• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

디자이너들이 애용하는 서비스 캔버, 피싱 공격자들에 사칭돼 2020.08.21

캔버 서비스 하이재킹 한 공격자들, 캔버 사칭해 피싱 메일 대량 발송
그래픽 디자이너들 사이에서 형성된 브랜드 신뢰도 이용한 공격

[보안뉴스 문가용 기자] 호주의 디자인 플랫폼인 캔버(Canva)가 공격자들에게 이용당하며 피싱 캠페인에 도움을 주는 모양새를 이루게 됐다. 공격자들이 캔버의 브랜드를 사칭함으로써 소셜 엔지니어링 공격이 훨씬 더 ‘그럴 듯하게’ 꾸며지게 된 것이다.

[이미지 = utoimage]


해커들은 먼저 캔버의 하이재킹을 실시했다. 캔버는 최근 기업 가치가 32억 달러에서 60억 달러로 급상승한 기업으로, 그래픽 디자인 업계에서 명성을 떨치고 있다. 하이재킹 후 공격자들은 이런 캔버의 ‘이름값’을 활용해 자신들의 피싱 공격을 기획했다. 마치 셰어포인트(Sharepoint)나 마이크로소프트 오피스와 같은 신뢰도 높은 브랜드를 이용해 사람들을 속이는 것과 비슷한 전략이라고 보안 업체 노비포(KnowBe4)는 자사 블로그를 통해 설명했다.

캔버를 사칭한 악성 이메일은 2월 중순 급증하기 시작했다. 당시 고객의 신고가 들어온 것만 4200건이 넘는다. 노비포의 수석 연구원인 에릭 하우즈(Eric Howes)는 블로그를 통해 “아무리 잘 알고 있는 유명 서비스가 보낸 것이라고 하더라도 무조건 믿는 건 상당히 위험한 일”이라고 강조했다. “신뢰도 높은 서비스를 사칭해 사람을 속이는 건 이제 흔히 있는 일이라는 걸 기억해야 합니다.”

캔버의 하이재킹은 작년 5월에 이미 예견된 일이기도 했다. 당시 캔버의 사용자 계정 400만 개의 비밀번호가 복호화 된 상태로 암시장에서 거래되고 있었던 것이다. 물론 두 사건이 반드시 같은 공격자에 의한 것이라고 볼 만한 명확한 증거가 나온 것은 아니지만, 첫 번째 사고 당시 캔버가 보안을 충분히 강화하지 못했기 때문에 두 번째 사건이 일어난 것이라고 볼 수는 있다고 하우즈는 설명한다.

현재 캔버 측은 웹사이트를 통해 최근의 피싱 공격에 대해 경고하고 있지만 지난 해의 계정 탈취 사건에 대해서는 언급하지 않고 있다. “그래도 캔버는 주기적으로 피싱 이메일에 활용된 악성 파일들을 제거하고 있습니다. 이러한 행위는 지난 주 금요일까지도 이어졌을 정도로 방어를 부지런히는 하고 있는 편입니다.”

하우즈는 “최근 공격자들이 MS나 구글과 같은 서비스를 사칭해 사용자들의 클릭이나 크리덴셜 입력을 유도하는 속임수를 자주 사용하는데, 이번 캔버 피싱 사건은 그런 행위들의 ‘마이너한 버전’이라고 볼 수 있습니다. 보다 수가 적은 특수 집단(이 경우에는 그래픽 디자이너들) 사이에서 신뢰도가 높은 서비스를 활용함으로써 자신들의 목적을 달성한 것이니까요.”라고 말한다.

노비포 측은 “앞으로 일반 대중들 사이에서 널리 알려진 브랜드를 사칭하는 것 외에도 특수 직업군을 노리는 사칭 및 피싱 공격이 계속해서 이어질 것”이라고 보고 있다. “구글과 아마존, 애플 등 거대한 기업들은 자신들의 이름을 나쁜 데 활용하는 공격자들을 가만히 두고 보지 않습니다. 적절한 방어책을 마련하기 위해 충분히 투자를 하죠. 앞으로 MS나 구글을 사칭하는 공격은 점점 더 빨리 잡힐 것입니다. 이미 구글과 비슷한 도메인을 만들면 인터넷에서 1초도 유지되지 못하죠. 공격자들 입장에서는 다른 곳으로 눈을 돌릴 수밖에 없습니다.”

실제 구글이나 MS 급의 기업이 아니라면 자신들의 네트워크 내부에서가 아니라 외부에서 준비되는 공격의 징조들을 미리 탐지하고 없애는 데 돈을 충분히 투자할 만큼 예산이 넉넉하지 않다. 백신을 회사 내부에 설치하는 것은 할 수 있어도 다크웹을 주기적으로 모니터링하고 그럴 듯한 가짜 도메인이 몰래 등록되는 것까지 살피기는 힘들다는 것이다.

보안 업계는 그 동안 높은 솔루션 및 서비스 가격 때문에 ‘대기업만을 위한 제품을 만든다’는 비판을 받다가 최근 내부적으로 중소기업을 위한 대책도 마련해야 한다는 자성의 목소리를 내기 시작했다. 미국의 NIST도 중소기업을 위한 보안 프레임워크를 개발해 발표하기도 했다. 그런 가운데 중소기업을 겨냥한 공격의 수위가 다시 높아질 것이 예견되고 있는 건데, 이는 내부 단속 차원에서 방어가 되는 것이 아니라 새로운 대책이 필요해 보인다.

3줄 요약
1. 최근 그래픽 디자이너들이 자주 방문하는 사이트 사칭한 피싱 공격 발생함.
2. 구글, MS, 애플, 아마존 등을 사칭했던 공격의 ‘마이너 버전.’
3. 중소기업의 허점을 파고드는 공격, 어떻게 막을 것인가?
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>