PhaaS는 클라우드로부터 기존 피싱 공격을 감행하는 것으로, 서비스형 피싱 공격(Phising as a Service)의 약자다. 피싱(Phising)은 사용자의 금융 정보와 패스워드를 낚는 것에서 유래된 사이버 공격이며, Private Data와 Fishing의 합성어다.

PhaaS가 등장한 것은 전문 기술이 없는 사용자(의뢰인)와 공격 능력 및 도구를 가진 판매자(해커)들의 이해관계가 맞아 떨어지면서부터다. 피싱이 이제는 SaaS(Software as a Service)와 비슷한 방식으로 구독자가 원하는 부분만 별도로 구독 서비스를 제공하는 서비스형 피싱으로 영역을 확장하게 됐다.

전문 사이버 범죄집단(해커)들은 피싱에 필요한 모든 프로세스를 단계별로 세분화해 의뢰자의 요구에 따라 구독 기반으로 제공하며, 이러한 은밀한 거래는 다크웹에서 활성화되고 있다.

PhaaS의 급성장으로 인한 위험성은 크게 세 가지다. 첫 번째는 상대적으로 저렴한 비용이다. 기존 피싱 공격에 비해 공격하는 데 드는 비용이 1/4밖에 되지 않아 공격자들이 거두는 실익이 증가한다.

두 번째는 신속한 차단이 불가능하다는 점이다. 실제 판매자(제작자)를 찾아내기 힘들기 떄문에 연쇄적인 공격을 신속하게 차단하지 못한다. 피싱 키트의 제작자와 사용자가 나뉘게 되면서 공격자(사용자)를 찾는다 해도 제작자를 찾기는 어렵다.

세 번째는 기술이 필요 없다는 점이다. PhaaS를 전문적으로 공급하는 업체가 등장하고, 사용자와 판매자간 생태계가 구축된 상태다. 따라서 PhaaS를 활용하면 해킹 기술이나 피싱 공격 기술을 보유하고 있지 않은 초보자들도 동시다발적인 공격을 감행할 수 있게 된다.

PhaaS 공격을 대비할 수 있는 방안으로는 ①소프트웨어 패치 및 업데이트 유지 ②백업 활성화 ③피싱 공격의 지원지로 알려진 웹사이트 차단 ④피싱 방지 소프트웨어 사용 등이 있다.
[제작=서울여자대학교 정보보호학과 학생회 플레이스]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>