“윈도 7을 업그레이드하라”는 메시지 동반한 피싱 공격...아웃룩 크리덴셜 노려
윈도 업그레이드, 말처럼 간단한 일 아냐...아직도 수많은 시스템에서 윈도 7 발견돼

[보안뉴스 문가용 기자] 윈도 7을 업그레이드 반드시 업그레이드 해야 한다는 내용의 권고문이 돌아다니고 있다. 여기에 속으면 아웃룩 크리덴션을 도난당한다. 윈도 7은 지난 1월 14일 공식 지원이 끝난, 그러므로 수명이 다한 제품으로 MS는 모든 기업과 조직에 윈도 10으로의 업그레이드를 권하고 있다.


[이미지 = utoimage]

“하지만 OS 업그레이드라는 게 그리 간단한 일이 아닙니다. 상황에 따라서는 지독하게 골치 아픈 일이 될 수도 있지요. 이 때문에 많은 조직들이 위험을 감수하고도 윈도 7을 그대로 유지하는 겁니다.” 이번 대규모 피싱 공격을 발견한 코펜스(Cofense)의 분석가 칼렙 커크(Kaleb Kirk)의 설명이다. “하지만 이런 식의 패치 연기는 결국 공격자들에게 활동 시간을 주는 것이나 다름이 없습니다.”

현재 돌아다니고 있는 피싱 이메일의 제목은 ‘Re : Microsoft Windows Upgrade’이다. 열어 보면 “당신의 컴퓨터 시스템이 너무 오래돼 업그레이드가 필요하다”는 본문이 나온다. 또한 업데이트 스케줄도 명시되어 있다. 업그레이드를 위한 사이트라는 곳에 대한 안내도 첨부되어 있다. 이 안내에 따라 링크를 누르면 피싱 랜딩 페이지로 연결된다. 이 모든 메시지들에는 기본적인 철자 오류가 있어 제대로 읽으면 수상한 점을 알 수 있다. 게다가 ‘From’ 필드도 빈 칸으로 남겨져 있다.

“공격자가 누구인지 모르지만 2점 정도는 줄 수 있을 것 같습니다. 가짜로 일련번호와 빌드 번호도 삽입했고, 오늘 업데이트를 해야 한다는 걸 강조함으로써 피해자들에게서 조바심을 이끌어내려고도 하죠. 본문에 철자 오류가 있긴 하지만 많진 않습니다. 주의 깊게 살펴야 할 부분이죠. 나름 피싱 공격에 대해 잘 학습했고, 잘 실천했다고 볼 수 있습니다.” 커크의 설명이다.

피해자가 여기에 속아 URL을 누르게 되면 피싱 페이지로 들어가게 되는데, 이 페이지는 아웃룩 웹 앱(OWA) 로그인 페이지처럼 생겼다. 여기에 피해자는 이메일 주소, 도메인, 사용자 이름과 비밀번호를 입력하도록 되어 있다. “그런데 여기서 공격자들은 점수를 많이 깎아먹었습니다. 잘해봐야 D- 정도? OWA 로그인 페이지가 형편없이 제작되어 있었거든요. 누구나 보면 이상하다는 걸 느낄 정도입니다.” 그런데도 피해자가 속아 여러 정보를 입력한다면, 이 정보는 윈도 7의 지원을 중지한다는 MS의 안내 페이지로 전달된다.

업그레이드나 업데이트를 테마로 한 피싱 이메일은 어제 오늘 처음 나온 수법이 아니다. 지난 4월에도 시스코의 보안 권고문처럼 보이는 가짜 메일을 전송해 크리덴셜을 수집하는 공격이 있었다. 당시 공격자들은 치명적인 취약점이 발견됐다는 안내문을 통해 피해자들에게 ‘반드시 업그레이드 해야 한다’는 메시지를 전달했다.

이번 윈도 7 업그레이드 관련 피싱 메시지의 경우, 이번으로 끝나지 않을 것으로 예상된다. 윈도 업그레이드는 당분간 모든 조직들이 필요로 하는 것이며, 아직 업그레이드를 끝내지 않은 곳이 많이 남아 있기 때문이다. 심지어 지금 발견된 캠페인에 비해 훨씬 정교한 공격이 앞으로 발견될 것으로 예상된다.

커크는 “이번 공격은 뭔가 성급하게 준비된 흔적이 역력하며, 따라서 여러 가지 부분에서 허술함이 보인다”고 설명한다. “아직은 좀 더 발전해야 할 여지가 있습니다. 나쁘지 않은 시도의 흔적들이 눈에 보이긴 하지만 말이죠. 이런 부분이 보완되어 차근차근 나타날 것으로 예상합니다만, 더 두고봐야 할겠죠.”

3줄 요약
1. 윈도 7을 사칭한 피싱 메일, 대량으로 돌아다니는 중.
2. 이 공격의 목표는 아웃룩의 크리덴셜을 훔치는 것.
3. 하지만 아직은 허술한 점 많음. 좀 더 발전해 나타날 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>