brunch

매거진 Security

라이킷 9 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by sokoban Nov 26. 2020

왜 피싱 공격에 집중해야 하는가 ?

#Daily Writing

피싱 (phishing) 공격이란 ?

피싱은 낚시 하다의 Fishing와 Private Data의 합성어로서 개인정보를 낚시질 한다는 의미에서 나오게 되었다. 공격자들은 외부의 특정 홈페이지에 유명한 사이트의 사칭 페이지를 만들어 두고 사용자에게 여기에 접속해서 로그인 하거나 개인정보를 입력하도록 유도 하는것이 일반적인 방법이며 사용자가 접속하도록 유도하는 수단으로 이메일을 주로 이용한다.

왜 공격자들이 여기에 집중할까 ?

일반적으로 해킹을 통해서 정보를 빼내는건 많은 노력이 드는 경우가 많다. 기업 혹은 개인의 PC를 해킹해서 정보를 빼내지만 보안이 잘 되어 있는 곳의 경우 실제로 공격을 하기에는 만만치 않은 경우가 많다. 하지만 피싱 공격은 잘 변조된 사이트에 사용자들이 접속하게만 한다면 해당 사용자의 개인정보를 손쉽게 유출 할 수 있게 한다. 기업의 입장에서는 아무리 보안에 투자를 많이 하고 방어벽을 쌓고 Zero Trust기반으로 한다고 하더라도 Identity 자체에 대한 신뢰성이 없다면 가장 큰 사고로 이어지게 될 수 있는 문제이고 실제로 아래 사례를 본다면 공격에서 그 효과를 입증했다고 볼수 있다.

피싱 공격의 유형은 ?

1. 스피어피싱 (Spear Phishing) : 불특정 다수를 대상으로 하는 피싱이 아닌 특정 기업이나 인물을 상대로 정보를 획득하고 침해를 수행하기 위해서 시도하는 피싱

2. 클론 피싱 (Clone Phishing) : 과거에 실제로 존재했던 이메일을 복제하여 사용하고 발신자와 수신자 주소도 동일하게 변경하여 공격하는 유형

3. 웨일링 (Whaling) : 회사의 임원이나 고위급 인사들을 대상으로 하여 수행하는 공격

4. 비싱 (Vishing)==(Voice Phishing) : 음성과 피싱의 합성어로서 기관을 사칭하거나 타인을 사칭하여 상대방에게 정보를 수집하거나 금품을 갈취하는 공격

실제 공격에서는 ?

피싱에 의한 공격으로 인해 발생할 수 있는 보안사고는 의외로 강력하다.

실제 공격상에서 피싱을 통해서 게임사이트나 포털사이트의 계정이 도용 당하는것은 어제 오늘의 일이 아니다. 하지만 이것이 심각하다고 생각하지 않는 사람들이 있다. 과연 심각하지 않을까 ? 아래처럼 예를 들어 보자..

1. 사고 사례 가정

이름모를 S기업에 근무하는 A과장은 회사의 내부 회계 업무를 담당하고 있다. 회사 내부 메일에 접근하기 불가능한 상태에서 외부와의 커뮤니케이션을 위해서 몇번 본인의 B사 포털 메일을 사용하여 간단한 인사 메일을 주고 받았다. 그리고 A과장은 평소 N사의 게임을 즐겨 하기 때문에 퇴근이후에 게임상에 아주 많은 개인 정보가 들어 있는 상태이다. 그런데 A과장의 B사 포털 계정/비번과 N사 계정/비번은 동일하다. (흔한 경우라고 생각된다. 단지 거래처에 "메일 주셔서 감사합니다. XX씨" 라는 메일을 개인 메일로 발송했다고 보면 된다.)

1.1 피싱 이후

A과장은 모 게임 포털의 게시판에 있는 피싱에 당해서 본인도 모른사이에 회사 내에서 계정/비번이 공격자에게 유출되었다. 이렇게 유출된 정보를 이용하여 공격자는 두개의 사이트에 로그인한 다음, A과장의 모든 정보를 수집하기 시작한다. 결재에 사용된 정보, 가족 정보, 메일의 수발신인... 물론 메일의 내용이 모두 유출 되는것은 당연한 것이다. (심지어는 메인으로 사용하는 메일에는 본인의 금융거래 정보, 연금 정보 등 모든것을 볼수 있었을 것이다.)

1.2 A과장 훔치기

이제 A과장의 개인정보는 거의 대부분 공격자에게 들어왔다. 어디에 사는지, 전화번호가 무엇인지, 가족 관계는 어떻게 되고 친구 관계는 어떻게 되는지, 또한 이메일을 통해서 부모님이나 형제와 주고 받은 메일을 통해서 가족간의 관계가 어떠한지도 알수 있다.

1.3 공격하자.

이제 악성코드가 담긴 메일을 A과장에게 보낸다. 물론 거래처 사람으로 위장하여 회사 메일 주소로 보낼수도 있고 가족으로 사칭해서 개인메일로 보낼수 있다. 어떤 경우에서든지 간에 집이든 회사든 악성 코드에 감염될 확율이 매우 높다. 그리고 A과장의 PC는 해커에게 점령 당했다.

1.4 Catch Me If You Can

PC가 점령 되고 공격자는 윈도우나 맥에서 리벌스 커넥션을 통해서 외부와 암호화 통신 채널을 열었다 탐지를 회피하기 위해서 Tor를 이용한 onion 라우팅을 적용하여 탐지를 회피했다.

구성한 통신 채널을 통해서 공격자는 대기업 S기업의 내부 정보를 조금씩 획득하기 시작할 것이다. 처음엔 인사 정보, PC에 있는 각종 문서 정보, 공격자는 목적을 달성하기 전까지 절대 본인의 존재가 드러날만한 액션을 취하지 않을 것이다. 정말 잡을테면 잡아 보라는 식으로 공격을 시작할 것이다.

1.5 Goal... Goal...

공격자가 원하는 목표를 찾은 다음 천천히 공격 대상에 접근 하여 목표를 달성할 것이다.

이제 부터는 공격자가 얼마나 많은 테스트를 했는지 방어자가 얼마나 많은 준비를 했는지에 따라 달렸다고 볼수 있다. IDS, FW는 우습게 우회 할것이고 내부망에 트래픽도 거의 발생시키지 않는다.

%. 그럼 어디서 잡을까 ?

위의 예제에서 공격자를 탐지할 다양한 방법이 존재할 것이다. 흔히 말하는 Cyber kill chain 의 개념으로 본다면 공격자의 공격 루트를 탐지하고 차단할 방법은 많을 것이다.

보안장비를 충실히 설치하고 모니터링 구간을 늘렸다면 탐지가 쉬울 수도 있을 것이다. 하지만 그렇게 까지 하는곳은 많지 않을 것이다. 그렇다면 위에서 1~5번까지의 흐름상에서 공격자의 공격 루트를 차단할 가장 쉬운 방법은 무엇이였을까 ?

% 위의 시나리오에서 사고를 막을 가장 쉬운 방법은 사용자의 포털 계정이 도용되지 않는것이 첫번째 예방 조치라고 생각한다. A과장은 회사내에서 피싱에 당한것이므로 사내망에서 피싱에 접근하지 못하게 하거나 일회성 VDI를 이용하도록 하는것도 방법일 것이다.

그럼 이제 실제 사례를 알아 보자..

아래는 스피어 피싱을 이용해 실제로 공격에 성공한 사례 이다.

( % 주석 : 아래의 I사의 기사는 인터넷 상에서 보도된 내용만을 예제로 게제 하였으며 본글에서 스피어 피싱을 제외한 다른 어떠한 내용도 해당 사고와는 관련이 없습니다.)

"조사단에 따르면 APT(지능형 지속 위협) 공격으로 개인정보 유출이 발생했다. 해커는 스피어피싱(spear phishing) 기법을 활용해 직원PC에 악성코드를 최초로 감염시켰다. 이 기법은 지인으로 위장해 ID와 패스워드 정보를 요구하거나 악성코드를 설치하게 하는 일종의 피싱 공격이다."

https://news.joins.com/article/20526724

"인터파크 해킹사고로 회원정보 2665만건 유출"

미래부-방통위, 지난 5월 인터파크 개인정보 유출사고 조사 "APT(지능형 지속 위협) 공격으로 개인정보 유출 발생"【서울=뉴시스】이재우 기자 = 지난 5월 인터넷 쇼핑몰 '인터파크' 해킹사고로 ID

news.joins.com

직접 당해 보니....

개인적으로 한번 직접 모 포털사의 카페에서 중고 물품을 거래 하고자 했을때 피싱을 당한 적이 있었다. 물론 기업을 대상으로 한 공격이 아닌 개인의 금품 탈취 목적의 공격 이였다.

먼저 해당 포털사의 중고 거래 사이트에서 아주 싼 가격에 매력적인 조건의 노트북을 발견하고 연락자에게 연락을 하였고.. 판매자는 안전한 거래를 위해서 링크를 주면서 여기에 가서 로그인한 다음 안내하는 은행으로 돈을 입금하면 해당 포털사에서 제공하는 안전거래를 할수 있다고 한다.

실제 포털사이트에 공격자가 올려둔 매물 페이지

위의 매물을 보고 연락한 이후 판매자가 준 페이지로 접근하면 아래와 같은 페이지가 나온다.

해당 매물의 사칭 페이지 (피싱 페이지)

위의 두개의 이미지는 무언가 틀려 보인다. 다만 일반인이 유심히 보지 않는다면 잘 모를수도 있다. 여기서 "Pay 구매"를 클릭하면 아래와 같은 로그인 창이 뜬다.

로그인 피싱 페이지

로그인 창에는 임의의 아이디/패스워드를 입력해도 그냥 넘어가도록 되어 있었다. 만약 여기에 실제 본인의 계정을 입력 했다면 ... 그 피해는 더 커질 것이다.

실제 해당 포털사의 결제창과 유사하게 만들어진 피싱 페이지

이제 배송지 정보를 입력한 이후에 다음을 누르면 은행 계좌 번호 (물론 공격자의 계좌 번호이며 해당 포털사랑은 아무런 상관이 없다.)가 나온다.

% 위의 공격은 모 포털의 사기이지만 피싱과 함께 연동된 공격이라 종합적인 예제를 위해서 그리고 실제로 직접 본인이 당한적이 있기 때문에 예제로 실었지만 직접적인 피싱 공격은 아니다. 실제로 해당 포털사의 안전거래를 해본적이 없고 시스템을 잘 모르는 상태에서는 주의깊게 보지 않는다면 당할만한 공격이였다. ( 송금 계좌번호가 중국 사람이였음.. 거기서 쉽게 파악은 가능할것이다.)