기존의 피싱 기법을 살짝 비튼 전략이 새롭게 등장했다. 크리덴셜을 훔쳐내는 게 기존 피싱의 목적이었다면, 이번 피싱 기법은 불순한 시도 없이 로그인을 하도록 내버려둔다. 대신 로그인 이후가 문제다.
3줄 요약
1. 피싱 메일인데 거의 모든 요소들이 ‘진짜’라서 속기 쉬운 피싱 공격 발견됨.
2. 심지어 크리덴셜을 훔치는 것도 아니고, 정상적으로 페이팔에 로그인이 됨.
3. 다만 로그인 후 공격자 계정과 피해자 계정이 연결되는 게 문제.
[보안뉴스 문가용 기자] 기존의 피싱 공격 수법을 살짝 꼰, 새로운 유형의 피싱 전략이 발견됐다. 보안 업체 포티넷(Fortinet)의 CISO가 직접 발견해 분석한 건데, 새로운 전략도 전략이지만 그러한 위협을 파헤치는 보안 전문가로서의 진심어린 태도에 더 눈이 간다. 해커들보다 더 눈에 띄는 이 CISO의 이름은 칼 윈저(Carl Windsor)다.
[이미지 = GettyImagesBank]
윈저는 어느 날 신경 쓰이는 현상을 하나 발견했다며 글을 시작한다. “제 업무 메일로 페이팔을 사칭한 피싱 공격이 자꾸 들어왔습니다. 보자마자 이상했지요. 저는 업무용 이메일을 페이팔에 연결해놓고 쓰지는 않으니까요. 게다가 받는 사람으로 명시된 주소가 Billingdepartments1@gkjyryfjy876.onmicrosoft.com였는데, 제 주소가 아니었습니다.”
평소였다면 윈저는 이런 피싱 시도가 있었다는 걸 관련 담당자나 부서, 기관 등에 보고하고 지나쳤을 것이라고 한다. 하지만 이번엔 뭔가 달랐다. “저는 CISO라서 그런지 피싱 공격을 보면 거의 반사적으로 ‘우리 어머니였으면 어떻게 반응했을까?’를 자문합니다. 이번에도 그랬어요. 어머니가 가진 메일 주소와 연계된 것처럼 보이는 페이팔 피싱에, 어머니가 제대로 대처할 수 있을까, 궁금해졌습니다. 또한 뭘 더 안내드려야 이런 공격에 당하지 않으실까도 더 알아내고 싶었고요.”
그래서 윈저는 이러한 메일이 피싱 메일임을 알려주는 ‘손쉬운 힌트들’을 찾기 시작했다. 어머니라면 어땠을까, 어머니에게 뭘 눈여겨보라고 해야 잘 이해하실까를 고민하면서였다. “일단 보내는 사람의 주소만큼은 정상적인 것처럼 보였습니다. 게다가 URL도 멀쩡해 보였습니다. 어설프게 뭔가를 흉내 낸 느낌은 전혀 없었습니다. 우리 어머님이었다면 ‘피싱 메일이 아니다’라고 결론을 내렸을 법했습니다.”
멀쩡한 URL에 멀쩡한 주소라니, 어쩌면 그냥 평범한 메일인 건 아닐까? 그래서 윈저는 메일 속 링크를 클릭했다. “클릭을 했더니 페이팔의 로그인 페이지로 접속이 되더군요. 명시된 금액을 결제할 테니 로그인을 해달라는 내용의 페이지였습니다. 돈이 나간다니까 사람들은 놀라서 일단 접속부터 한 후에 결제를 취소할 생각부터 하는 게 일반적이겠지요.”
그래서 실제로 로그인을 하면 어떻게 될까? “멀쩡하게 로그인이 됩니다. 다만 피해자의 페이팔 계정 주소가 다른 계정과 연결됩니다. 왜냐면 피해자가 로그인을 하자마자, 페이팔에는 ‘사용자가 계정 연결을 신청한다’는 요청이 전달되도록 꾸며졌기 때문입니다. 제게 들어온 피싱 메일의 경우 페이팔은 제가 로그인한 계정을 위에서 언급한 Billingdepartments1@gkjyryfjy876.onmicrosoft.com와 연결시키려 했습니다.”
어떤 원리로 이런 공격이 성립되는 것일까? 윈저는 이것이 MS365와 관련이 있는 것으로 보인다고 알리고 있다. “공격자가 MS365 테스트 도메인을 미리 등록시켜 둔 것으로 보였습니다. 3개월 동안 무료로 유지할 수 있는 도메인이죠. 공격자는 이 도메인을 활용해 계정을 하나 판 뒤 배포 목록(Distribution List)을 생성하고, 그 목록 안에 제 업무용 이메일 주소와 다른 피해자 주소들을 삽입한 것입니다. 그러고는 이 배포 목록을 활용해 페이팔 웹 포털에서 돈을 요청하면 ‘이 계정으로 돈을 보내시오’라는 요청이 목록 속 이메일들로 일제히 전송됩니다. 제가 받은 메일도 바로 이 요청이었죠.”
이렇게 메일이 대량으로 나갈 때 MS365의 도구 중 하나인 SRS(Sender Rewriting Scheme)를 통해 보내는 사람의 주소가 바뀐다는 것도 윈저는 알아냈다. “예를 들어 bounces+SRS=onDJv=S6@5In7g7.onmicrosoft.com으로 주소를 변경하면 이메일 보안 도구들인 SPF, DKIM, DMARC 등을 통과합니다. 그래서 이 피싱 이메일이 제 업무 메일함에 계속 도착하는 것이었습니다.”
결국 이 공격에 속아(속기 쉽게 만들어져 있었다!) 로그인을 실시할 경우, 피해자의 페이팔 계정이 공격자의 페이팔 계정과 연결되는 게 이 피싱 공격의 핵심이다. 일반 피싱 공격의 경우 로그인 정보 자체를 훔쳐가는 게 목적인데, 이번 공격은 서로 연결시키는 게 목적이었다는 차이가 있었다는 것이다. “연결만 해두어도 피해자의 페이팔 계정을 어느 정도 조작할 수 있습니다. 사실상 크리덴셜을 훔친 것이나 다름 없는 효과를 누리게 되는 건데, 너무 깔끔하게 공격이 이어져서 아마 페이팔도 이런 피싱 공격을 적발하기 힘들 것으로 보입니다.”
그러면 이런 공격에 어머님들은 당하는 수밖에 없는 걸까? “확실히 우리가 일반인들에게 경고해왔던 피싱 기법과는 다른, 색다른 전략이 사용되고 있었습니다. 이메일 주소, URL 등 모든 요소들이 완벽히 진짜였고, 심지어 크리덴셜을 중간에서 가로채는 시도조차 없습니다. 그러므로 기존의 피싱 차단 솔루션들로는 막을 수가 없습니다. 인간 방화벽을 발동시키는 것만이 지금으로서는 정답입니다.”
인간 방화벽이란 무엇일까? “아무리 새로운 피싱 공격이라도 충분한 교육과 훈련을 거친다면 공격 시도를 알아볼 수 있습니다. 그런 사람들을 계속해서 만들어내야 한다는 소리입니다. 아무리 신선한 피싱 전략이라 하더라도 가짜는 가짜이고, 진짜와는 분명한 차이가 있거든요. 개개인이 그런 구분을 할 줄 알아야 조직이 근본적으로 안전해집니다. 솔루션을 사용한 안전 대책의 유효 기간은 생각보다 짧습니다.”
참고로 페이팔은 “페이팔로부터 온 것같은 이메일이 진짜인지 가짜인지, 다음 사항을 참고해 확인하라”고 권장한다.
1) 사람의 이름을 구체적으로 명시하지 않은 인사말이 사용되고 있다.(예 : Dear user)
2) 다른 웹사이트로 우회 접속되는 링크를 누르라는 내용이 포함되어 있다.
3) 내용이 불분명한 첨부파일이 포함되어 있다.
4) 뭔가 급한 일인 것처럼 서두를 것을 강요한다.
그래서?
‘우리 어머니라면 어땠을까?’라며 분석을 시작한 윈저이지만 아쉽게도 어머님께 어떤 지점들을 가르쳐 드렸는지 언급하지 않고 있다. 하지만 페이팔과 잘 연결하지 않는 계정으로 페이팔 이메일이 들어왔다거나, 내용을 상세히 보면 받는 사람으로 명시된 주소가 자신의 것이 아니었다거나, 사람을 조급하게 만들려는 의도가 비춰진 다거나 하는 전형적인 피싱의 요소들이 여전히 존재하고 있음을 강조하고 있다. 아무래도 이러한 내용으로 당부의 말씀을 어머님께 전하지 않았을까 추측해 봄직하다.
진짜 URL과 진짜 이메일 주소로 이메일이 날아오더라도, 금방이라도 엉뚱한 돈이 결제될 것만 같은 내용이더라도, 조금만 차분하게 마음을 가라앉히고 메일과 관련된 주변 상황들과 정보들을 검토하면 힌트들을 발견할 수 있을 거라는 게 윈저가 ‘아들의 시선에서’ 일반인들에게 주는 메시지다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 피싱 메일인데 거의 모든 요소들이 ‘진짜’라서 속기 쉬운 피싱 공격 발견됨.
2. 심지어 크리덴셜을 훔치는 것도 아니고, 정상적으로 페이팔에 로그인이 됨.
3. 다만 로그인 후 공격자 계정과 피해자 계정이 연결되는 게 문제.
[보안뉴스 문가용 기자] 기존의 피싱 공격 수법을 살짝 꼰, 새로운 유형의 피싱 전략이 발견됐다. 보안 업체 포티넷(Fortinet)의 CISO가 직접 발견해 분석한 건데, 새로운 전략도 전략이지만 그러한 위협을 파헤치는 보안 전문가로서의 진심어린 태도에 더 눈이 간다. 해커들보다 더 눈에 띄는 이 CISO의 이름은 칼 윈저(Carl Windsor)다.
[이미지 = GettyImagesBank]
윈저는 어느 날 신경 쓰이는 현상을 하나 발견했다며 글을 시작한다. “제 업무 메일로 페이팔을 사칭한 피싱 공격이 자꾸 들어왔습니다. 보자마자 이상했지요. 저는 업무용 이메일을 페이팔에 연결해놓고 쓰지는 않으니까요. 게다가 받는 사람으로 명시된 주소가 Billingdepartments1@gkjyryfjy876.onmicrosoft.com였는데, 제 주소가 아니었습니다.”
평소였다면 윈저는 이런 피싱 시도가 있었다는 걸 관련 담당자나 부서, 기관 등에 보고하고 지나쳤을 것이라고 한다. 하지만 이번엔 뭔가 달랐다. “저는 CISO라서 그런지 피싱 공격을 보면 거의 반사적으로 ‘우리 어머니였으면 어떻게 반응했을까?’를 자문합니다. 이번에도 그랬어요. 어머니가 가진 메일 주소와 연계된 것처럼 보이는 페이팔 피싱에, 어머니가 제대로 대처할 수 있을까, 궁금해졌습니다. 또한 뭘 더 안내드려야 이런 공격에 당하지 않으실까도 더 알아내고 싶었고요.”
그래서 윈저는 이러한 메일이 피싱 메일임을 알려주는 ‘손쉬운 힌트들’을 찾기 시작했다. 어머니라면 어땠을까, 어머니에게 뭘 눈여겨보라고 해야 잘 이해하실까를 고민하면서였다. “일단 보내는 사람의 주소만큼은 정상적인 것처럼 보였습니다. 게다가 URL도 멀쩡해 보였습니다. 어설프게 뭔가를 흉내 낸 느낌은 전혀 없었습니다. 우리 어머님이었다면 ‘피싱 메일이 아니다’라고 결론을 내렸을 법했습니다.”
멀쩡한 URL에 멀쩡한 주소라니, 어쩌면 그냥 평범한 메일인 건 아닐까? 그래서 윈저는 메일 속 링크를 클릭했다. “클릭을 했더니 페이팔의 로그인 페이지로 접속이 되더군요. 명시된 금액을 결제할 테니 로그인을 해달라는 내용의 페이지였습니다. 돈이 나간다니까 사람들은 놀라서 일단 접속부터 한 후에 결제를 취소할 생각부터 하는 게 일반적이겠지요.”
그래서 실제로 로그인을 하면 어떻게 될까? “멀쩡하게 로그인이 됩니다. 다만 피해자의 페이팔 계정 주소가 다른 계정과 연결됩니다. 왜냐면 피해자가 로그인을 하자마자, 페이팔에는 ‘사용자가 계정 연결을 신청한다’는 요청이 전달되도록 꾸며졌기 때문입니다. 제게 들어온 피싱 메일의 경우 페이팔은 제가 로그인한 계정을 위에서 언급한 Billingdepartments1@gkjyryfjy876.onmicrosoft.com와 연결시키려 했습니다.”
어떤 원리로 이런 공격이 성립되는 것일까? 윈저는 이것이 MS365와 관련이 있는 것으로 보인다고 알리고 있다. “공격자가 MS365 테스트 도메인을 미리 등록시켜 둔 것으로 보였습니다. 3개월 동안 무료로 유지할 수 있는 도메인이죠. 공격자는 이 도메인을 활용해 계정을 하나 판 뒤 배포 목록(Distribution List)을 생성하고, 그 목록 안에 제 업무용 이메일 주소와 다른 피해자 주소들을 삽입한 것입니다. 그러고는 이 배포 목록을 활용해 페이팔 웹 포털에서 돈을 요청하면 ‘이 계정으로 돈을 보내시오’라는 요청이 목록 속 이메일들로 일제히 전송됩니다. 제가 받은 메일도 바로 이 요청이었죠.”
이렇게 메일이 대량으로 나갈 때 MS365의 도구 중 하나인 SRS(Sender Rewriting Scheme)를 통해 보내는 사람의 주소가 바뀐다는 것도 윈저는 알아냈다. “예를 들어 bounces+SRS=onDJv=S6@5In7g7.onmicrosoft.com으로 주소를 변경하면 이메일 보안 도구들인 SPF, DKIM, DMARC 등을 통과합니다. 그래서 이 피싱 이메일이 제 업무 메일함에 계속 도착하는 것이었습니다.”
결국 이 공격에 속아(속기 쉽게 만들어져 있었다!) 로그인을 실시할 경우, 피해자의 페이팔 계정이 공격자의 페이팔 계정과 연결되는 게 이 피싱 공격의 핵심이다. 일반 피싱 공격의 경우 로그인 정보 자체를 훔쳐가는 게 목적인데, 이번 공격은 서로 연결시키는 게 목적이었다는 차이가 있었다는 것이다. “연결만 해두어도 피해자의 페이팔 계정을 어느 정도 조작할 수 있습니다. 사실상 크리덴셜을 훔친 것이나 다름 없는 효과를 누리게 되는 건데, 너무 깔끔하게 공격이 이어져서 아마 페이팔도 이런 피싱 공격을 적발하기 힘들 것으로 보입니다.”
그러면 이런 공격에 어머님들은 당하는 수밖에 없는 걸까? “확실히 우리가 일반인들에게 경고해왔던 피싱 기법과는 다른, 색다른 전략이 사용되고 있었습니다. 이메일 주소, URL 등 모든 요소들이 완벽히 진짜였고, 심지어 크리덴셜을 중간에서 가로채는 시도조차 없습니다. 그러므로 기존의 피싱 차단 솔루션들로는 막을 수가 없습니다. 인간 방화벽을 발동시키는 것만이 지금으로서는 정답입니다.”
인간 방화벽이란 무엇일까? “아무리 새로운 피싱 공격이라도 충분한 교육과 훈련을 거친다면 공격 시도를 알아볼 수 있습니다. 그런 사람들을 계속해서 만들어내야 한다는 소리입니다. 아무리 신선한 피싱 전략이라 하더라도 가짜는 가짜이고, 진짜와는 분명한 차이가 있거든요. 개개인이 그런 구분을 할 줄 알아야 조직이 근본적으로 안전해집니다. 솔루션을 사용한 안전 대책의 유효 기간은 생각보다 짧습니다.”
참고로 페이팔은 “페이팔로부터 온 것같은 이메일이 진짜인지 가짜인지, 다음 사항을 참고해 확인하라”고 권장한다.
1) 사람의 이름을 구체적으로 명시하지 않은 인사말이 사용되고 있다.(예 : Dear user)
2) 다른 웹사이트로 우회 접속되는 링크를 누르라는 내용이 포함되어 있다.
3) 내용이 불분명한 첨부파일이 포함되어 있다.
4) 뭔가 급한 일인 것처럼 서두를 것을 강요한다.
그래서?
‘우리 어머니라면 어땠을까?’라며 분석을 시작한 윈저이지만 아쉽게도 어머님께 어떤 지점들을 가르쳐 드렸는지 언급하지 않고 있다. 하지만 페이팔과 잘 연결하지 않는 계정으로 페이팔 이메일이 들어왔다거나, 내용을 상세히 보면 받는 사람으로 명시된 주소가 자신의 것이 아니었다거나, 사람을 조급하게 만들려는 의도가 비춰진 다거나 하는 전형적인 피싱의 요소들이 여전히 존재하고 있음을 강조하고 있다. 아무래도 이러한 내용으로 당부의 말씀을 어머님께 전하지 않았을까 추측해 봄직하다.
진짜 URL과 진짜 이메일 주소로 이메일이 날아오더라도, 금방이라도 엉뚱한 돈이 결제될 것만 같은 내용이더라도, 조금만 차분하게 마음을 가라앉히고 메일과 관련된 주변 상황들과 정보들을 검토하면 힌트들을 발견할 수 있을 거라는 게 윈저가 ‘아들의 시선에서’ 일반인들에게 주는 메시지다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
