최근 마이크로소프트의 메모장 겸 노트 필기 앱인 원노트(OneNote)를 활용한 피싱 캠페인이 발견됐다. 원노트는 사용이 매우 간편하고 접근성도 뛰어나 공격자들은 피싱 공격 테마를 이리저리 바꿔가면서 마음껏 실험을 진행할 수 있다. 이에 따라 실험이 쉽고 잦아지니 당연히 공격 성공률도 올라간다.
보안 업체 코펜스가 발견한 공격은 공격자들이 마케팅 매니저로 위장하여 인보이스를 보내는 스팸 메일 공격이었다. 메일에는 인보이스로 넘어가는 링크가 첨부되어 있었는데, 이 링크는 사실 tiny.cc로 가는 링크로, 클릭할 경우 공격자들이 준비한 원노트 문서가 다운로드 된다.
사용자들의 클릭을 유발하는 방법도 가지가지였다. 거래가 성공적으로 완료됐다며 자세한 내역을 보려면 클릭하라는 방식도 있었고, 원드라이브와의 싱크가 맞지 않으니 다시 한 번 로그인을 하라는 내용도 있다. 전자는 클릭할 경우 멀웨어가 다운로드 됐고, 후자는 로그인을 하면 크리덴셜을 공격자들이 가로챘다.
공격자들이 원노트를 사용함으로써 얻는 이득은 첫 번째로 여러 가지 템플릿을 바꿔가며 공격하는 게 쉬워 다양한 테마를 적용해 피해자를 꾀어낼 수 있다는 점이다. 또한, 기존의 보안 장치들로는 원노트로 들어오는 위협들을 탐지하는 게 쉽지 않다.
원노트의 또 다른 특징은 원드라이브라는 클라우드 서비스에 호스팅되어 있다는 것이다. 유명 클라우드 서비스는 사람들의 신뢰를 받고 있기 때문에 클릭 등을 유도하기가 훨씬 쉽다는 점을 이용하는 것이다.
[제작=서울여대 정보보호학과 학생회]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>