데일리시큐가 주최하는 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2020이 지난 5일 성황리에 개최됐다.
이 자리에서 류소준 한국인터넷진흥원(KISA) 종합분석팀 류소준 주임은 키노트 발표로 ‘정보 수집을 위해 피싱 메일을 이용하는 공격그룹 동향’을 주제로 강연을 진행해 보안실무자들의 큰 관심을 끌었다.
류소준 주임은 우선 피싱 메일 공격 개요에 대해 설명했다.
보통 공격자는 공격을 시도하기 전에 공격 성공 및 흔적이 드러나지 않도록 환경구성부터 한다. 피싱 메일 공격이기 때문에, 먼저 메일 발송을 위한 발송지부터 확보한다. 그 이후 두 가지로 나누어지는데, 피싱 사이트로 연결시켜 계정 정보를 수집할지, 아니면 악성코드를 유포시켜 PC정보를 수집할지로 나누어진다.
공격자는 이를 위해 피싱 사이트 또는 악성코드 유포지로 사용할 서버를 추가로 확보한 후, 제작에 들어간다. 제작이 완료되면 공격자는 실제 공격을 위해 공격 대상에 대한 정보들을 수집한다. 이후 공격 대상을 선정하고 피싱 메일을 발송을 하게 되며, 이를 통해 유출된 정보를 수집한다.
공격자는 피싱 사이트로 계정정보를 수집하고, 그 계정으로 접속해 주고받는 메일 등을 모니터링 하다가 주요 공격 대상을 확인한 후 보다 많은 정보수집을 위해 악성코드를 유포할 수도 있다.
이런 식으로 수집된 정보는 추가 공격에도 사용할 수 있게 된다. 예를 들면 밀접한 누군가에게 수집한 파일을 미끼로 사용할 수 있고, 최근 주고 받은 메일 내용을 미끼로 사용할 수도 있을 것이다.
또 만약 악용 중이던 메일 발송지, 유포지, 피싱 사이트가 조치되면 이후 다시 처음으로 돌아가 다른 서버를 확보해 공격을 시도한다.
류 주임은 “우리는 작년 이 공격그룹이 사용하던 발송지, 악성코드 유포지, 피싱 메일, 피싱 사이트, 정보유출지 등을 분석한 바 있다. 정보유출지는 보통 피싱 사이트나 악성코드 유포지와 대부분 동일하며 수집한 피싱 메일의 발송지를 통해 메일 발송 서버를 확인할 수 있다”고 설명했다.
이어 그는 피싱 메일 유형에 대해 △국내 대형 포털사 고객센터로 위장한 피싱 메일 △첨부파일로 위장한 피싱 메일 △최근 유행하는 보안 메일을 이용한 피싱 메일 발송 △메일 본문에 XSS 취약점을 유발시키는 코드 삽입해 피싱 메일 유포 △최근 wsf 확장자의 윈도우 스크립트 파일을 이용한 악성행위 시도 △악성 한글파일 외에도 오피스 문서를 활용한 피싱 메일 등에 대해 분석 내용을 상세히 소개했다.
다음은 다양한 방법으로 유포된 피싱 메일을 통해 사용자의 계정이 어떻게 유출되는지 설명했다. 먼저 크게 두가지 방법으로 나눌 수 있다. 네이버나 다음과 유사한 페이지를 직접 제작하는 방법과 phproxy를 이용한 방법이다. 단순 고객센터 위장은 피싱 페이지를 직접 구현하기도 하지만, 일부 고객센터 위장 메일과 첨부파일 위장 메일, XSS 취약점 삽입 메일로는 주로 phproxy를 이용한 방법을 사용한다고 전했다. 그는 공격자들이 포털사이트 계정 정보를 어떻게 탈취하는지에 대해서도 설명했다.
또 그는 공격자들의 메일 발송기에 대해서도 공개했다. 공격자는 보통 메일 발송을 위해 리눅스 서버를 확보한다. 보통 리눅스 서버는 sendmail 서비스가 실행되고 있으며, php의 기본 메일 발송 함수인 mail함수를 통해 메일을 발송할 수 있기 때문이다.
더불어 실제 공격자 메일 발송지 분석을 통해 공격자가 사용한 피싱 메일 양식을 수집한 결과물도 공개해 눈길을 끌었다. 국내 포털사와 해외 포털사 등 다양한 피싱 메일 양식이 존재했다.
류소준 주임은 “피싱메일 공격자들을 분석한 결과, 공격자들은 국내 포털사와 AOL, 야후, 코인베이스, 페이팔 등 각종 포털 사이트 뿐만 아니라 가상화폐, 온라인 거래에도 관심이 있다는 것을 알 수 있었다”며 “이 외에도 국내 기업, 국내 정부기관 등 매우 다양한 분야에 피싱 공격을 시도하고 있음을 확인할 수 있었다”고 밝혔다.
이어 그는 공격자들의 서버 악용 흔적 추적을 공개하며 “악성코드 유포지 또는 메일 발송지 등으로 악용된 서버를 분석한 결과, 먼저 공격자가 서버를 제어하기 위해 삽입한 웹쉘들이 확인됐다. 이 웹쉘은 특정 버전으로 이미 공개가 된 웹쉘이다. 공격자들은 웹쉘을 통해 파일 추가, 생성, 삭제, 서버 정보, DB접속 등의 다양한 행위를 수행하고 있다. 또 서버를 이용해 계정정보를 관리하는 페이지도 생성해 관리하고 있다. 그리고 서버를 악용해 악성코드 유포와 홈페이지 계정 수집에도 활용하고 있다”고 전했다.
그가 말한 공격 그룹의 특징을 정리하며 다음과 같다.
△대부분의 악용된 서버에 대해 FTP계정으로 실패 없이 로그인에 성공한 것으로 미루어, 유출된 FTP계정을 통해 서버 접근을 시도하는 것으로 추정된다.
△메일 발송기, 피싱 페이지, 악성코드 등을 FTP를 통해 업로드하며, 유출된 계정정보 및 악성코드 감염 로그도 FTP를 통해 다운로드 한다.
△피싱 메일 발송지 및 피싱 사이트로 악용된 서버 중 일부에 추가로 악성코드를 업로드하여 유포한다.
△악성코드의 대부분이 원격제어 기능보다 계정정보 탈취, 정보수집, 키로깅에 기능에 초점이 맞춰진 것으로 보아 공격자는 금전적인 목적 보다 민감한 정보 수집이 목적인 것으로 추정된다.
△지속적으로 새로운 유형의 피싱 페이지를 생성하고 제로데이 등을 이용한 피싱 페이지 연결과 같은 다양한 방식을 사용하고 있다.
류소준 주임은 “특정 공격그룹은 기업을 타깃해 기업 메일로 보내기도 하고, 정부기관을 타깃해 정부 공식 메일로 보내기도 한다. 그리고 교수나 중요 학부를 타깃으로 할 때는 대학교 메일을, 이 외의 중요 인사들의 개인 메일로 보내기도 한다. 어느정도 규모가 있는 기업같은 경우 비교적 망 분리와 보안 장비 등으로 인해서 이러한 피해를 당할 경우는 드물 수 있지만, 비교적 취약한 인터넷이 가능한 망을 통해 접근한다던가, 주요 메일을 개인 계정으로 주고 받을 경우 이러한 피싱 메일에 의외로 쉽게 당할 수가 있다”고 주의를 당부했다.
이어 “KISA에서 악성코드 유포지, 피싱 사이트, 메일 발송지, 정보 유출지 등을 최대한 조치하고자 하지만, 국내의 경우 직접 연락 및 섭외해 조치해야 하고, 개인 메일 등으로 오고가는 피싱 메일들을 수집하기도 힘들다는 점 등으로 인하여 완벽한 방어가 불가능하다. 그렇기 때문에 이러한 피싱 메일 유형 등을 공유함으로써 지속적으로 보안에 대한 인식을 제고해야 된다고 생각한다”고 강조했다.
피싱 메일 또는 유포지 혹은 이 외에도 의심스러운 해킹 메일이 지속적으로 발송되거나 이로 인해 피해를 받고 있는 경우 보호나라 홈페이지를 통해 신고하면 도움을 받을 수 있다.
그리고 KISA 2019 4분기 사이버위협동향 보고서 전문가 칼럼을 참고하고 포털 사이트 등과 일부 유사하게 도메인을 제작해 일반 사용자들은 실제 의심하지 못할 경우가 많기 때문에 각별한 주의를 당부했다.
피싱메일 예방을 위한 외부사이트 링크 주소 확인 방법은 다음과 같다.
△개인정보나 계정인증관련 메일이 수신되었을 경우 메일에 포함된 링크를 클릭하지 않고 새로운 창으로 정상사이트를 직접 들어가서 확인 권장
△다른 사이트의 경로가 링크 되어있으면서, 링크가 보이지 않게 글씨로 위장한 경우 주의
△메일에 포함된 링크를 클릭하였을 경우, 연결된 페이지 주소창의 초록색 배경 또는 자물쇠 확인
★정보보안 대표 미디어 데일리시큐!★
