[보안뉴스 문가용 기자] 연말 시즌이 다가오고 있다. 그에 따라 단문 메시지를 기반으로 한 피싱 공격의 양이 크게 증가하기 시작했다. 이맘때는 늘 피싱 공격이 크게 늘어나곤 하는데, 올해는 작년 비슷한 시기에 비해서도 2배가량 늘어났다. 피싱 문자에 아무도 속지 않느냐고 하지만, 공격자들은 꾸준히 피싱 공격 빈도를 높여간다는 현상에 대해 보안 업체 프루프포인트(Proofpoint)가 조사해 발표했다.
[이미지 = utoimage]
연말 즈음에 급증하는 문자 피싱 공격의 표적이 되는 건 거의 모두 일반 소비자들이라고 한다. 하지만 프루프포인트는 개인과 기업의 경계가 많이 무너진 시점이라 피싱 공격으로 인한 피해가 얼마든지 조직 전체로도 퍼질 수 있다고 프루프포인트의 부회장 재신타 토빈(Jacinta Tobin)은 경고한다. “스미싱 공격은 점점 정교해지고 있고, 연계된 다른 유형의 사이버 공격들 역시 고급화 되고 있습니다. 모바일 장비를 사용하는 모든 사람들에게 큰 위협이 될 뿐만 아니라, 그런 사용자를 임직원으로 두고 있는 조직들에도 큰 문제가 되죠.”
공격자들이 연말 시즌에 활발히 활동하는 건 연말 연초 소비자들의 경제 활동이 왕성해지기 때문이다. 주로 가짜 영수증을 보낸다거나 가짜 상품을 광고한다거나 하는 식으로 쇼핑을 원하는 사용자들을 노려오고 있다. 매년 반복되는데도 피싱 문자라는 오래된 공격 기법이 계속해서 인기를 유지하는 건 효과가 좋아서이다. “문자 메시지를 피해자가 열어볼 확률은 98%나 됩니다. 그것도 90%는 발송 후 3분 안에 확인이 되죠. 피싱 이메일의 열람 비율과 비교가 되지 않습니다. 게다가 성공률도 이메일 피싱 공격에 비해 8배나 높습니다.”
피싱 공격이 매년 반복된다고 하지만 그렇다고 공격의 질 자체가 계속 비슷하게 유지되는 건 아니다. “최근 공격자들은 각종 개인정보를 다크웹에서 구매하거나 추가로 수집해서 피싱 메시지에 결합합니다. 예를 들어 피싱 문자에 피해자의 실명을 넣어서 보내면 좀 더 높은 확률로 속게 되죠. 또한 예전에는 웹사이트 주소에 살짝 오타 같은 게 있어서 그나마 알아보기가 쉬웠는데, 지금은 그런 부분도 많이 개선됐습니다. 눈으로 식별하는 게 점점 더 어려워지는 게 사실입니다.”
식별하기 어렵다는 건 공격자들의 기술이 향상되고 있기 때문이기도 하지만, 연말연시의 할인가를 노리는 소비자들이 ‘가격’ 혹은 ‘현명한 구매’에 집중하고 있기 때문이다. 이를 아는 공격자들 역시 ‘돈을 아낄 수 있다’는 메시지를 담아 소비자들을 유혹한다. 기술적으로도 눈을 가리고, 심리적으로도 눈을 가린다는 것이다. “할인 광고처럼 보이는 피싱 메시지가 가장 많은 이유죠. 돈을 아낄 수 있다고 했을 때 소비자들의 경계심이 무너지려는 경향이 있습니다.”
그래서 토빈은 “지나치게 좋은 할인율에 대해서는 무조건 의심하고, 자신이 주문한 물건이 무엇인지 분명히 알고 있어야 한다”고 강조한다. “또한 구매나 할인을 받으려면 뭔가를 설치해야 한다거나 특정 정보를 입력하라고 할 때도 의심하고 넘어가야 합니다. 특히나 모바일로 메일이나 문자, 거래를 진행하는 사용자들이라면 더 그렇습니다. 모바일은 화면이 작아 허점을 놓치기 쉽거든요.”
경계심을 잃지 않아야 하는 건 기업들도 마찬가지다. 임직원 개인이 피싱 및 스미싱에 속은 것 때문에 조직 전체가 피해를 입은 기업들은 전 세계 기업들의 60%나 된다고 프로프포인트는 발표했다. 미국으로 한정했을 때는 전체 기업의 81%가 이런 식으로 당했다고 조사됐을 정도라고 한다. “소비자들이 개인적으로 가지고 있는 장비를 회사 업무에 활용하는 사례도 늘어나고 있죠. 사비용으로 산 장비를 가지고 기업 네트워크에 접속도 하고요. 이제 소비자 개개인을 노리는 공격을 기업이 따로 떼어서 볼 수가 없습니다.”
그렇기 때문에 꾸준한 보안 교육과 다중 인증 시스템 구축이 기본 중 기본으로 자리를 잡아야 한다고 토빈은 강조한다. “보안 교육은 임직원들이 좀 더 의심할 수 있도록 하며, 다중 인증은 크리덴셜을 가져가는 데 성공한 공격자들이 다음 공격을 쉽게 이어갈 수 없도록 합니다. 한 마디로 두 가지 때문에 공격의 비용이 크게 상승한다는 겁니다. 공격하기에 비싼 표적은 공격하기 싫은 표적입니다.”
IT 업계도 할 일이 있다. “모바일 통신사들은 보안 업체 및 정부 기관과 협조해 피싱 캠페인이 자사 플랫폼과 통신망에서 활개치지 못하도록 근절시키는 방법을 연구해야 합니다. 사용자가 끝단에서 전부 차단할 것으로 기대하는 게 아니라 아예 사용자에게 피싱 메시지가 도달하지 못하도록 해야 한다는 것이죠. 그러려면 불법 메시지와 합법 메시지를 보다 명확히 구분할 수 있는 방법도 개발해야 할 겁니다.”
3줄 요약
1. 연말이면 늘어나는 피싱 공격, 올해도 예외 아님.
2. 쇼핑 등 경제 활동이 활발해지는 시기, 소비자들이 ‘할인’에 목마를 때.
3. 노리는 건 소비자 개개인이지만 피해는 조직 전체가 입을 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>