구글이 제공하는 웹 기반 데이터 정리 도구를 악용하여 피싱 공격을 실시하는 사례가 적발됐다. 공격자들의 목적은 크리덴셜과 금융 정보였던 것으로 보인다. 피싱 공격이 빠르게 진화하고 있어 방어자 편에서의 적응이 요구된다.
[보안뉴스 문정후 기자] 구글의 루커스튜디오(Looker Studio)라는 데이터 시각화 도구를 이용하는 수법의 피싱 공격이 발견됐다. 루커스튜디오를 활용해 이메일 보안 장치를 무력화시키는 것이다. 현재까지 공격자들의 궁극적인 목표는 돈과 크리덴셜을 훔치는 것으로 보인다.
[이미지 = gettyimagesbank]
구글의 루커스튜디오는 웹 기반 도구로 다양한 형태의 정보를 차트나 그래프로 시각화 해준다. 슬라이드쇼나 스프레드시트나 할 것 없이 루커스튜디오를 통과하면 여러 가지 형태로 정보를 정리할 수 있다. 그리고 이러한 특징을 악용한 BEC 캠페인이 발견됐다고 보안 업체 체크포인트(Check Point)가 경고했다. 공격자들은 루커스튜디오를 통해 암호화폐와 관련된 웹 페이지들을 정교하게 만들고, 이를 활용해 소셜엔지니어링 공격을 실시한다고 한다.
“공격자들이 보낸 메일은 구글에서 직접 전송된 것처럼 만들어져 있습니다. 그리고 그 메일 안에는 암호화폐 투자 전략에 관한 정보가 안정적으로 정리된 보고서가 링크 형태로 연결되어 있고요. 속기 쉽게 만들어져 있습니다. ‘더 많은 정보를 열람하고 싶으면 링크를 누르고 로그인을 하라’고 되어 있는데, 누가 봐도 구글에 로그인을 하라는 것처럼 여겨집니다. 그렇게 해서 공격자들의 의도대로 착착 진행하면 결국 크리덴셜이나 금융 정보가 넘어갑니다.” 체크포인트의 사이버 보안 분석가인 제레미 푸크스(Jeremy Fuchs)의 설명이다.
보다 구체적으로 말하자면 속아서 링크를 누른 피해자들은 구글 루커(Google Looker) 페이지로 넘어가게 되는데, 이 페이지에는 구글 슬라이드쇼(Google Slideshow)가 호스팅 되어 있다. 어떻게 하면 더 많은 비트코인을 획득할 수 있는지가 소개되어 있는 슬라이드쇼다. 물론 본격적인 내용은 나와있지 않고, 대신 내용을 이어서 보고 싶다면 로그인을 하라는 안내가 나온다. ID와 비밀번호를 입력하면 공격자들의 서버로 넘어간다.
이메일 보안 시스템 농락하기
사실 이러한 공격은 성립할 수 없어야 마땅하다. 이메일 보안 장치가 제대로 발동한다면 애초에 피싱 이메일이 피해자의 메일함에 들어가면 안 되기 때문이다. 다르게 말해 공격자들이 구글의 메일 보안 시스템을 피해가는 방법을 알아냈다는 뜻이 된다. 이에 대해 푸크스는 다음과 같이 설명한다.
“예를 들어 발신자 정책 프레임워크(SPF)의 보안 장치들은 ‘인증된 발신자’로 등록된 IP 주소로 메일을 보내기만 하면 얼마든지 우회가 가능합니다. 즉 data-studio.bounces.google.com이라는 도메인을 사용해 메일을 보내면 통과된다는 것이죠. SPF는 이메일 인증 기술 중 하나로, 인증된 IP주소와 서버들을 지정함으로써 아무도 이메일을 도용하지 못하도록 합니다. 오래됐기 때문에 우회 기법이 나오고 있다는 게 문제입니다.”
이메일 보안 장치 중에는 DKIM도 있다. ‘도메인키 인증 메일(DomainKeys Identified Mail)’의 준말로, 암호화 처리된 시그니처를 사용하여 이메일의 콘텐츠가 중간에 누군가에 의해 조작되지 않았음을 확인해주는 기능을 담당한다. 즉 실제 메일이 출발한 도메인과, 글자로 쓰여 있는 도메인이 일치한다는 걸 확인시켜주는 역할을 하는 것이다. “강력한 보안 기능이긴 하지만 완벽하지 않습니다. google.com 등 정상 도메인에서 공격자의 메일이 출발한다면 효력을 잃기 때문이죠.”
디마키라고 하는 보안 장치도 있다. DMARC이며, ‘도메인 기반 메시지 인증, 보고, 적합성(Domain-based Message Authentication, Reporting, and Conformance)’의 준말이다. SPF나 DKIM 검사에서 실패할 경우 도메인 소유주가 이메일 보안 시스템에서 어떤 조치를 취해야 할지 지정할 수 있도록 해 주는 기능이다. 하지만 역시나 google.com과 같은 유명 도메인 앞에서는 무력해진다는 게 푸크스의 설명이다.
“이메일 보안 서비스에서는 이 세 가지 요소들을 전부 확인합니다. 그리고 아무 것도 걸리는 게 없으면 피싱 이메일일 가능성이 낮다고 판단하죠. 이번 공격의 경우 공격자들이 구글의 정상적인 서비스를 사용하고 있고, 구글 도메인으로 메일까지 보내니 아무 것에도 걸리지 않습니다. SPF, DKIM, DMARC 전부 예전부터 이메일 보안 장치로서 불완전하다는 지적이 많았는데, 이런 공격 캠페인을 통해 실제적으로 증명이 되고 있습니다.”
BEC 공격 방어하기
BEC 공격이라는 사기술은 약 10년 전에 처음 등장했으며, 현재까지도 꽤나 인기가 높은 수법 중 하나다. 인기가 많은 것은 두 가지 이유 때문인데, 해킹 기술 없이도 실행할 수 있고, 수익률이 높다는 것이다. 이 때문에 사이버 공격자들은 BEC 공격 기술을 계속해서 연마하고 발전시킨다. 구글 루커스튜디오를 활용해 공격을 하는 것 역시 이러한 진화 과정 중에 나온 것이라고 할 수 있다.
체크포인트는 “이제 기존 이메일 보안 장치들로는 이메일을 완벽히 보호하기 힘든 것이 분명해졌다”며 “인공지능을 기반으로 한 강력한 메일 보안 장치들을 활용하여 기존 기술들로는 놓쳤던 피싱 메일의 신호들을 잡아내야 한다”고 말한다. “새로운 공격 기술들이 나오면 새로운 방어 기술들을 도입하는 게 당연한 일이겠죠.” 그 외에도 첨부파일이나 문서를 스캔하여 수상한 점이 없는지 확인해주는 보안 솔루션들도 이메일 방어에 도움이 된다고 푸크스는 덧붙였다.
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 구글의 루커스튜디오(Looker Studio)라는 데이터 시각화 도구를 이용하는 수법의 피싱 공격이 발견됐다. 루커스튜디오를 활용해 이메일 보안 장치를 무력화시키는 것이다. 현재까지 공격자들의 궁극적인 목표는 돈과 크리덴셜을 훔치는 것으로 보인다.
[이미지 = gettyimagesbank]
구글의 루커스튜디오는 웹 기반 도구로 다양한 형태의 정보를 차트나 그래프로 시각화 해준다. 슬라이드쇼나 스프레드시트나 할 것 없이 루커스튜디오를 통과하면 여러 가지 형태로 정보를 정리할 수 있다. 그리고 이러한 특징을 악용한 BEC 캠페인이 발견됐다고 보안 업체 체크포인트(Check Point)가 경고했다. 공격자들은 루커스튜디오를 통해 암호화폐와 관련된 웹 페이지들을 정교하게 만들고, 이를 활용해 소셜엔지니어링 공격을 실시한다고 한다.
“공격자들이 보낸 메일은 구글에서 직접 전송된 것처럼 만들어져 있습니다. 그리고 그 메일 안에는 암호화폐 투자 전략에 관한 정보가 안정적으로 정리된 보고서가 링크 형태로 연결되어 있고요. 속기 쉽게 만들어져 있습니다. ‘더 많은 정보를 열람하고 싶으면 링크를 누르고 로그인을 하라’고 되어 있는데, 누가 봐도 구글에 로그인을 하라는 것처럼 여겨집니다. 그렇게 해서 공격자들의 의도대로 착착 진행하면 결국 크리덴셜이나 금융 정보가 넘어갑니다.” 체크포인트의 사이버 보안 분석가인 제레미 푸크스(Jeremy Fuchs)의 설명이다.
보다 구체적으로 말하자면 속아서 링크를 누른 피해자들은 구글 루커(Google Looker) 페이지로 넘어가게 되는데, 이 페이지에는 구글 슬라이드쇼(Google Slideshow)가 호스팅 되어 있다. 어떻게 하면 더 많은 비트코인을 획득할 수 있는지가 소개되어 있는 슬라이드쇼다. 물론 본격적인 내용은 나와있지 않고, 대신 내용을 이어서 보고 싶다면 로그인을 하라는 안내가 나온다. ID와 비밀번호를 입력하면 공격자들의 서버로 넘어간다.
이메일 보안 시스템 농락하기
사실 이러한 공격은 성립할 수 없어야 마땅하다. 이메일 보안 장치가 제대로 발동한다면 애초에 피싱 이메일이 피해자의 메일함에 들어가면 안 되기 때문이다. 다르게 말해 공격자들이 구글의 메일 보안 시스템을 피해가는 방법을 알아냈다는 뜻이 된다. 이에 대해 푸크스는 다음과 같이 설명한다.
“예를 들어 발신자 정책 프레임워크(SPF)의 보안 장치들은 ‘인증된 발신자’로 등록된 IP 주소로 메일을 보내기만 하면 얼마든지 우회가 가능합니다. 즉 data-studio.bounces.google.com이라는 도메인을 사용해 메일을 보내면 통과된다는 것이죠. SPF는 이메일 인증 기술 중 하나로, 인증된 IP주소와 서버들을 지정함으로써 아무도 이메일을 도용하지 못하도록 합니다. 오래됐기 때문에 우회 기법이 나오고 있다는 게 문제입니다.”
이메일 보안 장치 중에는 DKIM도 있다. ‘도메인키 인증 메일(DomainKeys Identified Mail)’의 준말로, 암호화 처리된 시그니처를 사용하여 이메일의 콘텐츠가 중간에 누군가에 의해 조작되지 않았음을 확인해주는 기능을 담당한다. 즉 실제 메일이 출발한 도메인과, 글자로 쓰여 있는 도메인이 일치한다는 걸 확인시켜주는 역할을 하는 것이다. “강력한 보안 기능이긴 하지만 완벽하지 않습니다. google.com 등 정상 도메인에서 공격자의 메일이 출발한다면 효력을 잃기 때문이죠.”
디마키라고 하는 보안 장치도 있다. DMARC이며, ‘도메인 기반 메시지 인증, 보고, 적합성(Domain-based Message Authentication, Reporting, and Conformance)’의 준말이다. SPF나 DKIM 검사에서 실패할 경우 도메인 소유주가 이메일 보안 시스템에서 어떤 조치를 취해야 할지 지정할 수 있도록 해 주는 기능이다. 하지만 역시나 google.com과 같은 유명 도메인 앞에서는 무력해진다는 게 푸크스의 설명이다.
“이메일 보안 서비스에서는 이 세 가지 요소들을 전부 확인합니다. 그리고 아무 것도 걸리는 게 없으면 피싱 이메일일 가능성이 낮다고 판단하죠. 이번 공격의 경우 공격자들이 구글의 정상적인 서비스를 사용하고 있고, 구글 도메인으로 메일까지 보내니 아무 것에도 걸리지 않습니다. SPF, DKIM, DMARC 전부 예전부터 이메일 보안 장치로서 불완전하다는 지적이 많았는데, 이런 공격 캠페인을 통해 실제적으로 증명이 되고 있습니다.”
BEC 공격 방어하기
BEC 공격이라는 사기술은 약 10년 전에 처음 등장했으며, 현재까지도 꽤나 인기가 높은 수법 중 하나다. 인기가 많은 것은 두 가지 이유 때문인데, 해킹 기술 없이도 실행할 수 있고, 수익률이 높다는 것이다. 이 때문에 사이버 공격자들은 BEC 공격 기술을 계속해서 연마하고 발전시킨다. 구글 루커스튜디오를 활용해 공격을 하는 것 역시 이러한 진화 과정 중에 나온 것이라고 할 수 있다.
체크포인트는 “이제 기존 이메일 보안 장치들로는 이메일을 완벽히 보호하기 힘든 것이 분명해졌다”며 “인공지능을 기반으로 한 강력한 메일 보안 장치들을 활용하여 기존 기술들로는 놓쳤던 피싱 메일의 신호들을 잡아내야 한다”고 말한다. “새로운 공격 기술들이 나오면 새로운 방어 기술들을 도입하는 게 당연한 일이겠죠.” 그 외에도 첨부파일이나 문서를 스캔하여 수상한 점이 없는지 확인해주는 보안 솔루션들도 이메일 방어에 도움이 된다고 푸크스는 덧붙였다.
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}