폰트를 0으로 바꾸거나 일부 텍스트를 감추거나 그림에 악성 코드 숨기거나...
최근에는 유니코드와 HTML 코드 등을 활용해 피싱 탐지 솔루션을 피해가고 있어
[보안뉴스 문가용 기자] 사이버 범죄자들이 HTML/CSS 및 유니코드(Unicode)를 사용해 보안 장치들을 우회해 가는 것이 발견됐다. 텍스트를 숨긴다거나 특정 문자의 폰트를 0으로 맞추는 등 물리적인 눈속임을 위한 방법들이 지난 수년 동연 여러 가지로 개발되었는데, 그 뒤를 잇는 새로운 기법인 것으로 보인다.
[이미지 = utoimage]
보안 업체 잉키(Inky)가 발견한 바에 의하면 공격자들은 피싱 이메일을 숨기기 위해 HTML/CSS 및 유니코드를 교묘하게 활용한다고 한다. 이 전략에 대한 조사는 잉키의 고객사 한 곳에서 수상한 ‘비밀번호 종료’ 이메일을 받은 것으로부터 시작됐다. 이 가짜 이메일은 오피스 365에서 보낸 것처럼 꾸며져 있었다. 조사해 보니 몇 가지 재미있는 특징이 발견됐다.
일단 유니코드 중 ‘소프트 하이픈’을 사용한 것이 눈에 띄었다. 소프트 하이픈(soft hyphen)은 음절 하이픈(syllable hyphen)이라고 불리는데, 단어가 다 끝나지 않은 곳에서 끊고 다음 문장으로 넘어가야 할 때 붙이는 문장 부호다. 소프트 하이픈은 일반적인 텍스트에서는 눈에 보이도록 사용된다. 하지만 이메일을 스캔하는 보안 소프트웨어에게는 유니코드 글자로서만 나타난다. 소프트 하이픈이나 X나 스캐너 소프트웨어 입장에서는 같다는 것이다.
잉키 측에서 수상한 이메일을 스캔하니 ‘change your password’는 사실 c-h-a-n-g-e- -y-o-u-r- p-a-s-s-w-o-r-d-라고 적혀 있었다. 교묘하게 소프트 하이픈을 숨김으로써 사용자 눈에는 정상적인 문구로 나타나면서 동시에 보안 소프트웨어는 수상함을 탐지하지 못하도록 한 것이다. 잉키의 CEO인 데이브 바겟(Dave Baggett)은 “공격자들이 유니코드에 대한 지식이 해박한 것으로 보인다”고 설명한다.
이것만이 아니었다. 오피스 365라는 글자를 이메일에 적어 넣을 때, HTML의 태그를 사용해 로고타입처럼 보이게 만드는 전략도 수차례 발견됐다. 오피스 365의 크고 빨간 로고는 흉내 내기가 쉬운 축에 속하기도 했다. CSS의 display:none 세팅을 사용하는 경우도 흔히 발견됐다. 이는 텍스트를 눈에 보이지 않게 만드는 기능으로, 공격자들은 이를 통해 사람 눈에 보이는 텍스트를 편집하면서 동시에 컴퓨터의 눈을 속일 수 있었다.
이런 속임수 기법은 스테가노그래피와 매우 비슷하다. 또한 사용자의 눈이 잘 닿지 않는 공간에 일부 텍스트를 배치시켜 두는 것과도 비슷하다. 이런 식의 공격 전략을 방어하는 건 간단치 않다고 바겟은 설명한다. “유니코드 등을 사용해 보안 장치와 사람 눈을 속이는 기법은 앞으로도 계속해서 나타날 것이고, 이걸 방어자가 다 미리 알아내서 선제적으로 방어할 수는 없습니다. 또한 보안 도구에 유니코드들을 계속해서 추가하면 속도가 느려질 것이고, 그런 방어 솔루션이나 시스템은 크기 확장면에서도 불리합니다.”
따라서 바겟은 “이런 공격 전략이 나왔을 때 빠르게 공유하고 보안 엔진 개발사들이 시스템을 업데이트 해야 한다”고 공동 전선을 펼치는 것이 유일한 방법이라고 설명한다. “사실상 사용자들 편에서 할 수 있는 게 없습니다. 정상적으로 보이는 이메일을 일일이 스캔해서 숨겨진 텍스트를 찾아낼 수도 없지요. 이렇게 숨긴 피싱 이메일이나 저렇게 숨긴 피싱 이메일이나, 본질은 비슷합니다. 피싱은 피싱이죠. 즉 신뢰할 만한 출처에서, 신뢰할 만한 메시지가 왔는지 꼼꼼하게 검토할수록 피싱을 막을 확률이 높아집니다.”
3줄 요약
1. 유니코드와 HTML, CSS 코드를 사용해 텍스트를 교묘하게 바꾸는 기법 발견됨.
2. 사람의 눈이 보는 것과, 보안 솔루션이 보는 것을 다르게 만드는 것이 포인트.
3. 보안 솔루션 업체들이 이러한 전략을 서로 공유해 엔진을 업데이트해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
최근에는 유니코드와 HTML 코드 등을 활용해 피싱 탐지 솔루션을 피해가고 있어
[보안뉴스 문가용 기자] 사이버 범죄자들이 HTML/CSS 및 유니코드(Unicode)를 사용해 보안 장치들을 우회해 가는 것이 발견됐다. 텍스트를 숨긴다거나 특정 문자의 폰트를 0으로 맞추는 등 물리적인 눈속임을 위한 방법들이 지난 수년 동연 여러 가지로 개발되었는데, 그 뒤를 잇는 새로운 기법인 것으로 보인다.
[이미지 = utoimage]
보안 업체 잉키(Inky)가 발견한 바에 의하면 공격자들은 피싱 이메일을 숨기기 위해 HTML/CSS 및 유니코드를 교묘하게 활용한다고 한다. 이 전략에 대한 조사는 잉키의 고객사 한 곳에서 수상한 ‘비밀번호 종료’ 이메일을 받은 것으로부터 시작됐다. 이 가짜 이메일은 오피스 365에서 보낸 것처럼 꾸며져 있었다. 조사해 보니 몇 가지 재미있는 특징이 발견됐다.
일단 유니코드 중 ‘소프트 하이픈’을 사용한 것이 눈에 띄었다. 소프트 하이픈(soft hyphen)은 음절 하이픈(syllable hyphen)이라고 불리는데, 단어가 다 끝나지 않은 곳에서 끊고 다음 문장으로 넘어가야 할 때 붙이는 문장 부호다. 소프트 하이픈은 일반적인 텍스트에서는 눈에 보이도록 사용된다. 하지만 이메일을 스캔하는 보안 소프트웨어에게는 유니코드 글자로서만 나타난다. 소프트 하이픈이나 X나 스캐너 소프트웨어 입장에서는 같다는 것이다.
잉키 측에서 수상한 이메일을 스캔하니 ‘change your password’는 사실 c-h-a-n-g-e- -y-o-u-r- p-a-s-s-w-o-r-d-라고 적혀 있었다. 교묘하게 소프트 하이픈을 숨김으로써 사용자 눈에는 정상적인 문구로 나타나면서 동시에 보안 소프트웨어는 수상함을 탐지하지 못하도록 한 것이다. 잉키의 CEO인 데이브 바겟(Dave Baggett)은 “공격자들이 유니코드에 대한 지식이 해박한 것으로 보인다”고 설명한다.
이것만이 아니었다. 오피스 365라는 글자를 이메일에 적어 넣을 때, HTML의 태그를 사용해 로고타입처럼 보이게 만드는 전략도 수차례 발견됐다. 오피스 365의 크고 빨간 로고는 흉내 내기가 쉬운 축에 속하기도 했다. CSS의 display:none 세팅을 사용하는 경우도 흔히 발견됐다. 이는 텍스트를 눈에 보이지 않게 만드는 기능으로, 공격자들은 이를 통해 사람 눈에 보이는 텍스트를 편집하면서 동시에 컴퓨터의 눈을 속일 수 있었다.
이런 속임수 기법은 스테가노그래피와 매우 비슷하다. 또한 사용자의 눈이 잘 닿지 않는 공간에 일부 텍스트를 배치시켜 두는 것과도 비슷하다. 이런 식의 공격 전략을 방어하는 건 간단치 않다고 바겟은 설명한다. “유니코드 등을 사용해 보안 장치와 사람 눈을 속이는 기법은 앞으로도 계속해서 나타날 것이고, 이걸 방어자가 다 미리 알아내서 선제적으로 방어할 수는 없습니다. 또한 보안 도구에 유니코드들을 계속해서 추가하면 속도가 느려질 것이고, 그런 방어 솔루션이나 시스템은 크기 확장면에서도 불리합니다.”
따라서 바겟은 “이런 공격 전략이 나왔을 때 빠르게 공유하고 보안 엔진 개발사들이 시스템을 업데이트 해야 한다”고 공동 전선을 펼치는 것이 유일한 방법이라고 설명한다. “사실상 사용자들 편에서 할 수 있는 게 없습니다. 정상적으로 보이는 이메일을 일일이 스캔해서 숨겨진 텍스트를 찾아낼 수도 없지요. 이렇게 숨긴 피싱 이메일이나 저렇게 숨긴 피싱 이메일이나, 본질은 비슷합니다. 피싱은 피싱이죠. 즉 신뢰할 만한 출처에서, 신뢰할 만한 메시지가 왔는지 꼼꼼하게 검토할수록 피싱을 막을 확률이 높아집니다.”
3줄 요약
1. 유니코드와 HTML, CSS 코드를 사용해 텍스트를 교묘하게 바꾸는 기법 발견됨.
2. 사람의 눈이 보는 것과, 보안 솔루션이 보는 것을 다르게 만드는 것이 포인트.
3. 보안 솔루션 업체들이 이러한 전략을 서로 공유해 엔진을 업데이트해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
_m.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
