 상담하는 건 ‘비추’다.

3. SQL 인젝션 공격
SQL 인젝션 정도면 아주 약간은 기술적인 소양을 필요로 한다. 공격자 입장에서는 먼저 취약한 사이트를 찾아내야 하고, 파일이나 데이터를 안전하게 빼내야 하기 때문이다. 사실 이메일 보내서 공갈 협박하는 것에 비해서는 상당한 기술력이 필요하다고도 볼 수 있다. 그렇다면 왜 SQL이 위 협박 공격들과 같은 선상에 놓이는가?

왜냐하면 SQL 인젝션 공격이 처음 발견되고 공개된 것이 1998년이기 때문이다. 2007~2010년 사이에는 OWASP이 선정한 Top 10 공격 유형에도 꾸준히 올랐었다. 2013년에는 심지어 그 Top 10 중 1위를 차지하기도 했었다. 즉 이미 알려질 대로 알려진, 구식 취약점인데도 계속해서 당한다는 것이다. SQL 인젝션 공격은 정보보안의 고질병이라고도 볼 수 있다.

4. 사업 이메일 침해 혹은 BEC 공격
가끔 상사들이 별 괴상망측한 모습으로 변신하는 것이야 눈에 익은 광경이다. 그럴 때 우리 같은 평범한 ‘아랫것’들은 그저 고분고분하는 수밖에 없다. 그 변신한 입에서 나오는 말이 아무리 비이성적이고 이상해도 말이다. 사이버 공격자들이 이런 심리적인 약점을 꿰뚫었는데, 그게 바로 BEC 공격이다. 1) 사나워진 상사로 둔갑해 2) 경리부나 총무부 직원에게 겁을 주고 3) 제대로 된 판단을 하기 전에 돈을 부치라고 요구한다. 소위 ‘막장’이라고 불리는 드라마 악역들이 갑자기 돈 내놓으라고 생떼를 쓰는 것과 다를 바가 없는 공격이다. 그런데 이 생떼에 미국에서만 9607억 861만 6000천 원이라는 피해액이 발생했다.

5. 매크로 멀웨어
예전엔 MS 오피스 제품군들의 매크로 기능은 디폴트로 활성화되어 있었다. 공격자들이 멀웨어를 여기저기 퍼트리기에 매우 좋은 환경이었던 것이다. 매크로가 활성화되어 있으니 악성 첨부파일만 이메일에 첨부하면 별별 코드를 다 실행할 수 있었다. 그래서 MS는 결국 오피스 매크로 기능이 활성화되지 않도록 디폴트를 변경했다. 그러자 범죄자들은 예비 피해자들에게 ‘매크로 기능을 켜줘’라고 요구하기 시작했고, 우습게도 이걸로 상당한 성공을 거두고 있다.

글 : 멀웨어바이츠(Malwarebytes)
[글 시큐리티월드 문가용 기자(globoan@boannews.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>