• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해고나 보너스와 관련된 피싱 이메일 보내면 성공한다 2018.04.10

3000여 건의 가짜 이메일 보내 17% 성공...한 조직 내에서라면 큰 수
피싱 이메일 막을 기술이 부족한 게 아니라 교육 및 훈련이 문제

[보안뉴스 문가용 기자] 사실은 해커들이 뛰어난 게 아니라, 피해자들이 너무 잘 당해주는 것이라는 의견은 정보보안 업계 내에서 항상 존재해오던 것이다. 그렇다면 정말로 얼마나 우리는 공격을 허용해주고 있는 걸까? 이를 사이버 보안 업체인 포지티브 테크놀로지스(Positive Technologies)에서 실험했다.

[이미지 = iclickart]


포지티브 측은 해커의 행위를 흉내 내며 이용자들에게 이메일을 보냈다. 이 이메일은 어떤 웹사이트의 URL이 연결되어 있기도 했고, 비밀번호를 입력하라는 양식이 첨부되기도 했다. 결론부터 말하자면, 최종 침해까지 다 당한 이용자는 17%인 것으로 나타났다. 17%는 작은 수로 보이기도 하지만, 한 기업 내에 17%나 침해를 당할 수 있다는 건 결코 간과할 수 있는 사실이 아니다.

포지티브 테크놀로지스는 이번 실험을 위해 총 3332건의 메시지를 발송했다고 한다. 소셜 엔지니어링 공격을 시도한 건데, 가장 효과가 좋았던 것은 피싱 이메일이었다. 무려 27%가 이메일에 포함된 링크를 클릭했으며, 이를 통해 해당 웹사이트로 접속해 들어갔다.

실제 공격자들은 이메일 공격의 성공률을 높이기 위해 온갖 수단을 동원한다. 요즘은 첨부파일을 미리 스캔해 악성 여부를 판단하는 기술도 발전해 있기 때문이다. “특정 웹사이트에 악성 요소를 호스팅한 후 해당 사이트로 안내하는 링크만을 삽입하는 것도 요즘 많이 나타나는 방식이죠. 하지만 이 역시 막는 게 불가능한 건 아닙니다.” 포지티브의 설명이다.

이는 피싱 메일을 보내는 공격자들이 기술적인 우위에 있어서 공격에 성공한다는 건 아니다. 포지티브 테크놀로지스는 “사용자들이 이런 공격에 걸려들지 않도록 교육하거나 훈련시키는 것이 가장 힘든 부분”이라고 짚는다.

그래서 일반인들은 기술적 보호 장치들을 무시하고 수상한 파일을 열고 출처가 확실치 않은 링크를 클릭한다. 심지어 범죄자들과 연락을 주고받기도 한다. 범죄자들과 접촉을 한 일반인들의 88%가 기업의 IT 환경 바깥에서 인터넷 환경을 지나치게 신뢰하고 있다가 공격에 당한 것이라고 한다. 보안 전문가 및 담당자도 3%나 있었다.

악성 링크나 파일의 경우 정상적으로 열리지 않는 경우가 많다. 이를 클릭하거나 연 일반인들 중 클릭 및 파일 열기를 30~40번이나 실시한 이들도 있었다. 일부는 IT 부서로 메일을 전달해 문제를 해결해달라고 요청하기도 했는데, 이는 조직 차원의 리스크를 증가시키는 행위다. IT 및 보안 담당 부서도 ‘같은 동류가 보냈으니’ 별다른 의심을 하지 않기 때문이다.

한편 가짜 회사 이름으로 문서를 보내는 방법은 성공률이 확실히 낮아지고 있다고 포지티브는 발표했다. “가짜 회사 이름으로 발송한 피싱 이메일에 속은 사람은, 당한 부류 중 11%에 불과했습니다.” 반대로 실제로 존재하는 회사의 실존 인물의 계정으로 보낸 이메일에 속은 사람은 많았다(33%).

공격자들이 소셜 엔지니어링 공격을 실시할 경우 다양한 심리 상태를 이용하는 것으로 나타나기도 했다. 공포, 욕심, 희망, 흥분 등의 감정을 부추겨 이성적인 판단을 하지 못하도록 하는 것이다. 실제로 이번 조사에서 이용자들을 잘 속인 이메일의 제목은 ‘해고’와 관련된 것이 38%, 보너스와 관련된 것이 25%였다.

소셜 엔지니어링에는 이메일만 있는 것이 아니다. 직접 표적이 된 인물에게 전화를 걸고, 기술 지원을 해주겠다고 속이며 특정 행위를 하도록 요구하기도 한다. 특히 주말 아침에 시스템 고장으로 출근해야겠다고 속였을 때, 짜증이 난 직원은 별 다른 저항 없이 공격자가 시키는 대로 할 확률이 높은 것으로 나타났다. 아니면 출근을 해야 하지만, 안 해도 되는 방법을 제시했을 때도 성공 확률이 높았다.

페이스북 메신저도 주요 소셜 엔지니어링 공격 채널이다. 이번 조사에서 속은 자들 중 71%가 페이스북 메신저에 반응했고, 21%는 메신저 내 수상한 링크를 클릭했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>