각종 기능 첨가된 킷 덕분에 아마추어도 프로가 되는 때
피싱 공격 가장 많이 받는 산업은 금융 - BEC 증가도 눈에 띄어
[보안뉴스 문가용] 피싱 공격이 갈수록 발전하고 있다. 그러나 공격자들 자체가 발전하는 건 아니다. 무슨 말이냐면, 누구라도 발전된 피싱 공격을 할 수 있게 해주는 툴들이 놀라운 속도로 늘어나고 있다는 것. 딱히 놀라운 해킹 기술을 갖고 있지 않은 사람이라도 이런 툴들만 사용하면 난독화에 안티분석 기능까지도 구현할 수 있다. 이에 대해 최근 피시랩(Phishlabs)에서 보고서를 발표한 바 있다.
▲ 그 옛날, 키트만 부르면 달려오던 자동차가 있었지...(출처 : 데이비드 해슬호프 홈페이지)
“최근 등장하고 있는 피싱 킷에는 높은 수준의 에뮬레이션, 라이브 폴, 가짜 오류 메시지를 띄워주는 기능, 각종 ‘정보 기입 양식’ 등이 기본적으로 들어있습니다. 또한 모바일 플랫폼을 위한 피싱 페이지들도 포함되어 있죠. 웹 크롤러나 여러 보안 장비로 감지되지 않게, 실제 유명 기관인 것처럼 아주 그럴듯하게 위장하는 것도 가능하고요.”
게다가 가격도 그리 부담스럽지 않다. 암시장에서 누구라도 1~50달러만 주면 제대로 된 피싱 공격을 하게 해주는 킷을 구매할 수 있다. 심지어 무료로 제공하는 해커들도 꽤나 된다고 피시랩은 밝히고 있다. “무료로 제공되는 킷의 경우 코드에 백도어가 숨겨져 있습니다. 킷을 구매해서 간편하게 해킹 공격을 하려는 아마추어들을 통해 해커 자신도 새로운 데이터를 얻어내려는 거죠. 초보 해커를 중급 해커가 이용하는 구조라고 할까요. 그리고 그 데이터로 부가적인 수익을 만들어냅니다.”
보고서에 따르면 스피어피싱은 아직까지도 APT 단체들이 가장 많이 사용하는 초기 공격 수단이라고 한다. 그리고 산업별로 봤을 때 스피어피싱에 가장 많이 당하는 건 금융권이라고 한다. 전체 스피어피싱 공격 중 22%나 차지하고 있다.
피싱 공격 중 눈에 띄는 건 2015년부터 꾸준한 증가세를 보이고 있는 BEC 공격이다. 이는 사업 이메일 위협(Business Email Compromise)의 준말로 사장이나 그 밖의 고위급 임원 혹은 주요 파트너사의 고위직 인물인 것처럼 가장해 직원에게 메일을 보내 중요한 정보를 보내도록 하는 것이다. 사장인 것처럼 재무부 직원에게 돈을 송금하라고 요구하는 공격 사례도 있었다. 역시 주로 표적 공격의 형태로 자주 나타나는데, BEC 공격을 하려면 회사에 대한 이해가 반드시 전제되어야 하기 때문이다.
피시랩에 의하면 BEC 공격자들은 최근 시장에서 활발하게 일어나고 있는 M&A의 유행도 적극 활용하고 있다고 한다. M&A 관련 변호사인 것처럼 관련 기업에 메일을 보낸다든지 해서 중요한 기밀을 빼내는 것이다. “M&A처럼 극도로 민감하고 비밀리에 진행되는 일들일수록 유용한 정보가 더 많이 유통되죠. 그리고 관계자들이 ‘이렇게나 보안을 철저히 관리하고 있으니 뚫릴 리가 없다’고 믿기 때문에 오히려 더 느슨할 가능성도 높아요.”
소비자들 혹은 고객들이 가장 많은 피싱 공격을 받는 산업은 순서대로 금융, 클라우드 호스팅, 온라인 서비스, 전자상거래, 지불 서비스였다. 또한 훔친 로그인 정보를 가장 많이 대입해보는 온라인 서비스는 지메일(전체의 57%)이라는 조사 결과도 흥미롭다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
피싱 공격 가장 많이 받는 산업은 금융 - BEC 증가도 눈에 띄어
[보안뉴스 문가용] 피싱 공격이 갈수록 발전하고 있다. 그러나 공격자들 자체가 발전하는 건 아니다. 무슨 말이냐면, 누구라도 발전된 피싱 공격을 할 수 있게 해주는 툴들이 놀라운 속도로 늘어나고 있다는 것. 딱히 놀라운 해킹 기술을 갖고 있지 않은 사람이라도 이런 툴들만 사용하면 난독화에 안티분석 기능까지도 구현할 수 있다. 이에 대해 최근 피시랩(Phishlabs)에서 보고서를 발표한 바 있다.
▲ 그 옛날, 키트만 부르면 달려오던 자동차가 있었지...(출처 : 데이비드 해슬호프 홈페이지)
“최근 등장하고 있는 피싱 킷에는 높은 수준의 에뮬레이션, 라이브 폴, 가짜 오류 메시지를 띄워주는 기능, 각종 ‘정보 기입 양식’ 등이 기본적으로 들어있습니다. 또한 모바일 플랫폼을 위한 피싱 페이지들도 포함되어 있죠. 웹 크롤러나 여러 보안 장비로 감지되지 않게, 실제 유명 기관인 것처럼 아주 그럴듯하게 위장하는 것도 가능하고요.”
게다가 가격도 그리 부담스럽지 않다. 암시장에서 누구라도 1~50달러만 주면 제대로 된 피싱 공격을 하게 해주는 킷을 구매할 수 있다. 심지어 무료로 제공하는 해커들도 꽤나 된다고 피시랩은 밝히고 있다. “무료로 제공되는 킷의 경우 코드에 백도어가 숨겨져 있습니다. 킷을 구매해서 간편하게 해킹 공격을 하려는 아마추어들을 통해 해커 자신도 새로운 데이터를 얻어내려는 거죠. 초보 해커를 중급 해커가 이용하는 구조라고 할까요. 그리고 그 데이터로 부가적인 수익을 만들어냅니다.”
보고서에 따르면 스피어피싱은 아직까지도 APT 단체들이 가장 많이 사용하는 초기 공격 수단이라고 한다. 그리고 산업별로 봤을 때 스피어피싱에 가장 많이 당하는 건 금융권이라고 한다. 전체 스피어피싱 공격 중 22%나 차지하고 있다.
피싱 공격 중 눈에 띄는 건 2015년부터 꾸준한 증가세를 보이고 있는 BEC 공격이다. 이는 사업 이메일 위협(Business Email Compromise)의 준말로 사장이나 그 밖의 고위급 임원 혹은 주요 파트너사의 고위직 인물인 것처럼 가장해 직원에게 메일을 보내 중요한 정보를 보내도록 하는 것이다. 사장인 것처럼 재무부 직원에게 돈을 송금하라고 요구하는 공격 사례도 있었다. 역시 주로 표적 공격의 형태로 자주 나타나는데, BEC 공격을 하려면 회사에 대한 이해가 반드시 전제되어야 하기 때문이다.
피시랩에 의하면 BEC 공격자들은 최근 시장에서 활발하게 일어나고 있는 M&A의 유행도 적극 활용하고 있다고 한다. M&A 관련 변호사인 것처럼 관련 기업에 메일을 보낸다든지 해서 중요한 기밀을 빼내는 것이다. “M&A처럼 극도로 민감하고 비밀리에 진행되는 일들일수록 유용한 정보가 더 많이 유통되죠. 그리고 관계자들이 ‘이렇게나 보안을 철저히 관리하고 있으니 뚫릴 리가 없다’고 믿기 때문에 오히려 더 느슨할 가능성도 높아요.”
소비자들 혹은 고객들이 가장 많은 피싱 공격을 받는 산업은 순서대로 금융, 클라우드 호스팅, 온라인 서비스, 전자상거래, 지불 서비스였다. 또한 훔친 로그인 정보를 가장 많이 대입해보는 온라인 서비스는 지메일(전체의 57%)이라는 조사 결과도 흥미롭다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
