그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.
소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.
보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다.
보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.
1. 악성 QR코드
지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.
예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.
하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.
마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할 수 있다”라고 지적했다.
이런 소셜 엔지니어링 공격을 수행하는 방법은 다양하다. 英 보안 및 분석업체 사이브세이프(CybSafe)의 CEO 오즈 알리쉬는 ‘이 QR코드를 스캔하면 엑스박스(Xbox)를 상품으로 받을 기회를 얻을 수 있습니다’라는 전단지를 받은 이웃의 이야기를 들은 적이 있다고 전했다. 그는 “이런 QR코드는 스마트폰에 악성코드를 다운로드시키는 수상한 사이트로 연결될 수 있다”라고 덧붙였다.
2. 브라우저 알림 하이재킹
몇 년 전부터 웹사이트들은 사용자에게 사이트의 ‘알림’을 승인해달라고 요청했다. 이는 한때 사용자와 인게이지먼트를 맺고 최신 정보를 제공하는 유용한 방법이었지만 지금은 동시에 소셜 엔지니어링 도구로 악용되고 있다.
카펜터는 “이른바 푸시 알림으로 불리는 이것을 소셜 엔지니어링 도구로 쓸 수 있다. 문제는 많은 사용자가 맹목적으로 이런 알림을 허용하는 ‘예’를 클릭한다는 점이다”라고 밝혔다.
많은 사용자가 어느정도 웹 브라우저는 조심해야 한다는 걸 알고 있지만 알림은 브라우저가 아닌 장치에서 보내는 시스템 메시지로 생각해 주의를 기울이지 않는다.
맹목적으로 ‘예’를 클릭하지 않는다 할지라도 공격자들은 사용자가 알림 스크립트를 설치하도록 할 다른 방법을 구사한다. 예를 들면 구독 동의를 CAPTCHA와 같은 다른 액션으로 위장하거나, 구독 알림 수락 및 거절 버튼을 교체하는 것 등이 포함된다. 공격자가 사용자의 동의를 얻고 나면 수많은 메시지를 보내기 시작한다. 통상은 멀웨어가 포함된 스캠 알림이나 피싱 메시지다.
3. 협업 스캠
알라쉬에 따르면 사이버 공격자들은 협업이 잦은 직종을 표적으로 삼는다. 대표적인 예로 디자이너, 개발자를 들 수 있고, 심지어 보안 연구원도 표적이 될 수 있다. ‘미끼’는 협업을 요청하는 초대장이다.
최근 팬데믹 위기로 인한 봉쇄조치와 재택근무의 확산은 사람들이 원격 협업을 익숙하게 받아들이도록 만들었고, 이 공격은 이러한 상황을 노린다.
알라쉬는 “악성 코드가 포함된 비주얼 스튜디오 프로젝트를 보낸다. 사용자가 프로그램을 실행하면 장치가 금방 감염된다. 이런 공격은 프로젝트에서 다른 사용자를 돕거나 지원하고 싶어하는 욕구나 필요성을 악용한다”라고 설명했다.
보안 회사 리블레이즈(Reblaze)의 공동창업자이자 CTO인 추리 바 요차이는 이런 공격들이 정교하게 만들어져 있으며 디테일에 많이 신경을 쓴다고 밝혔다.
그는 “공격자는 연구자 행세를 하면서 사회적 증거를 축적한다. 이를테면 업계 전문가의 글이 올려져 있는 블로그, 트위터 계정, 유튜브 동영상, 링크드인, 디스코드 등을 활용해 제3자가 이들의 연구나 조사 결과를 확인해준 것처럼 보이게 한다. ‘표적’이 되는 사람은 의심을 했다가도 이런 다양한 사회적 증거를 보고 안심하게 된다”라고 말했다.
4. 공급망 파트너 위장
클라우드 기반 데이터분석 업체 수모 로직(Sumo Logic)의 CSO 조지 게르차우는 조직의 공급망 일부를 악용하는 공격이 현재 큰 문제로 부상하고 있다고 언급했다.
게르차우는 “볼 수 없는 걸 방어하기란 쉽지 않다. 예를 들면 신뢰하고 있는 파트너가 보낸 것처럼 보이지만 실제로는 이를 가장한 공격자가 보낸 악의적인 이메일이 아주 많다”라고 지적했다.
이와 관련해 그가 처음 관찰했던 사례는 수모 로직 직원들에게 보내진 사기성 기프트카드였다. 수모 로직의 실제 비즈니스 파트너가 보낸 감사 선물로 위장한 것이었다. 이런 공격은 시간이 지나면서 더욱더 정교해졌다.
게르차우는 “이제 공격자들은 더 오래, 그리고 정교하게 신뢰나 관계를 구축하려 시도한다. 특히 고객 지원팀이 대상이다. 심지어 공격자들은 무료 계정을 악용해 자사 제품을 사용하는 공급업체인 것처럼 위장한다. 직원들을 관여시키기 위해 사용 사례와 시나리오를 악용하기도 한다”라고 설명했다.
공격자들이 이렇게 신뢰 관계를 구축하는 궁극적인 이유는 일반적인 소셜 엔지니어링 공격을 더욱더 효과적으로 만들어 보안 통제를 우회할 수 있도록 도움을 받거나 표적으로 삼은 기업의 시스템을 손상시키는 멀웨어를 보내기 위해서다.
각종 언론의 헤드라인을 장식한 솔라윈즈 해킹은 공급망을 표적으로 한 대표적인 공격 사례다. 이른바 VEC(Vendor Email Compromise)로 불리는 공격이었다. 솔라윈즈 관계자는 “이메일 계정이 침해당했고 표적이 된 솔라윈즈 비즈니스, 기술 부문 직원들의 계정에 액세스하는 데 사용됐다”라고 밝혔다.
5. 딥페이크(Deepfake)
이제 소셜 엔지니어링 공격자들은 피해자로부터 정보를 빼내거나 자신에게 유리한 행동을 하도록 유도하기 위해 딥페이크까지 사용하고 있다. 딥페이크란 인공지능을 활용해 특정인의 모습이나 목소리를 시뮬레이션하여 놀랍도록 사실적인 영상이나 녹음 파일 등을 만드는 걸 일컫는다.
요차이는 공격자들이 실제 목소리와 거의 구분되지 않는 복제된 음성으로 사기성 오디오 녹음본을 만들어 사용하는 오디오 딥페이크 공격이 갈수록 큰 문제가 되고 있다고 전했다.
지난 2019년 CEO의 목소리를 위조해 직원에게 해외 계좌로 돈을 송금하도록 만들었던 사건이 대표적인 사례다. 그는 “부하 직원의 음성 사서함에 메시지가 남겨졌다. 부하 직원은 이 지시대로 공격자에게 24만 3,000달러를 송금했다”라고 말했다.
게르차우도 공격자들이 딥페이크 녹음본을 사용해 직원들로 하여금 돈을 보내게 하거나, 비밀 정보를 유출하도록 만든 사례를 확인했다고 말했다. 아직까지는 오디오 딥페이크와 관련된 사례만 존재하지만 비디오 딥페이크 사례 역시 시간 문제일 뿐이라고 그는 덧붙였다.
게르차우는 “교육, 인식 제고, 보고, 투명성을 통해서만 이런 공격에 대한 보안을 강화할 수 있다. 보안은 접근할 수 있어야 하고, 모든 것을 로그로 기록해야 한다”라고 강조했다.
6. 텍스트 사기
문자 메시지는 꽤 오래 전부터 소셜 엔지니어링 스캠에 사용됐다. 그러나 프라이버시 및 보안 전문가 레베카 해롤드는 이런 텍스트 공격이 최근 들어 눈에 띄게 부상하고 있다고 말했다.
해롤드는 “오늘날 많은 사람이 전화 대신 문자를 사용한 커뮤니케이션을 선호한다. 사람들은 문자를 통해 비밀스러운 정보를 주고받는다”라고 설명했다.
특히 지난해 식료품 및 음식 배달이 증가하면서 배달과 관련된 스캠 문자이 증가했다. 또 코로나 지원금에 대한 정보를 제공하겠다는 문자도 자주 악용된다. 이를테면 피해자를 미국 국세청(IRS) 사이트를 가장한 곳으로 유도해 생년월일과 사회보장번호 같은 민감한 개인정보를 묻는 것이다.
미국 보건후생성(Department of Health and Human Services, DHHS)을 가장한 문자 스캠도 봤다고 해롤드는 전했다. 제공된 링크를 통해 ‘온라인 코로나 의무 테스트’를 받으라는 사기 문자였다. 그는 “이후 다른 스캠과 동일하게 개인정보를 빼낸다. 멀웨어를 컴퓨터 장치에 다운로드 받게 유도하는 경우도 많다”라고 설명했다.
QR코드와 마찬가지로 피해자들은 이런 종류의 스캠을 아직 제대로 인식하거나 경계하지 못한다.
7. 타이포스쿼팅 또는 유사 도메인
카펜터는 타이포스쿼팅(Typosquatting)이나 유사 도메인이 BEC(Business Email Compromise) 공격에 자주 사용된다고 지적했다. 공격자들이 적법한 도메인을 가장해 피해자들을 속여 안심시킨다는 게 그의 설명이다.
예를 들면 Google을 Gooogle로 표기하는 등 철자를 틀리게 입력하거나 .co.uk 대신 .uk를 사용하는 등 최상위 도메인을 변형하는 방법을 예로 들 수 있다. 초기의 엉성했던 사이트와 다르게 현재 이런 사이트들은 잘 디자인돼 있고 여러 기능을 내세우면서 정교하게 진짜 사이트를 흉내 내고 있다.
카펜터는 “소셜 엔지니어링 피해자들은 두 부류다. 내가 선택했기 때문에 심리적으로 안전하다고 판단하는 경우 그리고 공격자에게 속아서 심리적인 안심을 추구하는 경우다”라고 말했다. 이런 사이트를 만드는 공격자들은 멀웨어를 배포하는 한편 가짜 로그인 영역이나 가짜 양식 등을 통해 신용카드 정보 등의 민감한 데이터를 빼낸다고 그는 덧붙였다.
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.