원격 근무자들 통해 화상 회의 크리덴셜 훔치려는 노력들 거듭 이어지고 있어
최근 스카이프 공격의 경우, 사용자가 신뢰할 수밖에 없는 여러 장치 겹겹이 마련

[보안뉴스 문가용 기자] 원격 근무자들을 겨냥한 피싱 공격이 새롭게 등장했다. 이번에는 스카이프(Skype)의 비밀번호를 훔치는 것이 주요 목적이라고 한다. 공격에 사용되는 메일은 스카이프가 고객들에게 보내는 공식 알림 메일과 상당히 흡사하다고 한다. 이에 대해 보안 업체 코펜스(Cofense)가 상세히 발표했다.


[이미지 = iclickart]

스카이프는 사용자가 확인하지 않은 메시지가 어느 정도 쌓일 경우 이메일로 해당 사실을 알린다. 스카이프 사용자라면 제법 자주 받는 메일 중 하나다. 코펜스도 이런 부분을 설명하며 “공격자가 이러한 사실을 노려 사용자가 무심코 클릭할 수 있도록 유도한 것”이라고 짚었다. “어떤 메시지가 왔나 궁금해서, 혹은 내가 또 무슨 중요한 메시지를 놓친 건 없나 급한 마음에 알림 메일을 누르고 ‘Review’ 버튼을 누르는 순간 공격이 시작됩니다.”

그러나 공격자들의 메일과 스카이프의 공식 알림 메일이 완전히 똑같이 생긴 건 아니다. 발송자의 주소가 조금 다르다고 한다. 또한 Review 버튼을 누르면 사용자들은 app.link로 우회 접속된다. 그 뒤 또 다른 최종 랜딩 페이지에 도달하게 된다. app.link의 주소는 https://jhqvy.app.link/VAMhgP3Mi5이고, 최종 랜딩 페이지의 주소는 https://skype-online0345.web.app이다.

최종 랜딩 페이지가 호스팅 되어 있는 .app은 최고 수준의 도메인으로 구글이 개발자들을 위해 지원하고 있다. 개발자들끼리 앱을 안전하게 공유하는 데 주로 사용된다. 그렇기 때문에 공격자들이 주소를 확인해도 속을 수 있다. 코펜스는 “공격자들이 HTTPS 도메인을 사용한 건 한 층 더 안심할 거리를 피해자들에게 제공하기 위해서”라고 설명한다.

사용자는, 피싱 공격을 의심하고 출처를 눈으로 확인한다고 해도, 구글이 공식 지원하는 .app 도메인에 HTTPS, 그리고 초록색 자물쇠 아이콘까지 보게 된다. 공격자들이 현대 인터넷 사용자들이 보안을 위해 어떤 교육을 받는지 잘 이해하고 있다는 게 보이는 대목이다.

문제의 이 .app 페이지는 정상적인 스카이프 로그인 페이지와 흡사하다. 스카이프 사용자는 당연히 스카이프의 공식 인증 절차인 줄 알고 크리덴셜을 입력할 공산이 크다. 또한 공격은 표적 공격으로 이뤄지고 있기 때문에 피해자에 따라 다른 로고와 안내 문구가 나간다. 대부분 피해자가 소속된 조직의 로고와 ‘인증된 사용자만 열어볼 수 있다’는 내용이 첨부되어 있다.

코펜스는 “최근 원격 근무자들을 노리는 캠페인이 대단히 많이 눈에 띄고 있다”며 “줌, 웹엑스, 스카이프 등 온라인 협업 플랫폼들에서 여러 가지 사고가 발생하고 있다”고 경고했다. “특히 각 플랫폼 사용자들의 크리덴셜을 노리는 공격이 늘어나고 있는데, 암시장에 팔기 위한 것으로 보입니다. 주요 조직들의 회의 세션에 들어가고 싶어 하는 공격자들과, 아무 회의장에 난입해 트롤 행위를 하고 싶어 하는 자들이 많기 때문에 수요가 제법 큰 것으로 알고 있습니다.”

코펜스는 “원격 회의 플랫폼을 많이 사용하는 조직의 구성원들이라면 이런 류의 공격이 있음을 염두에 두고, 항상 메신저나 전화 등 추가적인 소통 방법을 통해 참가할 회의 세션과 참석자, 회의 주제를 확인해야 한다”고 권고했다. 또한 “여러 가지 코로나 관련 정보에 목마른 것은 알겠지만, 아무 정보에나 관심을 가져서는 안 된다”고도 덧붙였다.

3줄 요약
1. 화상 회의 플랫폼 노리는 공격자들 많아지고 있음.
2. 이번에는 스카이프 크리덴셜을 노리는 교묘한 공격이 발견됨.
3. 다단계로 사용자 안심시키기 위한 장치 마련되어 있을 정도로 교묘하고 철저한 공격임.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>