아이슬란드어로 아이슬란드 경찰 흉내 내 “경찰서로 오시오”
공격 수준 높은 건 아니지만, 아이슬란드 겨냥한 맞춤형 설계 눈에 띄어

[보안뉴스 문가용 기자] 아이슬란드가 규모 면에서 자국 역사상 가장 큰 피싱 공격을 경험하게 되었다. 공격자들은 아이슬란드 국민들만을 노리고 공격을 설계했다. 아이슬란드어의 동형이의어(철자는 같고 의미는 다른 단어)를 사용해 피해자들을 속여 악성 파일을 열도록 한 것이다.


공격자들은 사용자들을 낚기 위해 아이슬란드 경찰의 공식 도메인과 흡사한 도메인과, “10월 30일 경찰 조사에 협조를 부탁드립니다”라는 제목의 악성 첨부파일을 준비했다. 이메일에는 “응하지 않을 경우 체포 영장이 발부될 수 있다”는 협박성 내용이 담겨 있어 놀란 피해자가 열어볼 수밖에 없게 만들어져 있다.

하지만 이는 악성 문서로 렘코스 2.0.7 프로(Remcos 2.0.7 Pro)라는 툴을 익스플로잇하는 기능을 가지고 있다. 렘코스 프로는 원격에서 컴퓨터를 관리할 수 있게 해주는 합법적인 소프트웨어로, 사용자에게 완전한 권한을 제공한다. 하지만 렘코스가 해커들에게 악용된 사례는 이전에도 있었을 정도로, 제작자의 의도와는 달리 사용될 때가 많다.

한편 위 공격에서 피해자가 해커의 의도대로 움직여 경찰국을 흉내 낸 웹사이트에 접속할 때 공격자들은 사회보장번호를 입력하라는 창을 띄운다. 여기에 입력된 번호를 공격자들은 그냥 수집하지 않았다. 이전에 유출된 데이터베이스를 토대로 입력된 정보를 대조해 확인하고, 정확하지 않은 정보임이 발견될 경우 다시 입력하라는 메시지까지 화면에 띄웠다.

조사에 착수한 전문가들은 곧 이러한 정보를 수집하고 저장하는 C&C 서버가 독일과 네덜란드에 있다는 것을 파악했다. 하지만 공격자는 아이슬란드어와 행정 상황에 매우 밝은 자일 가능성이 높은 것으로 나타났다.

보안 업체 아웃포스트24(Outpost24)의 수석 보안 담당관인 마틴 야르텔리우스(Martin Jartelius)는 “공격 수법 자체가 크게 수준이 높거나, 난이도가 어려운 건 아니지만 목표 달성을 위해 정교하게 짜여 있으며, 공격자들의 설계 수준 자체는 높은 것으로 보인다”고 설명한다.

“공격 자체는 일반 사용자들을 노리고 있습니다. 그래서 회사나 기관에서 조직적인 방비를 크게 할 필요는 없어 보입니다. 다만 사용자의 클릭 판단에 안전을 맡기는 보안 시스템이 얼마나 위험해질 수 있게 되는지는 이번 사건을 통해서 잘 드러났다고 봅니다. 사용자가 늘 올바른 판단을 할 거라고 기대하는 보안은, 이미 보안이 아닙니다. 이것과 유사한 사건에서 사용자를 탓하는 보안 담당자는, 역시 보안 담당자가 아니라고 봅니다.”

그러면서도 그는 “이런 기본적인 공격에 당하지 않도록 사용자를 교육하고 훈련시키는 것이 보안 전문가들의 몫”이라고 짚었다. “사용자의 판단에 모든 걸 맡길 순 없지만, 그들이 최대한 많은 경우 올바른 판단을 할 수 있도록 도와야 합니다. 그렇게 됐을 때, 우리의 네트워크와 시스템은 지금보다 훨씬 안전하게 될 것은 분명하거든요.”

또한 그는 “경찰이 이메일로 시민을 소환하는 일은 굉장히 드문 일임을 기억해야 한다”고 강조했다.

한편 아직 피해 규모는 아직 정확히 밝혀지지 않았다.
3줄 요약
1. 아이슬란드어로 아이슬란드 경찰 흉내 낸 소환장, 국민들에게 보냄.
2. 동형이의어라는 추가 속임수 사용하기도 함. 아이슬란드 사정 잘 아는 사람인 듯.
3. 보안 전문가들이 일반 사용자 교육에 힘써야 하는 이유.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>