“의심스러운 이메일은 열어보지 않기”, “이메일에 포함된 의심스러운 인터넷 주소는 클릭하지 않기” 등과 같은 이메일과 관련된 내용은 항상 빠짐없이 등장하는 보안 수칙일 것입니다. 이는 여전히 많은 사람이 의심스러운 이메일을 열어보고 있으며, 해커와 사이버 범죄자들에게 효과 좋은 관문이기 때문일 것입니다.
피싱 vs 스피어 피싱
피싱(Phishing)은 전자우편 또는 메신저 등을 사용해서 신뢰할 수 있는 단체 및 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 개인정보와 같이 기밀을 필요로 하는 정보를 부정하게 얻으려는 오늘날 대표적인 온라인 사기 방식(사회 공학 기법, Social Engineering)의 한 종류입니다.
특히, 과거에는 누가 봐도 수상하고, 뜬금없는 제목의 피싱 메일이 주를 이뤘다면 요즘은 비슷한 발신자 주소로 위장하거나 업무와 관련된 제목으로 위장하는 등 사회적인 이슈를 이용하거나 특정한 공격 대상을 노리는 스피어 피싱(Spear Phishing)까지 끊임없이 진화하고 있습니다.
2000년대 초에 등장했던 ‘피싱’ 공격은 가장 일반적인 방법으로 이메일이 사용되고 있으며, 오늘날에는 더욱 정교해진 방법의 악성 메일(스피어 피싱 메일)이 기승을 부리고 있습니다. 이런 스피어 피싱은 불특정 다수가 아닌 특정인(조직)을 표적으로 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성코드를 감염시키는 일종의 사회 공학 기법의 공격 형태이며, 아주 고전적인 방법이지만 문제는 아직도 효과가 있다는 것입니다.
● 스피어 피싱 메일의 특징
– 불특정 다수가 아닌 특정 기관 및 기업을 노리는 표적성
– 일반적인 광고, 애드워드보다 훨씬 심각한 정보 유출 등을 노리는 악성코드의 심각성
– 내용을 의심할 수 없을 정도로 정상 메일과 유사한 정교성
특히, 해외 통계에 따르면 지금까지 밝혀진 ‘지능형 위협 공격’이라고 불리는 APT(Advanced Persistent Threat) 공격의 90% 이상은 악성 메일부터 시작되거나 공격에 사용되었다고 합니다.
스피어 피싱 메일을 통한 APT 공격, 우리나라는?
한국인터넷진흥원(KISA)이 발표한 2019년 7대 사이버 공격 전망에 ‘지능화된 스피어 피싱과 APT 공격’이 포함되어 있을 정도로 먼 이웃 나라가 아닌 현재 우리나라에서 발생 가능한, 발생하고 있는 위협임을 알 수 있습니다.
또한, 해외 보안 업체의 통계 발표에 따르면 지난 3년간 우리나라에서는 APT 공격이 전 세계 7위에 해당하는 40회가 발생했으며, APT 공격 중 스피어 피싱이 65%를 차지하는 통계 자료만 보아도 스피어 피싱을 통한 APT 공격의 심각성을 확인할 수 있습니다.
개인이 일상생활에서 이런 스피어 피싱을 겪는 경우는 거의 없을 수도 있지만, 그 개인이 자신이 일하는 기업에서 PC를 사용할 때, 특히 중요한 직책을 맡고 있다면 상황은 매우 달라질 수 있습니다. 이는 바로 이 스피어 피싱이 APT(Advanced Persistent Threat) 공격의 시작점이자 내부 시스템 파악의 첫 발판이 되기 때문입니다.
APT 공격의 가장 큰 특징은 특정 기업을 노려서 매우 지능적으로 성공할 때까지 노린다는 점입니다. 이런 APT의 특징을 생각해보면 그 시작점이 스피어 피싱이 되는 것이 매우 자연스러운 일이며, 국내에서도 스피어 피싱의 피해 사례를 쉽게 확인할 수 있습니다.
기업들의 스피어 피싱 메일 대응 활동은?
이런 악성 메일 하나로 시작된 APT 공격이 성공 시, 기업의 피해는 중요 기밀 정보 탈취, 개인정보 유출, 생산 시스템 중단 등 기업에 막대한 경제적 손실을 입힐 수 있으며, 이에 많은 기업에서는 악성 메일에 대응하기 위한 다양한 보호 대책과 활동을 수행하고 있습니다.
하지만, 스피어 피싱 공격은 오늘날 기업을 위협하는 핵심 보안 위협이 되지만, 스피어 피싱 공격 목표 대상 기업에서는 대부분 기존의 보안 솔루션에 의존하는 경향이 있으며, 사람의 의도적 또는 비의도적인 행동이나 실수를 통해 공격을 수행하는 사회 공학적 기법에 대한 대응 활동이 부족해 여전히 이런 고전적인 방법인 악성 메일이 악용되고 있는 것입니다.
스피어 피싱 메일은 정말 예방 할 수 없는 것인가?
국내 스피어 피싱 피해 사례에서 보았듯이 해당 스피어 피싱 메일을 예방했더라면? 하는 생각을 하게 됩니다. 하지만, 이런 스피어 피싱이 특히 위험한 이유는 사용자가 구분이 어렵다는 데 있습니다.
해커가 특정 조직 또는 인물을 표적으로 삼으면 해커는 관련자를 사칭하거나 상대의 관심과 호기심을 자극하는 사회 공학적(Social Engineering) 기법으로 이에 맞춤화된 내용의 스피어 피싱 메일을 시도하기 때문입니다. 이런 정교하게 조작된 메일을 받았을 때 개인이 이를 구별해 내기란 쉽지 않습니다.
이는, 스피어 피싱 메일은 보안 솔루션의 탐지를 피하고자, 실행 파일 형태에서 문서 형태의 비실행 파일 형태로 등의 사용자 PC에 악성코드를 전파하기 위해 끊임없이 진화하고 있으며, 조직 구성원을 대상으로 하는 공격이기 때문이기도 하지만, 가장 기본적인 정기적 보안 교육을 통한 스피어 피싱 메일 공격 위협에 대한 인식 제고와 구성원에 약간의 관심과 노력으로도 스피어 피싱 메일의 피해를 예방하는 데 상당한 효과를 거둘 수 있는 가장 좋은 방어 대책일 것입니다.
그럼, 스피어 피싱 메일 등을 통한 악성코드 감염 예방 실전 수칙에는 어떤 내용이 있을까요?
스피어 피싱 메일의 예방을 위한 명확한 실천 수칙과 인식 제고를 위한 교육 및 홍보 활동 등의 노력만으로는 모든 악성 메일을 예방하지 못하는 게 현실이며, 해커는 고도의 기술을 이용하기보다는 사회 공학 기법을 이용하는 형태로 끊임없이 진화해 더욱 정교하게 공격을 수행하고 있기 때문입니다.
이런 이유에서 최근 정부(국가정보원)에서는 ‘사이버 공격 대응 훈련’ 과목 중 하나로 해킹 메일 대응 훈련을 155개 기관을 대상으로 실시하듯이 스피어 피싱 메일의 위협에 대응하기 위해서는 끊임없는 교육, 홍보를 통한 인식 개선과 함께 반복적인 훈련을 통해 보안 인식을 향상시키는 것이 더욱 효과적이며, 반복적인 훈련을 통해 보안 인식인 향상되는 효과는 연구 논문, 적용 사례 등을 통해 확인할 수 있습니다.
특히, 구성원 개인을 대상으로 하는 사회 공학적 기법의 공격에 대한 예방 효과는 더욱 높아짐을 알 수 있습니다.
효과적인 악성 메일 대응 훈련을 위해서는 사고 예방 중심으로 조직의 보안 의식을 향상시키는 데 초점을 두고, 전사적으로 기업의 내•외부 환경을 고려해 수행해야 하며, 훈련에 따른 평가 결과는 다음의 훈련에 반영되어 지속적으로 수행해야 할 것입니다.
인터넷을 이용하면서 대부분의 기업은 커뮤니케이션의 수단으로 이메일을 사용하고 있습니다. 어쩌면, 이메일은 가장 중요한 업무 수단이며 이렇게 업무가 집중되는 만큼 중요도 또한 높아지면서 스피어 피싱 메일 등의 보안 위협은 지속적으로 증가하고, 스피어 피싱 공격은 훨씬 더 위험한 APT 공격의 전초전으로서 더 많은 위험을 내포하고 있습니다.
정보 보안 관리 체계가 PDCA(Plan, Do, Check, Act)의 사이클에 따라 계획을 수립하고 실행하며 주기적인 점검을 통해 문제점을 개선하는 순환구조로 관리해야 하듯이 스피어 피싱 메일 대응을 위해서 계획적이고 지속적인 보안 교육 및 홍보 활동과 더불어 주기적인 모의 훈련을 통해서 기업 구성원의 보안 인식 제고를 수행한다면, 우리 기업을 노리는 APT 공격도 막아낼 수 있지 않을까 생각해봅니다.
[참고문헌]
1) 한국인터넷진흥원, 사이버 위협 동향보고서(2019년 1분기)
2) https://www.dailysecu.com/?mod=news&act=articleView&idxno=5906
글 l LG CNS 보안컨설팅팀
