고래의 블로그
스피어 피싱 본문
그림은 PDF로 봐주세요 ㅠㅜ
스피어 피싱.pdf- 스피어 피싱이란?
특정 물고기를 노려서 작살로 사냥하는 기법인 스피어피싱에서 따온 이름이다. 이는 지인이나 업체가 발송한 것처럼 가장한 이메일을 보내 신용 카드 번호, 은행 계좌 번호, 암호 그리고 PC에 저장한 금융 정보를 훔쳐내려는 해킹 범죄자들이 보내는 공격 수법이다.
- 친구가 보낸 이메일
스피어 피셔는 친숙함을 이용한다. 피셔는 대상의 이름이나 이메일 주소, 그리고 대상의 기본정보를 가지고 시작한다. 이메일 인사말에 친근한 어투를 사용한다. 예를 들어 “안녕하십니까?” 대신 “안녕, 오랜만이야!”라고 시작하는 식이다. 혹은 최근에 온라인으로 구매한 상품을 언급할 수도 있다. 국내의 경우라면 중고나라같은 거래 사이트를 조금만 검색해보면 알수 있는 내용들이다. 잘 아는 회사나 이 같은 거래자가 시급하게 조치를 요청할 경우 신중하게 생각하지 않고 행동에 옮기기 쉽다.
- 국내 실제 사례
2014년 8월 29일 “2014 첨단국방산업전” 사무국에서 발신한 것처럼 사칭한 스피어 피싱 이메일이 발견되었다. “2014 첨단국방산업전”은 육군교육사령부, 국방기술품질원, 대전광역시에서 공동 주최하는 행사로 2007년부터 매년 육군 교육 사령부에서 개최하고 있는 국방관련 전시회이다.
이번에 발견된 스피어 피싱은 이례적으로 수신자와 참조자가 다수 포함된 점이 특징이다. 받는 사람이 12명이고, 참조로 등록된 사람도 9명으로 총 21명이 동시에 해당 스피어 피싱 공격을 받도록 설계되어 있었다. 보통의 스피어 피싱은 특정인에게 선별적으로 보내는 형태가 많은 반면, 이번 경우는 다수의 이용자에게 동시다박적으로 보내졌다. 공격자는 “실제 안내메일의 경우 다수의 수진자에게 함께 발송하는 경우가 많다는 점”을 오히려 역이용하고 있는 것으로 추측된다.
- 첨부파일의 2중 확장명은 99.9% 악성 파일
악성 이메일은 제목과 본문들이 첨단 국방산업전 사무국에서 발송한 것처럼 교묘하게 조작되어 있고, 수신자들이 최대한 신뢰하게끔 매우 구체적인 표현을 포함하고 있다.
스피어 피싱 이메일에는 “국방산업전 브로슈어(국문) 8p 출.pdf” 이름의 정상파일과 2중 확장명을 가지고 있는 “첨단 국방산업전-포스트웹.pdf.exe”이름의 악성파일이 함께 포함되어 있었다. 문서 파일의 보안취약점을 이용하는 경우도 많지만 exe 실행파일 형식의 악성파일을 문서파일처럼 단순 조작한 사례도 많이 존재한다.
수신자들 중에 운영체제의 폴더옵션 (알려진 파일 형식의 파일 확장명 숨기기) 설정 부분이 체크 표시가 되어있는 경우에 아래와 같이 실제 PDF 문서파일처럼 보이게 된다.
공격자는 아이콘이 Adobe Reader 파일처럼 보이도록 하기 위해 아이콘 리소스도 PDF 문서 파일용으로 조작하기도 한다. 실제로 파일을 실행하면 동일 경로에 정상적인 “첨단국방산업전-포스테웹.pdf”문서파일을 생성하고 실행한다. 따라서 이용자 화면에는 실제로 정상적이 PDF 문서 파일의 화면이 일부 보여지게 된다.
하지만 정상적인 PDF 문서 파일을 실행함과 동시에 이용자가 눈치채지 못하게 임시폴더(Temp) 경로에 “conshost.exe”이름의 추가 악성파일을 몰래 설치하고 자동으로 실행하게 된다.
해당 악성코드는 184.164.81.5:80 원격지(C&C) 주소로 접속하여 추가적인 명령을 무한대기하게 된다. 이후 공격자의 원격제어 및 추가 명령에 따라 변종 악성코드가 추가로 설치되거나 정보가 유출되는 피해를 입을 수 있게 된다.
- 지능형 스피어 피싱 급증
시만텍의 2014 ISTR에서 2014년 보안 사고의 특징은 크게 지능형 스피어 피싱 증가, 사상 최다의 제로데이 공격, 크립토 랜섬웨어 급증, 소셜 및 모바일 플랫폼으로의 공격 확대, 떠오르는 IoT 보안 위협 등으로 꼽았다.
2014년 한해에만 스피어 피싱이 약 8프로 증가했으며, 표적 공격에 사용된 스피어 피싱 이메일은 14% 감소했고, 이메일을 받은 기업도 20%나 줄었다. 즉 공격 정확도가 한층 더 높아져, 적은 노력으로도 표적 공격을 성공적으로 실행한 셈이다.
직원 2,500명 이상의 대기업 6개 중 5개(83%)가 공격 표적이 됐으며, 이는 2013년 43% 대비 무려 40% 포인트나 증가한 규모다. 중소기업도 예외가 아니었다. 중견기업(251명~2,500명)은 63%, 소기업(직원 250명 이하)은 45%가 공격의 표적이 됐다. 또한, 기업별 공격 비중을 봤을 때 전체 중소기업을 대상으로 한 공격이 상대적으로 증가했는데, 이는 공격자가 계열사나 협력사를 통해 대기업으로 침투하기 위한 교두보로 볼 수 있다.
또한, 표적 공격에 사용된 스피어 피싱 이메일의 첨부 파일 유형도 바뀌었다. 과거 exe 형태의 설치 파일을 첨부했던 것과 달리, 일반적인 문서 형태인 doc를 사용하는 경우가 전체 스피어 피싱 이메일의 40%에 이를 정도로 늘어났다.
사이버 공격 기술 역시 날로 발전하고, 완성도가 높아지고 있다. 과거 표적 집단이 자주 방문하는 웹 사이트를 감염시켜 악성코드를 심는 기법에서 발전해 기업이 사용하는 소프트웨어 서비스 제공자의 서버를 해킹하고, 업데이트 파일 안에 트로이 목마를 탑재하는 공격 기법도 등장하는 추세다.
일례로, 유럽 및 미국 에너지 기업을 대상으로 지속적인 사이버 스파이 활동을 벌였던 조직 '드래곤플라이(Dragonfly)'의 경우, 스피어피싱, 트로이목마 탑재 소프트웨어, 워터링홀 등 세 가지 공격 전술을 동시에 복합적으로 이용한 것으로 밝혀졌다. 특히 이들은 다수의 인원과 자금력을 바탕으로 장기간에 걸친 대규모 공격을 펼칠 수 있었다. 이는 기업이 보다 높은 수준의 포괄적인 보안 체계를 갖출 필요가 있음을 시사했다.
- 2016년 국내 사례
LG 화학이 이메일 해킹 사기로 거래 대금 240억원을 날리게 되었다. 그 시작은 거래 기업을 가장하여 보낸 한 통의 메일이었다. 대기업에서 스피어피싱 피해 사례가 발견된 것은 사실상 이번이 처음이다.
러시아 보안업체인 카스퍼스키랩에 따르면 스피어피싱 범죄자들으 ㄴ주로 악성 소프트웨어를 심은 이메일을 보내 컴퓨터의 스크린샷을 캡쳐하거나 컴퓨터를 다루는 모습을 녹화한다. 이런 방법으로 피해자의 입출금 체계를 수개월 넘게 관찰하다가 다른 은행에 만들어 둔 계좌로 돈을 이체하도록 이메일을 보내는 것이다.
2015년도에는 ‘카르바나크(carbanak)“라 불리는 국제 범죄자들이 수년간 세계 100여개 은행에서 10억달려(약 1조원)을 인출한 사실이 알려지면서 금융권의 주목을 받기도 했다. 카르바나크에는 러시아와 우크라이나, 유럽, 중국 출신 범죄자들이 섞여있는 것으로 추정된다.
- 피해 보상은?
스피어 피싱은 피해가 발생해도 구제 방법이 사실상 전무하다. 국내 은행 계좌를 이용하는 보이스 피싱은 피해 사실을 인지한 순간 돈을 보낸 은행에 ‘지급 거래 정지’ 신청을 내면 피해금을 돌려받을 길이 생긴다. 또 사기 범죄자가 입금한 돈을 인출하지 않았다면 ‘타행환 반환 청구 소송’을 통해 돌려받을 수 있는 길도 있다.
그러나 해외 계좌로 송금을 하다 피해가 발생하는 스피어피싱은 구제 방법이 사실항 전무하다는게 은행 관계자들의 설명이다. 국내 은행처럼 해외 은행에 ‘지급 거래’ 신청을 하는 것이 불가능하고, 국내 은행 간 거래와 달리 해외 계좌의 예금자는 확인하기가 쉽지 않기 때문이다. 피해금 반환 청구 소송을 제기하려 해도 국제 소송을 제기해야 하기 때문에 적잖은 비용이 든다.
오순명 금융감독원 부원장보는 “원칙적으로 스피어피싱으로 인해 발생한 피해는 대부분 해당 기업의 책임이고 은행에 책임을 물긴 어려운 사안”이라며 “해당 기업이 송금하기에 앞서 거래처나 고객의 계좌를 확인할 의무가 있기 때문”이라고 말했다.
- 스피어 피싱 예방법
스피어 피싱 예방법은 너무나도 단순한 보안 방법을 쓰라는 것이다. 결국 사기 당한 사람의 잘못한 것이라는 결론인가?
경기남부 경찰청 사이버 안전과의 예방법 4가지
1. 기업간 계좌송금시(특히, 계좌변경시) 필히 담당자와 전화확인
2. 주로 쓰는 문서 프로그램이나 윈도우 OS 등 업그레이드
3. 모르는 이메일 및 첨부파일은 절대 열지 말 것
4. 온라인 상에 자신의 개인정보 노출 최소화
참고문헌
http://kr.norton.com/spear-phishing-scam-not-sport/article
http://biz.chosun.com/site/data/html_dir/2016/04/29/2016042901197.html
'기초 지식' 카테고리의 다른 글
| 서버사이드 언어를 사용하는 이유 (1) | 2016.06.02 |
|---|---|
| 플래시 메모리 정의 (0) | 2016.05.30 |
