한국인터넷진흥원(KISA)이 발표한 ‘국내 스피어피싱 유형 분석’에 따르면 기업 및 기관을 노리는 표적 공격의 91%가 스피어피싱 이메일에서 시작된다고 한다. 스피어피싱 이메일의 94%가 파일을 첨부하고 있었으며, 공격 대상의 76%가 기업이나 정부기관인 것으로 나타났다.
스피어피싱은 특정 개인이나 조직을 대 사용하여 상으로 잘 아는 자가 보내는 것처럼 위장해 메일을 보내 악성코드에 감염시키는 공격이다. 업무에 관련된 문구를 이메일을 보내기에 수신자가 메일을 열람할 가능성이 높다.
특히 스피어피싱 이메일은 보안 솔루션 탐지를 피하기 위해 실행파일 대신, 문서 형태의 비실행형 또는 압축파일을 이용하는 경우가 많아 공격 성공률이 높다. 수신자의 PC에서 악성코드가 실행되어도 정상파일을 보여주어 감염을 눈치채지 못하게 하는 등 치밀함이 특징이다.
얼마 전 터키 금융업계를 대상으로 발생한 사이버 공격과 평창 올림픽 개막식을 방해한 해킹 공격이 스피어피싱을 통한 공격에 해당한다.
터키의 유명 가상화폐거래소인 팔콘 코인(Falcon Coin) 도메인과 흡사한 팔칸 코인(Falcan Coin)이라는 계정으로 워드파일이 첨부된 이메일을 고객들에게 발송하여 피해자들이 이메일을 확인하는 순간 악성코드가 심어지도록 했다. 이번 공격에 사용된 악성코드는 ‘뱅크샷’이다. 몇 년 전에 발견 되었지만 다양한 변종 형태로 공격에 활용되고 있다.
‘뱅크샷’이 실행되면 해커들은 피해자들의 컴퓨터 문서를 원격으로 다운받을 수 있다. 특히 잠복기간 동안 수집한 여러 계정 정보를 통해 코인 및 계좌 정보가 있는 주요 서버 계정을 수집하여 서버 내 파일들을 위-변조, 탈취하여 금전적 손해를 입힐 수 있는 공격이다.
평창 올림픽 개막 당시 시스템 장애를 일으킨 ‘올림픽 파괴자’ 악성코드의 최초 감염 경로도 스피어피싱 이메일을 통한 감염으로 분석됐다. 해당 파일은 올림픽 관련 인터넷 서비스도메인에 접속할 수 있는 수십 개 계정 아이디와 패스워드가 포함돼 있었으며 자가전파 기능이 있는 것이 특징이다. 주변 시스템에 자동으로 전파, 감염시켜 시스템 사용자 정보를 모두 탈취하고 공유 시스템을 파괴하는 동작을 수행한다.
2017년 우크라이나의 주요 기관을 공격한 파괴형 랜섬웨어 악성코드 ‘낫페트야’와 유사한 특징들이 발견된 ‘올림픽 파괴자’ 악성코드는 정보를 탈취하는 랜섬웨어 형태를 띄지만 애초에 복구를 허용하지 않고 감염 대상의 시스템을 파괴하는 것을 목적으로 하고 있어 심각한 결과를 초래할 수 있었다.
보안사고 예방을 위해 백신과 운영 프로그램의 주기적인 업데이트 및 첨부파일 확인 등 사용자의 보안 의식 제고와 보안 수칙 생활화는 중요하다. 하지만 스피어피싱 이메일 공격의 예에서 알 수 있듯이 변종 악성코드를 활용해 사용자가 인식하지 못하도록 은밀하게 지속적으로 공격하는 경우가 증가하고 있다.
수산아이앤티의 신제품 eReD Hypervisor Security(이하 eReD)는 VMI(Virtual Machine Introspection)를 보안솔루션에 적용한 미래위협 대응 솔루션이다. 화이트리스트 방식으로 프로세스 실행제어 기능을 수행, 관리자가 인가한 프로그램 외에는 실행을 원천 차단한다. 관리자의 PC나 서버가 스피어피싱 이메일 등으로 인해 감염되었더라도 악성 프로그램이 실행되지 않아 주요 정보를 보호할 수 있는 것이다.
수산INT 관계자는 “eReD는 가상화 기술을 보안 솔루션에 적용한 제품이다”라며 “백신에 대해 우회하는 악성파일이라 할지라도 프로그램 실행을 무력화 시키기에 기존 보안 제품과는 차원이 다른 보안을 제공하며, 제로데이 공격도 차단할 수 있다”고 말했다.
★정보보안 대표 미디어 데일리시큐!★