기존 피싱 공격에 비해 비용이 1/4 수준...초보자도 사용 가능
블랙리스팅과 화이트리스팅 충실해야 막을까 말까...교육이 필수
[보안뉴스 문가용 기자] 다들 클라우드로 가는 마당에 사기성 이메일과 악성 페이로드라고 못 갈 것은 무언가? 최근 사이버 범죄자들이 이 점에 착안한 듯 하다. 그래서 클라우드로 공격 서버를 옮겼더니 비용이 절감되고 수익이 늘었다고 한다. 게다가 흔적을 숨기는 것도 더 쉬워졌다고 한다. 최근 보안 전문업체인 임퍼바(Imperva)가 발견한 내용이다.
이렇게 클라우드로부터 기존 피싱 공격을 감행하는 것을 서비스형 피싱 공격(Phishing as a Service)이라고 하며 줄여서 PhaaS라고 한다. PhaaS의 플랫폼은 여러 개의 침해된 웹 서버들로 구성되어 있으며, 서버 주인들은 자신의 서버가 침해되었다거나 공격에 활용되고 있다는 사실을 대부분 알아차리지 못한다. 그래서 공격 비용이 줄어들고, 공격자의 정체를 숨기는 것도 더 쉬워진다. 임퍼바가 PhaaS 방식으로 공격 비용을 계산했을 때, 피싱 페이지를 만들고 스팸 서버를 운영하고 10만개 주소에 피싱 이메일을 발송하고 침해된 서버에 접근하는 데에 드는 비용은 겨우 28달러였다.
PhaaS 등장 이전부터 피싱은 아무 것도 모르는 사용자들로부터 로그온 정보와 암호를 훔쳐내는 데에 가장 널리 사용되는 방법이었다. 뿐만 아니라 피싱 이메일 공격을 통해 각종 멀웨어를 퍼트려 시스템을 감염시키는 현상도 빈번하게 발생한다. 특히, 최근 기승을 부리는 랜섬웨어와 맞물려 피싱 공격은 강력한 위협 도구이자 보안전문가들의 골칫거리로 굳건히 자리 잡고 있다.
그렇기에 이번에 임퍼바가 발견한 PhaaS는 보안 전문가들에겐 더욱 충격적인 소식이다. 기존 피싱 공격에 비해 비용이 1/4밖에 되지 않고, 그러므로 공격자들이 거두는 실익은 더 커진다니 앞으로 얼마나 더 많은 공격이 감행될지 불 보듯 뻔한 일이기 때문이다. 게다가 PhaaS를 활용하면 초보자들도 동시다발적인 공격을 감행할 수 있게 된다. 이제 딱히 해킹 기술이나 피싱 공격 기술을 보유하고 있지 않아도 얼마든지 공격을 할 수 있다는 뜻이다. “앞으로 피싱 공격이 급증할 것으로 보인다”는 보고서의 예측은 너무나 당연한 소리다.
보고서에는 피싱 공격에 대한 또 다른 사실들도 추가적으로 설명되고 있는데, 다음 세 가지 사실이 눈길을 끈다.
1) 피싱 공격 성공률이 가장 높을 때는 오전 9시와 12시 사이다. 피싱 링크 클릭 비율이 35%까지 치솟는 시간대이기도 하다. 오전 대 메일 관련 업무를 바삐 보는 일반 사무직들의 특성이 그대로 반영된 결과라고 임퍼바는 분석한다. 그 다음 성공률이 높은 시간은 오후 2시였다.
2) 피싱 공격의 피해자들은 이메일 본문에 나오는 URL을 클릭했을 때보다는, 출처가 올바른 곳에서 온 것이라고 생각되는 PDF 첨부파일을 열었을 때 사용자 이름과 암호를 더 높은 확률로 입력한다고 한다.
3) 피싱 공격으로 탈취한 로그인 정보는, 다크웹 등에서 이미 거래되고 있는 로그인 정보가 아닐 확률이 높다. 이번 조사를 통해 밝혀낸 바로는 피싱으로 탈취한 로그인 정보의 68%가 암시장에 등장하지 않았던, 전혀 새로운 것이라고 한다. 임퍼바는 “일반 사용자들이 한 가지 공격에 당하지 않았더라도 결국 다른 방식의 공격에 당하기 마련”이라며 “그러니 사용자를 교육시키는 것이 매우 중요하다”고 설명한다.
그렇다면 PhaaS에 대한 대비책은 무엇일까? 임퍼바는 먼저 기본부터 다져야 한다고 설명한다. “침투 방지의 기본은 블랙리스팅입니다. 일단 피싱 공격의 진원지라고 알려진 웹사이트들은 전부 차단하세요. 다이내믹 차단 기법을 동원해 소스 코드 내에 있는 수상한 패턴들을 탐지해 블랙리스팅을 할 수도 있습니다. 이미지나 폰트, 동영상 파일 등 외부 콘텐츠에도 이런 피싱 코드들이 숨어있을 수 있거든요.”
그 다음으로 해야 할 건 화이트리스팅이다. 그것도 공동전선을 펼쳐서 진행하는 화이트리스팅이어야 한다고 임퍼바는 설명한다. “다양한 웹 사이트나 도메인의 평판 데이터베이스를 공동으로 구축함으로써 멀웨어 침투는 물론 디도스 공격과 사이트 스크래핑, 댓글 스팸 공격 등을 막을 수 있습니다.”
결국 PhaaS 공격자들 대부분 ‘돈을 벌기 위해’ 범죄를 저지르는 것이기 때문에 블랙리스팅이나 화이트리스팅과 같은 방어막을 최대한 구축해 공격 비용을 높여야 한다고 임퍼바의 보안 전문가인 잇식 맨틴(Itsik Mantin)은 설명한다. 이어 맨틴은 “서버를 항상 최신화시켜서 이미 알려진 보안 취약점이 하나도 존재하지 않도록 해두는 것도 공격 비용을 높이는 데 일조한다”고 덧붙였다.
물론 나쁜 방법은 아니다. 하지만 과연 그런 조치들만으로 충분할까? 소셜엔지니어 LLC(Social-Engineer LLC)라는 컨설팅 업체의 크리스토퍼 해드나기(Christopher Hadnagy)도 비슷한 의문을 품고 있다. “기본은 말 그대로 기본일뿐입니다. 게다가 수동적인 방법들이죠. 즉 이미 알려진 공격 및 웹사이트, 트래픽 근원지에 대해서만 통하는 방법이라는 겁니다. 새로운 근원지에서 오는 공격이라면 블랙리스팅과 화이트리스팅으로는 막기 힘들죠.”
공격 근원지가 예를 들어 아마존 웹 서비스(AWS)라면? “공격자의 AWS 계정이 블랙리스팅을 통해 차단될 수 있습니다. 그렇지만 공격자가 계정을 새로 하나 만들면요? 그 계정이 막혀서 하나를 또 만들면? 결국 아마존 웹 서비스 자체를 차단해야 하는데, 불가능한 얘기죠.”
해드나기는 “결국 피싱 공격을 행하는 사람들이 사람이라는 걸 이해하고, 우리쪽에서도 사람을 키워 막아야만 한다”고 주장한다. 교육과 훈련만이 피싱 공격을 궁극적으로 막아낼 수 있는 방법이라는 것이다. “물론 단기간에 되지는 않겠지만, 그러니까 지금부터, 당장에 시작해야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
블랙리스팅과 화이트리스팅 충실해야 막을까 말까...교육이 필수
[보안뉴스 문가용 기자] 다들 클라우드로 가는 마당에 사기성 이메일과 악성 페이로드라고 못 갈 것은 무언가? 최근 사이버 범죄자들이 이 점에 착안한 듯 하다. 그래서 클라우드로 공격 서버를 옮겼더니 비용이 절감되고 수익이 늘었다고 한다. 게다가 흔적을 숨기는 것도 더 쉬워졌다고 한다. 최근 보안 전문업체인 임퍼바(Imperva)가 발견한 내용이다.
이렇게 클라우드로부터 기존 피싱 공격을 감행하는 것을 서비스형 피싱 공격(Phishing as a Service)이라고 하며 줄여서 PhaaS라고 한다. PhaaS의 플랫폼은 여러 개의 침해된 웹 서버들로 구성되어 있으며, 서버 주인들은 자신의 서버가 침해되었다거나 공격에 활용되고 있다는 사실을 대부분 알아차리지 못한다. 그래서 공격 비용이 줄어들고, 공격자의 정체를 숨기는 것도 더 쉬워진다. 임퍼바가 PhaaS 방식으로 공격 비용을 계산했을 때, 피싱 페이지를 만들고 스팸 서버를 운영하고 10만개 주소에 피싱 이메일을 발송하고 침해된 서버에 접근하는 데에 드는 비용은 겨우 28달러였다.
PhaaS 등장 이전부터 피싱은 아무 것도 모르는 사용자들로부터 로그온 정보와 암호를 훔쳐내는 데에 가장 널리 사용되는 방법이었다. 뿐만 아니라 피싱 이메일 공격을 통해 각종 멀웨어를 퍼트려 시스템을 감염시키는 현상도 빈번하게 발생한다. 특히, 최근 기승을 부리는 랜섬웨어와 맞물려 피싱 공격은 강력한 위협 도구이자 보안전문가들의 골칫거리로 굳건히 자리 잡고 있다.
그렇기에 이번에 임퍼바가 발견한 PhaaS는 보안 전문가들에겐 더욱 충격적인 소식이다. 기존 피싱 공격에 비해 비용이 1/4밖에 되지 않고, 그러므로 공격자들이 거두는 실익은 더 커진다니 앞으로 얼마나 더 많은 공격이 감행될지 불 보듯 뻔한 일이기 때문이다. 게다가 PhaaS를 활용하면 초보자들도 동시다발적인 공격을 감행할 수 있게 된다. 이제 딱히 해킹 기술이나 피싱 공격 기술을 보유하고 있지 않아도 얼마든지 공격을 할 수 있다는 뜻이다. “앞으로 피싱 공격이 급증할 것으로 보인다”는 보고서의 예측은 너무나 당연한 소리다.
보고서에는 피싱 공격에 대한 또 다른 사실들도 추가적으로 설명되고 있는데, 다음 세 가지 사실이 눈길을 끈다.
1) 피싱 공격 성공률이 가장 높을 때는 오전 9시와 12시 사이다. 피싱 링크 클릭 비율이 35%까지 치솟는 시간대이기도 하다. 오전 대 메일 관련 업무를 바삐 보는 일반 사무직들의 특성이 그대로 반영된 결과라고 임퍼바는 분석한다. 그 다음 성공률이 높은 시간은 오후 2시였다.
2) 피싱 공격의 피해자들은 이메일 본문에 나오는 URL을 클릭했을 때보다는, 출처가 올바른 곳에서 온 것이라고 생각되는 PDF 첨부파일을 열었을 때 사용자 이름과 암호를 더 높은 확률로 입력한다고 한다.
3) 피싱 공격으로 탈취한 로그인 정보는, 다크웹 등에서 이미 거래되고 있는 로그인 정보가 아닐 확률이 높다. 이번 조사를 통해 밝혀낸 바로는 피싱으로 탈취한 로그인 정보의 68%가 암시장에 등장하지 않았던, 전혀 새로운 것이라고 한다. 임퍼바는 “일반 사용자들이 한 가지 공격에 당하지 않았더라도 결국 다른 방식의 공격에 당하기 마련”이라며 “그러니 사용자를 교육시키는 것이 매우 중요하다”고 설명한다.
그렇다면 PhaaS에 대한 대비책은 무엇일까? 임퍼바는 먼저 기본부터 다져야 한다고 설명한다. “침투 방지의 기본은 블랙리스팅입니다. 일단 피싱 공격의 진원지라고 알려진 웹사이트들은 전부 차단하세요. 다이내믹 차단 기법을 동원해 소스 코드 내에 있는 수상한 패턴들을 탐지해 블랙리스팅을 할 수도 있습니다. 이미지나 폰트, 동영상 파일 등 외부 콘텐츠에도 이런 피싱 코드들이 숨어있을 수 있거든요.”
그 다음으로 해야 할 건 화이트리스팅이다. 그것도 공동전선을 펼쳐서 진행하는 화이트리스팅이어야 한다고 임퍼바는 설명한다. “다양한 웹 사이트나 도메인의 평판 데이터베이스를 공동으로 구축함으로써 멀웨어 침투는 물론 디도스 공격과 사이트 스크래핑, 댓글 스팸 공격 등을 막을 수 있습니다.”
결국 PhaaS 공격자들 대부분 ‘돈을 벌기 위해’ 범죄를 저지르는 것이기 때문에 블랙리스팅이나 화이트리스팅과 같은 방어막을 최대한 구축해 공격 비용을 높여야 한다고 임퍼바의 보안 전문가인 잇식 맨틴(Itsik Mantin)은 설명한다. 이어 맨틴은 “서버를 항상 최신화시켜서 이미 알려진 보안 취약점이 하나도 존재하지 않도록 해두는 것도 공격 비용을 높이는 데 일조한다”고 덧붙였다.
물론 나쁜 방법은 아니다. 하지만 과연 그런 조치들만으로 충분할까? 소셜엔지니어 LLC(Social-Engineer LLC)라는 컨설팅 업체의 크리스토퍼 해드나기(Christopher Hadnagy)도 비슷한 의문을 품고 있다. “기본은 말 그대로 기본일뿐입니다. 게다가 수동적인 방법들이죠. 즉 이미 알려진 공격 및 웹사이트, 트래픽 근원지에 대해서만 통하는 방법이라는 겁니다. 새로운 근원지에서 오는 공격이라면 블랙리스팅과 화이트리스팅으로는 막기 힘들죠.”
공격 근원지가 예를 들어 아마존 웹 서비스(AWS)라면? “공격자의 AWS 계정이 블랙리스팅을 통해 차단될 수 있습니다. 그렇지만 공격자가 계정을 새로 하나 만들면요? 그 계정이 막혀서 하나를 또 만들면? 결국 아마존 웹 서비스 자체를 차단해야 하는데, 불가능한 얘기죠.”
해드나기는 “결국 피싱 공격을 행하는 사람들이 사람이라는 걸 이해하고, 우리쪽에서도 사람을 키워 막아야만 한다”고 주장한다. 교육과 훈련만이 피싱 공격을 궁극적으로 막아낼 수 있는 방법이라는 것이다. “물론 단기간에 되지는 않겠지만, 그러니까 지금부터, 당장에 시작해야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
