Offcanvas

랜섬웨어 / 악성코드

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

2022.03.30 Stacy Collett  |  CSO
교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다. 

사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다. 

보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다. 
 
ⓒGetty Images

스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다. 

인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다.

직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, 경솔함, 수줍음, 무관심)을 언급한 바 있는데, 오늘날에도 대부분의 직원들이 이 약점을 가지고 있다.  

오래된 사회공학 기법 5가지
보안 전문가들은 직원들이 다음의 5가지 낡은 사회공학 기법에 여전히 속아 넘어가고 있다고 지적했으며, 이에 변화를 더한 새로운 사기 4가지를 소개했다. 

1. 공식적인 것처럼 보이는 이메일(Official-looking email)
소속 회사의 CEO가 보낸 이메일처럼 보이고, 게다가 ‘이 문서에서 당신이 언급됐다’라는 제목이거나 ‘2022 임금 인상 및 직원 승진’이라는 링크가 포함돼 있다면 열어보지 않을 사람이 누가 있을까? 헬프시스템(HelpSystems)의 선임 위협 연구원 존 윌슨은 메시지의 출처가 합법적이거나 아는 사람에게서 온 것처럼 보이는 이메일에 사람들이 여전히 속는다고 말했다. 

그는 “여기서 공격자들은 자격 증명을 피싱하려고 한다”라면서, “이 경우 문서를 열어 보려면 오피스 365 자격 증명으로 다시 로그인해야 한다. 미끼가 궁금한 사람들은 열어보게 될 것이다”라고 설명했다. 

윌슨에 따르면 미끼와 관계없이 여기에서의 교훈은 다음과 같다. “무엇이든 열기 위해 다시 로그인해야 할 정당한 이유가 없다. 또한 사용자가 인증된 웹 사이트에 있는 경우에만 자격 증명을 적용하는 암호 관리자를 사용하는 게 좋다”라고 그는 권고했다. 

2. “여기에 무료 USB가 있다(Here’s a free USB stick)”
지난 1월 FBI는 美 우체국과 UPS를 통해 보내진 가짜 편지를 경고한 바 있다. 가짜 편지는 코로나19 관련 정보를 제공하는 보건복지부 또는 아마존을 사칭했으며, 악성 소프트웨어를 담은 USB가 들어 있었다. 만약 컴퓨터에 해당 USB를 삽입했다면 해킹 그룹이 기업의 네트워크에 액세스하여 랜섬웨어를 배포할 수 있었을 것이라고 FBI는 밝혔다. 이 사건으로 피해를 본 회사가 있는지는 불분명하지만 이는 오래된 사회공학적 공격이 여전히 남아있다는 사실을 상기시켜준다.

3. 기프트 카드 사기(Office gift card scam)
가장 효과적이진 않지만 아직도 사용되고 있는 가장 흔한 사회공학 기법은 기프트 카드 사기다. 구체적으로 살펴보면, 대부분 회사 경영진이 도움을 요청하는 이메일을 보낸다. 내용은 대개 이런 식이다. “경영진이 직원 보상용으로 기프트 카드가 필요한데 깜짝 이벤트이니 아무에게도 말하지 말라고 되어 있다”라고 윌슨은 언급했다. 목표는 직원이 카드를 구매하게 하고, 코드를 덮고 있는 은색 코팅을 긁어낸 다음, 카드 뒷면의 사진을 이메일로 보내게 하는 것이다.

그는 “[직원] 100명 중 1명꼴로 회신한다. 2019년 1월부터 약 1만 300건의 사건을 확인했으며, 고객의 데이터에서 매일 수백 건의 피싱 시도를 접하고 있다. 아직도 사용되고 있는 공격이기 때문에 누군가는 속고 있는 중이다”라고 전했다. 

4. “음성 메일이 있다(You have a voicemail)”
윌슨에 따르면 최근 몇 달 사이 (이메일을 통해 전송되는) 악성코드가 포함된 사내 음성메일이 다시 등장하고 있으며, 일부 직원은 여전히 이 음성메일에 속고 있다. 그는 “오랫동안 시도된 속임수다. 이는 (사람들이) 이메일을 확인하고 싶어 하기 때문에 좋은 유인책이다”라면서, “이 기법의 효과는 수신자가 누구이고 소속 부서가 어디인가에 따라 달라진다. 이를테면 엔지니어는 음성메일에 응답하려 하지 않을 것이다. 하지만 영업부서고 음성메일이 주문이나 잠재 고객일 가능성이 있다고 생각되면 열어볼 수도 있다”라고 설명했다. 

수신자는 회사에서 이메일을 통해 음성 메일을 보내는 시스템을 사용하고 있는지 자문해야 한다. 만약 그렇다면, 항상 이메일 주소 위에 마우스를 올려 확인된 발신자가 보낸 것인지 확인하라고 윌슨은 권고했다. 

5. “배송에 문제가 있다(There’s a problem with your package delivery)”
소포스의 수석 연구 과학자 체스터 비즈니에프스키는 가짜 소포 배송 통지가 15년 넘게 번성하고 (심지어) 진화하고 있다고 언급했다. 이러한 피싱에는 다양한 종류가 있지만 대부분 관세 또는 통관 수수료를 부과하도록 설계돼 있다. 또는 단순히 ‘배송 추적을 위해 이메일로 로그인’하도록 설계된 피싱 공격이며, (이를 통해) 자격 증명을 도용한다. 그는 “(이런 공격은) 수취인의 지역에 맞춰진 경우가 많고, DHL, UPS, 페덱스 등 글로벌 물류 업체를 스푸핑할 것”이라고 덧붙였다. 

새로운 사회공학 기법 4가지
물론 새로운 사회공학 기법은 너무나도 많지만 여기서는 오래된 공격 기법을 기반으로 한 더 일반적이고, 더 노골적이며, 더 위험한 새로운 속임수 4가지를 살펴본다. 

1. “도큐사인에서 온 법률 문서다(Here are your legal documents from DocuSign)”
특히 코로나 19 팬데믹이 시작된 이후 인기 있는 사회공학 기법은 ‘도큐사인(DocuSign)’을 통해 법적 문서에 서명하라는 요청으로 위장한 악성 소프트웨어다. 비즈니에프스키는 “요즘 디지털 방식으로 서명되는 법적 문서가 많다. (이를 위장한 속임수는) 해당 문서를 보려면 일종의 플러그인을 설치하라고 할 것이다. 하지만 이는 사실 컴퓨터 악성 소프트웨어다”라고 지적했다. 

2. “외상 매출금 보고서” 사기(Aging accounts report scam)
이 기법에서는 일반적으로 담당 직원이 회사 경영진의 이메일을 받는다. 이메일에는 해당 경영진이 미수금 채권 조사를 하고 싶다며, 최신 AR 내역 보고서를 보내 달라고 요청하는 내용이 쓰여 있다. (직원이 보내는) 이러한 AR 보고서에는 모든 고객의 채무 목록과 연체 기간 정보가 들어 있다. 이를 통해 공격자는 유사한 도메인 이름을 생성 및 등록하고, 그 목록에 있는 모든 사람을 공격한다고 윌슨은 설명했다.

이어 “공격자들은 채무액, 채무 시기, 지불 조건을 확인한 후 (목록에 있는 사람에게) ‘앞으로 이 계좌번호로 ACH 지불을 받는다’라고 말할 것이다. 유감스럽게도 모든 정보가 일치하기 때문에 고객도 이를 따른다. 이 속임수는 특히 위험하다. 회사뿐만 아니라 고객에게도 피해를 미치기 때문이다”라고 그는 덧붙였다. 

3. “계좌에 문제가 생겼다. 해결하려면 여기를 클릭하라(There’s a problem with your bank account. Click here to resolve the issue)”
사이버 범죄자는 피싱 이메일을 사용하여 타깃에게 은행 계좌, 이메일 계정 등에 문제가 있다고 생각하게끔 만든다. 이메일에는 타깃이 긴급한 문제를 해결하는 데 도움이 되는 링크가 포함돼 있다. 링크를 클릭하면 웹 브라우저 창이 열리고 해당 계정의 로그인 페이지로 이어진다. 그다음, 피해자는 자격 증명을 입력하고 MFA 코드를 입력하라는 메시지를 수신한다. 이후 계좌 또는 계정에서 아무런 문제가 발견되지 않으면 피해자는 메시지가 오류라고 생각하고 로그인에 사용한 브라우저 창 또는 탭을 닫는다.

노우비4의 보안인식 에반젤리스트 에리치 크론에 따르면 “이는 오래된 사회공학 공격을 막기 위해 향상된 보안 제어(예: MFA 등)를 우회하는 새롭고 까다로운 방법이다.” 그는 “많은 기업이 이에 사용되는 역방향 프록시 서버를 발견하는 데 능숙해져서 사이버 범죄자들이 공격을 하는 게 더 어려워졌다. 하지만 사이버 범죄자들이 반격에 나섰다”라고 덧붙였다. 

4. 전화 피싱(Phishing by phone)
전화를 사용하는 새로운 사기가 등장하고 있다. 바자르로더(BazarLoader)로 알려진 악성 소프트웨어는 브랜드(예: 아마존 등)를 사칭하여 구독으로 인해 수백 달러가 청구되고 있다고 속인다. 취소를 원하면 담당자에게 전화를 걸어야 한다. 사이버 범죄자들은 전화를 통해 악성 소프트웨어를 다운로드하고 (이를) 컴퓨터에서 실행하는 방법을 알려주는 실제 콜센터를 운영한다. 또는 스트리밍 비디오 서비스나 잡지를 취소하기 위한 유사한 미끼도 있다. 

비즈니에프스키는 “이런 공격은 절대 사라지지 않을 것이다. 경계를 늦추지 말아야 하며, 사기를 탐지했을 때는 다른 사람에게도 경고할 필요가 있다. 아울러 보안팀은 직원들이 속임수에 넘어갔을 때 쉽게 보고할 수 있도록 해야 하며, 직원들이 위험에 처하지 않았다는 것을 분명히 해야 한다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.