posted by 알짜 정보 岳岩 2019.08.29 06:53

에너지 분야에 있는 한 기업, CEO로 위장한 범인들의 이메일 받아
이메일 주소 다르고, 내용도 조금 어긋났지만 의심하는 직원 없어


[보안뉴스 문가용 기자] 에너지 산업 분야의 한 조직이 고도로 표적화 된 스피어피싱 공격을 받았다. 이 공격에서 눈에 띄는 건 피해 기업의 마이크로소프트 이메일 보안 솔루션들을 공격자들이 꽤나 교묘하게 피해가거나 무력화시켰다는 것이다.

[이미지 = iclickart]


이 공격을 분석한 보안 업체 코펜스(Cofense)의 전문가 아론 라일리(Aaron Riley)에 의하면 “공격자들은 피해 기업의 CEO인 것처럼 위장하고, 구글 드라이브 서비스를 통해 이메일을 보냈다”고 한다. 또한 받는 자들에게 “매우 중요한 메시지”처럼 보이기 위한 장치들도 삽입했다.

공격자들의 이메일은 정상적인 구글 드라이브를 통해 전송됐다. 그러나 한 가지 허점이 있었는데, 피해 회사가 보유하고 있는 이메일 주소 만드는 규칙과 어긋나는 이메일 주소가 사용되었다는 것이다. “그런데도 직원들 대부분 그 점을 이상하게 생각하지 않았어요. 아니, 확인조차 하지 않았더군요.”

그 이유는 메일을 보낸 사람이 CEO이고, 구글 드라이브라는 유명 서비스가 활용되었기 때문이다. “그렇기 때문에 마이크로소프트 익스체인지 온라인 프로텍션(Microsoft Exchange Online Protection)도 우회할 수 있었습니다. 피싱 이메일을 최종 사용자에게 통과시키기 위해 구글 드라이브를 사용하는 방법은 방어하는 입장에서 막아내기가 상당히 까다롭습니다.”

또한 이메일 본문 중간에 삽입되어 있는 링크들 역시 실제 구글 드라이브 공유 기능으로 만들어진 것으로, ‘악성’이라고 판단할 만한 근거가 겉보기에는 존재하지 않는다. 실제 마이크로소프트의 이메일 본문 검사 도구들도 이 악성 링크를 발견하지 못했다. “이메일 검사 툴이 링크 주소를 직접 방문해서 연결되는 파일을 검사하지는 않거든요. 그런 허점을 노린 것이죠.”

직원들이 이 이메일을 열고 링크를 클릭해 악성 파일을 다운로드 받은 후에는 어떤 일이 일어날까? “악성 행위가 곧바로 일어나지 않습니다. 문서에는 CEO가 사업적으로 내린 어떤 결정에 대한 설명이 저장되어 있습니다. 그리고 더 자세한 내용을 읽고 싶으면 다른 문서를 참고하라는 안내가 나와 있죠. 한 링크와 함께요.” 그러니 이메일 보안 도구가 역할을 제대로 할 수 없었다는 것.

링크를 클릭한 사용자들은 가짜 로그인 페이지로 안내됐다. 최근 등록된 도메인에 있는 페이지로, 당연히 피해자들이 입력한 크리덴셜을 어디론가 빼돌리는 기능을 가지고 있었다. “이 캠페인에 사용된 문서는 피해 기업의 상황에 꼭 맞게 만들어져 있었습니다. 공격자들이 얼마나 치밀하게 사전 계획을 세우고 준비했는지 알 수 있습니다. CEO의 이름, 회사의 사업 진행 상황, 회사 로고 등의 정보가 고루 섞여 있었습니다.”

이 공격이 매우 정교했다는 것과 별개로 직원 대상의 보안 교육과 인식 제고 훈련이 효과를 거두지 못한 부분에 대해서도 지적이 나오고 있다. 일단 CEO의 이메일 주소가 회사가 가지고 있는 내규를 확연히 어기고 있는데도 의심을 한 사람이 한 명도 없었다는 부분에서 핑계거리가 없다. “게다가 회사의 사업 진행 방향이라는 것도 1년 전에 중단된 것이었습니다. 누가 봐도 이상한 영어 문장도 두 개나 포함되어 있었고요.” 문제의 이상한 문장들은 얼마 전 대학교들을 겨냥한 피싱 공격에서도 똑같이 발견된 바 있다.

라일리는 “이 사건의 가장 심각한 부분은, 구글 드라이브를 사용한 피싱 이메일 공격에 대해 현존하는 이메일 방어 장치를 사용했을 때 큰 소용이 없다는 것”이라고 짚는다. “다만 최근 등록된 도메인을 차단하는 규정을 콘텐츠 필터링 장치에 적용하면 어느 정도 도움이 될 수 있습니다. 하지만 이것이 근본적인 해결책이 되지는 못합니다.”

코펜스가 운영하는 피싱 방어 센터(Phishing Defense Center)를 통해 보고되는 위협들의 75%가 크리덴셜을 노리는 것이다. 라일리는 “해커들 사이에서 크리덴셜의 인기가 당분간 사그라지지 않을 것으로 보인다”며 “크리덴셜 보호에 사용자 개개인이 각별히 신경을 써야한다”고 강조했다. 보안뉴스

3줄 요약
1. 구글 드라이브 사용해 피싱 메일 보내니, 이메일 보호 장치들이 반응 못함.
2. 에너지 산업의 한 기업, 최근 이 방법으로 공격당함. 힌트가 있었지만 의심한 직원 없음.
3. 최근 등록한 도메인을 차단해주는 기능 도입하면 어느 정도 방어에 도움이 됨.

댓글을 달아 주세요