유명 브랜드를 사칭하는 피싱 공격은 항상 우리 곁에 있어 왔다. 그런데 최근에는 유명 브랜드로 직접 전화를 걸게 만드는 피싱 공격이 발견되고 있다. 이런 식의 단계를 하나 추가하면 피해자가 더 높은 확률로 속게 된다고 한다.

[보안뉴스 문가용 기자] 아마존의 주문 관련 페이지를 흉내 낸 다단계 피싱 공격이 유행하고 있다. 공격자들이 노리는 건 피해자들의 신용카드 정보로 보인다. 보안 업체 아바난(Avanan)이 공개한 이 캠페인은 단순 피싱 공격이라고 하더라도 꾸준히 진화함으로써 중대한 위협이 된다는 것을 보여준다.

​

[이미지 = utoimage]

아바난의 CEO인 질 프리드리히(Gil Friedrich)는 “10월부터 아마존의 주문 알림 페이지를 똑같이 흉내 낸 캠페인이 유행하기 시작했다”고 말한다. “피해자들은 제일 먼저 300달러가 넘는 주문 확인서를 메일로 받습니다. 당연히 그러한 주문을 한 적이 없기 때문에 피해자들은 놀라서 메일을 확인하고 링크를 누르죠. 그러면 실제 아마존 웹사이트로 연결이 됩니다. 그리고 그 페이지에서 고객 지원 전화번호를 발견하죠. 당연히 주문을 취소하기 위해 혹은 어찌된 영문인지 파악하기 위해 전화를 걸지만 아무도 받지 않습니다.”

몇 시간이 지나면 공격자가 피해자에게 전화를 건다. 이 때 전화는 인도로부터 걸려온다. 당연히 가짜 아마존 고객 지원 센터 직원이다. “피해자는 불만을 제기하겠죠? 자기가 주문하지 않은 물건이 결제됐다고요? 그러면 센터 직원을 가장한 범인이 주문을 취소한다며 신용카드 번호와 CVV 번호를 불러달라고 합니다. 이러한 공격으로 공격자들은 신용카드 정보만이 아니라 전화번호까지 취득하게 됩니다. 그리고 이 정보를 바탕으로 추가 공격을 이어가지요.”

이런 비슷한 피싱 캠페인이 또 있다. 또 다른 보안 업체 아모블록스(Armorblox)가 공개한 바에 따르면 또 다른 피싱 공격자들이 보안 업체 프루프포인트(Proofpoint)를 사칭하여 마이크로소프트와 구글의 이메일 크리덴셜을 훔치려 시도하는 중이라고 한다. 이 공격자들이 보낸 피싱 이메일에는 프루프포인트가 보낸 것처럼 꾸며진 ‘보안 파일’로 연결되는 링크가 걸려 있다. 클릭하면 프루프포인트의 공식 웹사이트처럼 보이는 사이트로 연결되면서 마이크로소프트나 구글로 로그인을 하라는 안내가 나온다. 구글, 마이크로소프트, 프루프포인트처럼 보안과 관련된 브랜드 이미지를 활용하는 것이라고 아모블록스는 분석한다.

아마존 피싱 캠페인의 경우처럼 피싱 공격을 다단계로 진행했을 때 공격자들이 얻는 이득은 무엇일까? 보안 업체 노비포(KnowBe4)의 보안 연구원인 로저 그라임즈(Roger Grimes)는 “피해자를 속일 확률이 훨씬 높아진다”고 말한다. “게다가 다단계로 피싱을 실시한다고 해서 공격자들 편에서 특별히 어마어마한 자원을 투자해야 하는 것도 아닙니다. 심지어 공격자들 편에서의 위험 부담도 없죠. 그냥 피해자가 안 속으면 그뿐이지 체포되는 것도 아니지요.”

그라임즈는 피해자들이 직접 전화를 걸게 만든 것 자체가 피싱 공격이 성공적임을 증명하는 것이라고 강조한다. “아마존인줄 알고 물품 취소 전화를 했다는 것부터 이미 피해자들이 속았다는 것을 보여줍니다. 사람은 자기가 능동적으로 취한 행동을 무의식적으로 신뢰하거든요. 이런 장치를 피싱 공격의 과정 중에 삽입했다는 것이 놀랍습니다. 심지어 반신반의하는 마음으로 전화를 걸었던 피해자라도 ‘실제 통화 연결이 되었다’는 사실 때문에 의심하는 마음이 많이 걷힙니다. 피싱 공격이라고 하면 이메일 피싱이나 보이스 피싱만 있는 줄 알지 이런 식의 혼합 공격이 있다는 건 들어보지 못했으니까요.”

비슷하게 전력 회사로 꾸민 피싱 기법도 인기가 제법 높다. “전기세가 연체되었으니 곧 전기를 끊겠다”는 메일을 다짜고짜 보내는 것이다. 피해자는 전기가 끊긴다는 것에 놀라서 안내 문구를 들여다보게 되는데, 현금이 아니라 상품권이나 e-cash 같은 것을 구매해 지불하면 문제가 해결된다고 나와 있습니다. 전력 회사가 상품권으로 전기세를 받는 게 이해가 가지 않지요? 하지만 10% 정도는 여기에 속습니다.“

이런 공격의 피해자가 되는 것을 막으려면 가장 먼저 보안 인식 제고 훈련이 필요하다. 하지만 그것만으로는 충분하지 않다고 아바난은 주장하며 다음 몇 가지를 제안했다.

1) 이메일을 받았다면 보내는 사람 주소를 확인하는 습관을 가져야 한다. 이번 아마존 피싱 캠페인의 경우 보낸 사람의 메일 주소는 gmail.com이었다.

2) 아마존 계정에 정상적으로 접속해 확인부터 하는 습관을 가져야 한다. 정말로 뭔가 구매나 취소되었다면 그것이 아마존 계정에 로그인했을 때 구매 내역 혹은 취소 내역으로서 나타날 것이다.

3) 유명 회사라고 해서 방화벽이나 백신의 ‘무사통과 대상자’ 목록에 올리면 안 된다. 오히려 유명할수록 더 철저하게 점검이 되도록 해야 한다. 유명 브랜드를 악용하는 사례가 거의 대부분이기 때문이다.

4) 알 수 없는 번호로 전화를 거는 건 그리 현명하지 못한 결정이다. 특히 온라인 주문이나 구매와 같은 건 온라인 계정에 이력이 남으니 전화를 하기 전에 그 내역부터 확인해야 한다.

5) 이메일 방화벽이나 피싱 보안 솔루션 하나만 믿어서는 안 된다. 다층위 보안 시스템을 설계하는 것이 좋다.

3줄 요약

1. 아마존 사칭한 피싱 공격자들, 먼저 주문 취소 혹은 결재 관련 페이지 메일로 보냄.

2. 깜짝 놀란 소비자는 해당 페이지의 전화번호로 전화를 걺.

3. 통화하면서 신용카드 정보를 달라고 자연스럽게 요구하면 속는 피해자들.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://m.boannews.com/html/detail.html?tab_type=1&idx=102207)]​