유명 소프트웨어에 무료 가입하여 계정을 확보한 뒤, 유명 기업들을 사칭해 피해자들에게 피싱 이메일을 보내는 캠페인이 발견됐다. 공격자들은 크리덴셜과 계좌 정보 등 각종 민감 정보를 훔쳐가고 있다. 뻔한 수법인데 피해자가 줄어들 기미를 보이지 않는다.

[보안뉴스 문가용 기자] 사이버 범죄자들이 인기 높은 회계 소프트웨어 패키지인 퀵북스(QuickBooks)를 활용해 구글 워크스페이스와 마이크로소프트 365의 고객들을 노린다는 경고가 나왔다. 공격자들의 주요 전략은 보이스 피싱이고, 주요 표적은 소기업들이라고 한다.

​

[이미지 = utoimage]

이번 피싱 캠페인을 벌이는 공격자들은 “상품 구매 때문에 신용카드 결제가 이뤄졌다”는 내용의 이메일을 보내면서 가짜 인보이스를 첨부한다. 물건을 구매한 적이 없는 공격자는 깜짝 놀라서 메일을 열게 되는데, 여기에는 “주문이 잘못 된 것이라면 전화를 달라”는 내용과 함께 번호가 기재되어 있다. 전화를 걸면 보이스 피싱 공작이 시작된다. 이 캠페인은 보안 업체 잉키(INKY)가 지난 해 12월에 발견했고, 최근 공격 빈도가 위험할 정도로 높아졌다고 한다.

퀵북스는 인기 높은 회계 소프트웨어로 누구나 30일 동안 무료 버전을 사용할 수 있다. 공격자들이 이번 공격에 활용한 것이 바로 이 부분이다. 30일 무료 버전을 다운로드 받으며 계정을 여러 개 만들고, 이 계정들을 통해 가짜 인보이스를 피해자들에게 보내는 것이다. 이 때 공격자들은 아마존, 애플, 페이팔, 맥아피 등의 유명 회사를 사칭한다. 피해자 입장에서는 유명 기업들에서 온 메일로 보이며, 따라서 메일에 기재된 전화번호로 전화를 걸 확률이 높다. 피해자의 전화를 받은 공격자들은 은행 계좌, 로그인 크리덴셜 등 각종 개인정보를 요구한다.

“이번 캠페인은 탐지를 피하는 데 있어서는 놀라울 정도로 효과적입니다. 심지어 이메일의 HTML 원본 파일을 자세히 살펴봐도 그 자체로 가짜나 허위임을 알기가 힘듭니다. 출처 IP 주소도 정상이고, 사칭된 기업도 유명하니까요.” 잉키의 설명이다.

지난 4월에도 이와 유사한 피싱 공격 캠페인이 발견됐었다. 당시 공격자들은 가짜 인보이스가 첨부된 자신들의 가짜 메일이 아마존 프라임(Amazon Prime)에서 온 것처럼 꾸몄는데, 이 때 사용한 문자열이 amazn과 amzn이었다. 이것만으로도 꽤 많은 탐지 도구들을 피해갈 수 있었다. 여기에 피해자들이 속아 인보이스를 저장하거나 인쇄할 경우, 퀵북스 개발사의 웹사이트로 우회 접속이 되었다가 가짜 인보이스가 출력된다. 피해자들은 더 의심을 할 수 없게 되면서, 기재된 번호로 전화를 걸고 각종 정보를 공격자들에게 넘겼다.

“자신의 카드에서 돈이 나갔다고 하면 당연히 깜짝 놀라 관계된 회사에 전화를 걸 수밖에 없습니다. 결제를 취소시키겠다는 목적성 하나만 머릿속에 남게 되죠. 사실 피싱 공격자들이 노리는 것이 바로 이런 심리적 상태라고 볼 수 있습니다. 사람이 냉정을 잃으면 의심을 덜 하게 되고, 의심을 덜 할 때 피싱 공격자들은 이득을 취할 수 있거든요.” 잉키의 설명이다.

피싱 공격자가 부지런하니, 방어자도 부지런해야

잉키는 “유명 회사나 정부 기관들은 고객들에게 ‘이 번호로 전화를 주세요’라는 내용으로 이메일을 잘 보내지 않는다”는 걸 강조한다. “분명히 일을 진행하다보면 ‘이게 맞나?’싶은 생각이 들 때가 있습니다. 정상적인 기업이나 기관들이 하지 않는 것들을 요구할 때 더욱 그렇죠. 그럴 때는 아무리 급한 사안이라도 잠시 접어두고 확인을 해봐야 합니다. 예를 들어 신용카드 회사에 직접 전화를 해서 최신 카드 결제 내역을 받아볼 수 있겠죠.”

잉키는 이것을 ‘약간의 부지런함’이라고 표현한다. “대부분은 공격자의 지시대로 일을 처리하다가 뭔가 찜찜하다는 걸 느낍니다. 정상적으로 기업이나 기관들과 상대를 해본 경험이 있으니까 ‘지금은 뭔가 달라졌다'는 느낌을 받는 거죠. 하지만 일을 해결하는 게 너무 급하다보니 그런 생각을 모른 척 합니다. ‘이유가 있겠지’라고 여기면서 일 처리부터 하려 하는 거죠. 아주 조금만 부지런함을 발휘해 확인만 하면 되는데 말이죠. 피싱 공격자들만큼 방어하는 쪽에서도 조금 더 바쁘게 움직일 필요가 있습니다.”

아직 낚을 것이 수두룩

사이버 범죄자들은 지금 이 시간에도 보다 효과적인 피싱 테마와 전략을 구성하기 위해 부지런히 연구를 진행하고 있다. 보안 업체 카스퍼스키(Kaspersky)가 발표한 보고서에 의하면 “대형 소셜미디어 사이트나 주요 IT 서비스 업체 등이 최근 몇 년 동안 각종 피싱 공격의 온상이 되고 있다”고 한다. “유행하는 소셜미디어들을 공격자들은 잘도 파악하죠. 그리고 공격의 무대를 자유자재로 옮깁니다. 필요하면 자동화 기술을 사용하기도 하고요. 다시 음성 피싱 공격이라는 전통적 방법을 구사하기도 하죠.”

피싱 공격이라는 말은 이제 너무나 유명해져서 업계 바깥에 있는 일반인들조차 들어보지 못한 사람들도 잘 알고 있다. 하지만 피싱 공격을 실제로 막을 수 있는 사람이 유의미하게 늘어난 것처럼 보이지는 않는다. “아직도 수많은 사람들이 자신의 귀한 개인정보를 공격자들에게 넘깁니다. 피싱을 의심하기도 전에 궁금하거나 화가나거나 조급하니까 손가락이 먼저 움직이는 겁니다. 이것만 조심하면 공격의 상당수를 막을 수 있게 되는데, 아직 개선의 희망이 보이지 않습니다.” 잉키의 설명이다.

3줄 요약

1. 유명 회계 소프트웨어인 퀵북스를 공격에 활용한 피싱 공격자들.

2. 게다가 아마존, 애플 등 유명 IT 회사들의 이름을 사칭하기도 함.

3. 피싱 공격이란 것이 아무리 유명해져도 여기에 속는 사람들이 줄지 않음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=108332&page=1&mkind=1&kind=)]