[보안뉴스 문가용 기자] BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득했다. 근처 지역에서 생성된 IP 주소를 구매해서 자신들의 로그인 시도를 감추는 것이다. 이렇게 했을 때 MS의 보안 기능 중 하나인 ‘불가능한 이동(impossible travel)’ 경고 신호가 뜨지 않게 된다. MS가 이러한 공격 전술을 발견해 세상에 알리며 경고했다.
[이미지 = gettyimagesbank]
‘불가능한 이동’ 경고는 말 그대로 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것을 말한다. 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산해 지금 말이 되는 일이 일어나고 있는 건지 아닌지를 판단해주는 것이다. 예를 들어 A라는 사용자가 항상 9시경에 서울 마포에서 접속을 하는데, 어느 날 갑자기 로그아웃을 하고 다시 10시에 나이지리아에서 접속 시도가 있을 때 윈도가 ‘불가능한 이동’이라는 경고 메시지를 띄우는 것이다.
이러한 보안 기능은 BEC 공격자들이나 계정 탈취 공격자들을 적잖이 어렵게 만들고 있다. 자신들이 사는 지역에서, 주로 다른 나라에 있는 피해 기업에 소속된 직원의 계정 정보를 가지고 접속을 시도해야 하는데, ‘불가능한 이동’이라는 경고가 자꾸 뜨니 말이다. 하지만 피해 기업 근처의 IP 주소를 이용해 공격을 시도하면 ‘불가능한 이동’이라는 경고가 뜨지 않게 만들 수 있다. MS가 경고하는 공격자들의 새로운 수법이 바로 그것이다.
이런 공격을 수행하기 위해 공격자들은 불릿프로프트링크(BulletProftLink)와 같은 플랫폼들과 피해자 지역 내 IP 서비스들을 혼합하여 사용한다고 한다. 풀릿프로프트링크는 대규모 악성 이메일 캠페인을 실시할 수 있도록 해 주는 플랫폼이다. 이렇게 했을 때 피해자의 보안 시스템이 보기에는 근처 지역에서 이메일이 날아오거나 접속이 시도되는 것이므로 일단 누군가 ‘불가능한 이동’을 한 것으로 파악되지는 않는다. MS는 현재 아시아와 동유럽의 해커들 사이에서 이러한 수법이 유행하고 있다고 경고한다.
사라질 기미를 보이지 않는 BEC 공격
2022년 FBI는 2만 1천 건 이상의 BEC 관련 신고가 접수됐다고 밝힌 바 있다. 그 해 BEC 공격자들이 일반 기업들에 입힌 피해는 27억 달러가 넘어간 것으로 집계됐다. MS는 그 후 BEC 공격자는 더 극성스러워지고 있고, 피해액도 늘어나고 있다고 경고했다. 피해자를 속이는 수법도 다양해, 영수증이나 물품 구매 확인서, 급여나 상품권, 사업 정보 등의 테마가 주로 사용됐다.
“BEC 공격자들은 취약점 익스플로잇을 하는 부류가 아닙니다. 일반 직장인들이라면 받아보는 홍수 같은 이메일 속에 슬쩍 자신들의 덫을 끼워넣는 자들입니다. 너무 많은 이메일을 처리해야 해서 잠시 경계가 흐트러지거나 집중력이 흐려지는 순간, 그래서 발생하는 실수를 노리는 것이죠. 그러므로 기술적인 대처가 되지 않습니다. 누구나 순간의 실수는 하니까요.” MS의 설명이다.
BEC 공격자들은 기업의 임원진이나 관리자급 직원을 주로 노리는데, 그 중에서도 재무 담당자와 HR 직원들을 자주 공략하는 편이다. 금융 정보와 개인정보를 훔쳐내기 위함이다. 훔쳐낸 정보를 가지고 추후 공격을 기획하여 해낸다. 그 외에 새로운 직원들도 주요 공략 대상이 되는 편이다. 실수를 하면 할수록 공격자에게 큰 이득이 되는 사람이나 실수할 가능성이 높은 사람을 노린다고 볼 수 있다.
‘불가능한 이동’ 경고가 뜨지 않을 때
공격자가 자신의 IP를 갖은 수법으로 감추는 건 어제 오늘 일이 아니다. 이미 십수 년 전부터 있어왔던 전략이다. 다만 이 오래된 전략이 BEC 공격자들과 맞물렸을 때 꽤나 파괴적인 결과가 나오고 있다는 게 문제다. “결국 한두 가지 보안 기능 혹은 경고 기능에만 의지했다가는 공격을 허용하게 된다는 교훈을 다시 한 번 얻어가게 됩니다. 보안은 여러 겹의 복합적인 장치들로 구성되어 있어야만 효력을 발휘합니다.” MS의 설명이다.
SaaS 보안 전문 기업 레조네이트(Rezonate)의 CEO 로이 애커만(Roy Akerman)도 여기에 동의하며 “지역 정보만 확인해서 접속 시도 트래픽의 악성 여부를 판단할 수 없다”고 지적한다. 지역 위치 정보는 여러 단서 중 하나일뿐이다. “브라우저 정보, 접속 후 행동 패턴, 특정 데이터의 활용 여부 등 악성인지 아닌지를 판단할 때 참고해야 할 정보는 대단히 많습니다.”
MS는 위치 정보를 가리려는 공격 전략을 막아내려면 이메일 전송자를 확인할 수 있는 메일 보안 솔루션과 디마키(DMARC)를 활성화시키는 게 좋다고 권장한다. “신뢰할 수 없는 사람이나 주소로부터 메일이 왔을 때 경고가 뜨도록 설정해야 합니다. 수상한 자를 막아내는 게 관건이 아니라, 확인할 수 없는 자로부터 들어오는 모든 트래픽을 차단하는 게 중요합니다.” 애커만의 설명이다.
사내 인증 관련 규정을 보다 엄격하게 설정하는 것도 좋은 방어법이 된다. 예를 들어 다중 인증 옵션을 활성화시킬 경우, BEC 공격 및 계정 탈취 공격을 성공시키는 건 기하급수적으로 어려워진다. “첫 번째 단계의 비밀번호를 알아내 뚫어내는 것도 어려운데, 다른 인증 장치를 여러 번 더 뚫어야 하니 공격자들로서는 난감한 상황이 됩니다. 이렇게 인증을 어렵게 만들어 놓으면 공격자가 피해자 근처 지역의 IP 주소를 구매해도 소용이 없게 되죠.”
각종 사기 전술에 대한 임직원 교육도 필수다. 공격자들의 최신 수법을 알게 되는 것만으로도 공격을 막아내는 비율을 높일 수 있다. “피싱 공격이나 BEC 공격은 공격자들 스스로 계속 변화시키는 것이므로 교육 역시 계속 새로워져야 합니다. 오래된 피싱 수법만 알고 있어서는 최근의 수법을 방어하는 게 쉽지 않지요. 새로운 전략이 발견될 때마다 알리고 전파해서 조금이라도 방어의 벽을 두텁게 만들 필요가 있습니다.”
3줄 요약
1. BEC와 계정 탈취 공격 막으려고 도입한 ‘불가능한 이동’ 경고 기능.
2. 하지만 피해자 근처의 IP 주소를 활용함으로써 간단히 경고를 끌 수 있음.
3. 메일 보안 강화와 다중 인증 도입, 사용자 교육으로 방어해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>