사이버 공격자도 사용자 속이기 위해 다양한 변형 시도
[보안뉴스 이상우 기자] 시험 문제 출제 방식 중에는 ‘문제은행’이라는 제도가 있다. 여러 형태의 문제를 사전에 만들어두고, 매 시험마다 이 중 일부를 골라서 출제하는 방식이다. 시험이 거듭될수록 자연스럽게 중복되는 문제도 늘어나며, 이러한 문제를 기출문제라고 한다. 하지만 반복되는 문제는 결과적으로 변별력을 낮추기 때문에 출제자는 기출문제의 지문이나 유형을 바꾸는 ‘기출 변형’을 출제하기도 한다.
[이미지=utoimage]
사이버 공격에 사용되는 악성 파일 역시 이와 유사하다. 특정 범죄자나 조직에 의해 개발된 악성코드는 여러 사이버 범죄자 사이에 공유되면서 이메일이나 가짜 웹사이트 등을 통해 무작위로 유포된다. 하지만 동일한 코드를 오랜 기간 사용하게 되면 결국 보안 업체에게 발견돼 백신에 정보가 등록되기도 하며, 사용자 역시 익숙한 형태의 악성 이메일이나 사이트를 무시하게 된다. 이 때문에 사이버 공격자 역시 공격의 유형을 조금씩 바꾸는 ‘기출 변형’을 시도한다.
대표적인 국내 그룹웨어 서비스 ‘하이웍스’를 사칭한 피싱은 꾸준히 발생하고 있다. ‘메일 보관함 용량 부족’, ‘견적서 발송’ 등 다양한 내용으로 사용자 눈을 속이지만, 결국 그룹웨어 계정으로 로그인을 유도해 계정을 탈취하는 것이 목적이다. 메일 본문을 어떤 방식으로 꾸미든, 로그인 페이지를 사칭한 피싱 사이트로 연결되는데, 워낙 자주 발생하는 공격 유형이기 때문에 이를 받아본 사람이라면 제목만 보고도 피싱임을 알아차릴 수 있다.
이에 공격자는 같은 유형의 피싱이라도 사용자가 속을 수 있도록 추가적인 장치를 한다. 최근 발생한 하이웍스 피싱의 경우 자바 스크립트를 통한 경고 창으로 사용자를 속이는 장치가 추가됐다. 경고 창에는 로그인이 만료돼 일부 기능을 사용할 수 없으며, 내용을 보려면 로그인하라는 메시지가 나타난다. 단순히 그룹웨어 로그인 창만 보여주는 피싱과 비교해 사용자가 로그인해야 할 명분을 주기 때문에 여기에 속을 가능성도 상대적으로 크다.
▲최근 유포되고 있는 기존 악성 메일의 변형[자료=보안뉴스]
PDF 등 문서 파일이나 뷰어를 사칭하며 로그인을 유도하는 방식도 있다. 악성 이메일의 URL을 클릭하거나 HTML 문서를 실행하면, 로그인 화면 대신 PDF 파일 아이콘과 함께 보안 정책에 관한 설명을 보여주는 페이지가 나타난다. 사용자가 여기서 아이콘이나 보안 정책과 관련된 문구를 클릭하면, 이후 그룹웨어 로그인 페이지로 연결돼 로그인을 유도한다. 이 역시 보안이라는 명칭을 쓰기 때문에 사용자를 혼란케 할 수 있다.
▲하이웍스 사칭 악성 메일의 변형[자료=보안뉴스]
이러한 ‘기출 변형’ 형태의 사이버 공격이라도, 목적은 동일하기 때문에 사용자의 대응 방법 역시 같다. 약간의 과정이 추가됐다고 해서 현혹돼서는 안되며, 알 수 없는 상대방이 보낸 이메일의 첨부파일이나 URL 실행을 주의해야 한다. 로그인 시에는 주소 표시줄에 올바른 사이트 주소가 나타나는지 확인해야 한다. 또한, 운영체제, 소프트웨어, 백신 등을 주기적으로 업데이트 해 새롭게 등장하는 악성코드를 탐지·제거할 수 있어야 한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>