Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드

'모르면 낚인다'··· 2021년 새로운 소셜 엔지니어링 공격 7가지

2021.04.15 Derek Slater  |  CSO
그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다. 

소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다. 
 
ⓒGetty Images

보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다.

보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다. 

1. 악성 QR코드
지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다. 

예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다. 

하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다. 

마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할 수 있다”라고 지적했다.

이런 소셜 엔지니어링 공격을 수행하는 방법은 다양하다. 英 보안 및 분석업체 사이브세이프(CybSafe)의 CEO 오즈 알리쉬는 ‘이 QR코드를 스캔하면 엑스박스(Xbox)를 상품으로 받을 기회를 얻을 수 있습니다’라는 전단지를 받은 이웃의 이야기를 들은 적이 있다고 전했다. 그는 “이런 QR코드는 스마트폰에 악성코드를 다운로드시키는 수상한 사이트로 연결될 수 있다”라고 덧붙였다. 

-> 코로나 틈탄 ‘QR코드’ 악용··· 예상치 못한 위험에 대응하려면?

2. 브라우저 알림 하이재킹
몇 년 전부터 웹사이트들은 사용자에게 사이트의 ‘알림’을 승인해달라고 요청했다. 이는 한때 사용자와 인게이지먼트를 맺고 최신 정보를 제공하는 유용한 방법이었지만 지금은 동시에 소셜 엔지니어링 도구로 악용되고 있다.

카펜터는 “이른바 푸시 알림으로 불리는 이것을 소셜 엔지니어링 도구로 쓸 수 있다. 문제는 많은 사용자가 맹목적으로 이런 알림을 허용하는 ‘예’를 클릭한다는 점이다”라고 밝혔다. 

많은 사용자가 어느정도 웹 브라우저는 조심해야 한다는 걸 알고 있지만 알림은 브라우저가 아닌 장치에서 보내는 시스템 메시지로 생각해 주의를 기울이지 않는다. 

맹목적으로 ‘예’를 클릭하지 않는다 할지라도 공격자들은 사용자가 알림 스크립트를 설치하도록 할 다른 방법을 구사한다. 예를 들면 구독 동의를 CAPTCHA와 같은 다른 액션으로 위장하거나, 구독 알림 수락 및 거절 버튼을 교체하는 것 등이 포함된다. 공격자가 사용자의 동의를 얻고 나면 수많은 메시지를 보내기 시작한다. 통상은 멀웨어가 포함된 스캠 알림이나 피싱 메시지다.

3. 협업 스캠
알라쉬에 따르면 사이버 공격자들은 협업이 잦은 직종을 표적으로 삼는다. 대표적인 예로 디자이너, 개발자를 들 수 있고, 심지어 보안 연구원도 표적이 될 수 있다. ‘미끼’는 협업을 요청하는 초대장이다.

최근 팬데믹 위기로 인한 봉쇄조치와 재택근무의 확산은 사람들이 원격 협업을 익숙하게 받아들이도록 만들었고, 이 공격은 이러한 상황을 노린다. 

알라쉬는 “악성 코드가 포함된 비주얼 스튜디오 프로젝트를 보낸다. 사용자가 프로그램을 실행하면 장치가 금방 감염된다. 이런 공격은 프로젝트에서 다른 사용자를 돕거나 지원하고 싶어하는 욕구나 필요성을 악용한다”라고 설명했다.

보안 회사 리블레이즈(Reblaze)의 공동창업자이자 CTO인 추리 바 요차이는 이런 공격들이 정교하게 만들어져 있으며 디테일에 많이 신경을 쓴다고 밝혔다.

그는 “공격자는 연구자 행세를 하면서 사회적 증거를 축적한다. 이를테면 업계 전문가의 글이 올려져 있는 블로그, 트위터 계정, 유튜브 동영상, 링크드인, 디스코드 등을 활용해 제3자가 이들의 연구나 조사 결과를 확인해준 것처럼 보이게 한다. ‘표적’이 되는 사람은 의심을 했다가도 이런 다양한 사회적 증거를 보고 안심하게 된다”라고 말했다.

4. 공급망 파트너 위장
클라우드 기반 데이터분석 업체 수모 로직(Sumo Logic)의 CSO 조지 게르차우는 조직의 공급망 일부를 악용하는 공격이 현재 큰 문제로 부상하고 있다고 언급했다.

게르차우는 “볼 수 없는 걸 방어하기란 쉽지 않다. 예를 들면 신뢰하고 있는 파트너가 보낸 것처럼 보이지만 실제로는 이를 가장한 공격자가 보낸 악의적인 이메일이 아주 많다”라고 지적했다.

이와 관련해 그가 처음 관찰했던 사례는 수모 로직 직원들에게 보내진 사기성 기프트카드였다. 수모 로직의 실제 비즈니스 파트너가 보낸 감사 선물로 위장한 것이었다. 이런 공격은 시간이 지나면서 더욱더 정교해졌다.

게르차우는 “이제 공격자들은 더 오래, 그리고 정교하게 신뢰나 관계를 구축하려 시도한다. 특히 고객 지원팀이 대상이다. 심지어 공격자들은 무료 계정을 악용해 자사 제품을 사용하는 공급업체인 것처럼 위장한다. 직원들을 관여시키기 위해 사용 사례와 시나리오를 악용하기도 한다”라고 설명했다.

공격자들이 이렇게 신뢰 관계를 구축하는 궁극적인 이유는 일반적인 소셜 엔지니어링 공격을 더욱더 효과적으로 만들어 보안 통제를 우회할 수 있도록 도움을 받거나 표적으로 삼은 기업의 시스템을 손상시키는 멀웨어를 보내기 위해서다.

각종 언론의 헤드라인을 장식한 솔라윈즈 해킹은 공급망을 표적으로 한 대표적인 공격 사례다. 이른바 VEC(Vendor Email Compromise)로 불리는 공격이었다. 솔라윈즈 관계자는 “이메일 계정이 침해당했고 표적이 된 솔라윈즈 비즈니스, 기술 부문 직원들의 계정에 액세스하는 데 사용됐다”라고 밝혔다.

-> '솔라윈즈 해킹', 현재까지 알려진 사항과 새 악의적 행위자 살펴보기

5. 딥페이크(Deepfake)
이제 소셜 엔지니어링 공격자들은 피해자로부터 정보를 빼내거나 자신에게 유리한 행동을 하도록 유도하기 위해 딥페이크까지 사용하고 있다. 딥페이크란 인공지능을 활용해 특정인의 모습이나 목소리를 시뮬레이션하여 놀랍도록 사실적인 영상이나 녹음 파일 등을 만드는 걸 일컫는다.

요차이는 공격자들이 실제 목소리와 거의 구분되지 않는 복제된 음성으로 사기성 오디오 녹음본을 만들어 사용하는 오디오 딥페이크 공격이 갈수록 큰 문제가 되고 있다고 전했다. 

지난 2019년 CEO의 목소리를 위조해 직원에게 해외 계좌로 돈을 송금하도록 만들었던 사건이 대표적인 사례다. 그는 “부하 직원의 음성 사서함에 메시지가 남겨졌다. 부하 직원은 이 지시대로 공격자에게 24만 3,000달러를 송금했다”라고 말했다.

게르차우도 공격자들이 딥페이크 녹음본을 사용해 직원들로 하여금 돈을 보내게 하거나, 비밀 정보를 유출하도록 만든 사례를 확인했다고 말했다. 아직까지는 오디오 딥페이크와 관련된 사례만 존재하지만 비디오 딥페이크 사례 역시 시간 문제일 뿐이라고 그는 덧붙였다. 

게르차우는 “교육, 인식 제고, 보고, 투명성을 통해서만 이런 공격에 대한 보안을 강화할 수 있다. 보안은 접근할 수 있어야 하고, 모든 것을 로그로 기록해야 한다”라고 강조했다.

-> 사람을 속이는 딥페이크, 어느 수준까지 와있을까?

6. 텍스트 사기
문자 메시지는 꽤 오래 전부터 소셜 엔지니어링 스캠에 사용됐다. 그러나 프라이버시 및 보안 전문가 레베카 해롤드는 이런 텍스트 공격이 최근 들어 눈에 띄게 부상하고 있다고 말했다.

해롤드는 “오늘날 많은 사람이 전화 대신 문자를 사용한 커뮤니케이션을 선호한다. 사람들은 문자를 통해 비밀스러운 정보를 주고받는다”라고 설명했다.

특히 지난해 식료품 및 음식 배달이 증가하면서 배달과 관련된 스캠 문자이 증가했다. 또 코로나 지원금에 대한 정보를 제공하겠다는 문자도 자주 악용된다. 이를테면 피해자를 미국 국세청(IRS) 사이트를 가장한 곳으로 유도해 생년월일과 사회보장번호 같은 민감한 개인정보를 묻는 것이다.

미국 보건후생성(Department of Health and Human Services, DHHS)을 가장한 문자 스캠도 봤다고 해롤드는 전했다. 제공된 링크를 통해 ‘온라인 코로나 의무 테스트’를 받으라는 사기 문자였다. 그는 “이후 다른 스캠과 동일하게 개인정보를 빼낸다. 멀웨어를 컴퓨터 장치에 다운로드 받게 유도하는 경우도 많다”라고 설명했다. 

QR코드와 마찬가지로 피해자들은 이런 종류의 스캠을 아직 제대로 인식하거나 경계하지 못한다.

7. 타이포스쿼팅 또는 유사 도메인
카펜터는 타이포스쿼팅(Typosquatting)이나 유사 도메인이 BEC(Business Email Compromise) 공격에 자주 사용된다고 지적했다. 공격자들이 적법한 도메인을 가장해 피해자들을 속여 안심시킨다는 게 그의 설명이다. 

예를 들면 Google을 Gooogle로 표기하는 등 철자를 틀리게 입력하거나 .co.uk 대신 .uk를 사용하는 등 최상위 도메인을 변형하는 방법을 예로 들 수 있다. 초기의 엉성했던 사이트와 다르게 현재 이런 사이트들은 잘 디자인돼 있고 여러 기능을 내세우면서 정교하게 진짜 사이트를 흉내 내고 있다.

카펜터는 “소셜 엔지니어링 피해자들은 두 부류다. 내가 선택했기 때문에 심리적으로 안전하다고 판단하는 경우 그리고 공격자에게 속아서 심리적인 안심을 추구하는 경우다”라고 말했다. 이런 사이트를 만드는 공격자들은 멀웨어를 배포하는 한편 가짜 로그인 영역이나 가짜 양식 등을 통해 신용카드 정보 등의 민감한 데이터를 빼낸다고 그는 덧붙였다.
 
---------------------------------------------------------------
소셜 엔지니어링 인기기사
-> '신종 악성코드+소셜 엔지니어링 기법'으로 100만 달러 이상 갈취
-> 모의해킹 전문가 "소셜 엔지니어링 공격 성공률은 150%"
-> 'IT전문가도 당한다' 소셜 엔지니어링 사기 수법 7선
---------------------------------------------------------------

ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.