많은 조직들에서 사용하는 MS 이메일 플랫폼들이 최근 들어 폭격을 맞고 있다. 사이버 공격자들이 보다 능숙하게 뚫어내기 시작했기 때문이다. 공격 빈도만이 아니라 성공률도 높아지는 중이다. 방어력의 전반적인 업그레이드가 필요하다.

[보안뉴스 문가용 기자] 최근 마이크로소프트의 이메일 보안 장치들을 피해가기 위한 사이버 공격자들의 피싱 전술이 놀랍도록 발전했다고 보안 전문가들이 경고하기 시작했다. 공격자들은 이메일 플랫폼의 취약점을 공략한다거나, 피해자들을 속이기 위한 각종 기법을 활용한다거나, 클라우드 서비스를 사칭하는 등 다양한 방식을 사용할 수 있게 되었으며, 심지어 이메일 사용자들을 노린 표적 공격도 증가하는 중이라고 한다.

​

[이미지 = utoimage]

그 결과 5개 피싱 이메일 중 1개는 마이크로소프트 플랫폼의 방어 장치를 피해서 피해자의 받은 편지함에 도착하고 있는 상황이다. 2020년에 비해 성공률이 74%나 증가한 것이라고 보안 업체 체크포인트(Check Point)는 설명한다. “공격자들은 SPF와 같은 보안 확인 사항들을 점점 더 높은 확률로 피해가고 있으며, 폰트를 0으로 줄여서 악성 요소를 감추는 등의 기법을 자유자재로 활용합니다. 그래서 탐지가 어려워지고 있습니다.” 체크포인트의 설명이다.

이메일을 겨냥한 공격자들의 실력이 일취춸장하는 데에는 이유가 있다. 이메일 보안 전문 업체 아바난(Avanan)의 부회장 길 프리드리히(Gil Friedrich)는 “방어 시스템에 대한 공격자들의 이해도가 높아졌기 때문”이라고 말한다. “이메일을 사용하는 사람들의 상태가 어떤지, 그 사람들을 어떻게 공략해야 하는지를 점점 더 잘 이해하기 시작했습니다. 특히 보안 알고리즘과 사용자의 시선에서 완전히 다른 이메일을 만드는 데 전문가들이 되고 있습니다.”

MS는 특별히 익스체인지의 시스템이 더 잘 뚫리기 시작했다는 것에 동의하지도 부정하지도 않고 있지만, 얼마 전인 7월 공격자들이 자사 이메일 서비스를 노리고 보다 고차원적인 공격을 하기 시작했다고 경고한 바 있다. 당시 언급된 건 AiTM(Adversary-in-the-middle : 중간 공격자) 공격 기법이다. 공격자들이 별도의 URL을 사용해 피해자와 피해자가 가려고 하던 사이트의 프록시 서버 사이에 끼어들어 민감한 정보들을 빼돌리는 기법이라고 볼 수 있다. 7월 당시 1만이 넘는 기업들이 이러한 공격의 표적이 되고 있다고 발표했었다.

피싱 공격자들이 점점 더 날카로워지고 있다고 경고한 건 체크포인트만이 아니다. 또 다른 보안 업체 프루프포인트(Proofpoint)의 경우 83%의 조직들이 이메일 기반 피싱 공격에 실제 당했다는 연구 결과를 발표했었다. 트렌드 마이크로(Trend Micro)의 경우 2022년 상반기 동안 이메일 기반 피싱 공격의 회수가 2021년 상반기에 비해 2배 이상(137%) 늘어났다는 내용의 보고서를 내기도 했었다. 모의 해킹 전문가들을 대상으로 한 조사에서 절반에 가까운 응답자(49%)들이 피싱과 소셜엔지니어링 공격이 가장 효율 높은 공격 기법이라는 의견을 냈었다. 압도적인 1위였다.

피싱 공격자들의 실력이 좋아지고 있다는 것이 보안 업계가 전반적으로 인정하는 사실이라는 건데, 공격자들이 쏟는 노력을 생각하면 당연한 결과라고 볼 수 있다. 트렌드 마이크로의 부회장 존 클레이(Jon Clay)는 “공격자들은 자신들이 공략하고자 하는 조직이나 인물에 대해서 어마어마한 양의 정보를 수집하고, 시간을 들여 접근하여 신뢰 관계를 구축하는 등 노력을 아끼지 않습니다. 충분한 정보를 가지고 있으니 피해자들이 결국은 속을 수밖에 없는 이메일을 만들 수 있게 되는 겁니다. 자신들이 원하는 바를 이루는 방법을 충분히 숙지하고 있는 것이죠.”

클레이가 심리적인 부분에서 공격자들의 능통함을 말하고 있다면, 위에서 언급한 체크포인트의 조사에서 드러난 건 공격자들이 방어 시스템을 깊이 이해하고 있다는 사실이다. “이메일이 어떤 식으로 보호되는지, 어떤 데에 장점이 있고 단점이 있는지 잘 알고 있습니다. 예를 들어 악성 URL을 자동으로 걸러내는 시스템이 있다는 사실을 알아냈다면 공격자들은 동적 웹사이트들을 만듦으로써 대응합니다. 새벽 두 시와 오전 여덟 시에 각각 다른 사이트들로 연결되도록 하는 것이죠.”

이런 식의 대응은 방어 체계가 갖는 한계를 잘 이해하고 있기 때문에 나오는 수라고 볼 수 있다. 프리드리히는 “이메일에 포함된 URL을 하나도 빠짐없이 스캔할 수는 없으며, URL들을 하나하나 샌드박스 환경에서 실행시키고, 사이트의 모든 요소들을 추적해 검사하려면 어마어마한 컴퓨팅 파워가 필요하다”고 말한다. “모든 기업들이 이런 환경을 갖출 수는 없죠. 그걸 잘 알고 있으니 동적 웹사이트를 통해 보안 체제가 금방 바닥나도록 하는 겁니다.”

새로운 대응책들도 있어

그래서 이메일 보안 업체들은 최근 ‘클릭 시 분석’이라는 방법을 고안해냈다. “모든 URL을 검사하면 좋겠지만 현실적인 한계가 분명히 있지요. 하지만 사용자가 실제로 클릭하는 것만 검사한다면 어떨까요? 전체에 비해 극히 소량(약 1%)에 불과한데요. 가능하다면 전체 URL을 다 검사하는 것보다 훨씬 빠르고 가볍게 일을 진행할 수 있겠죠. 게다가 여기에 머신러닝과 인공지능까지 결합하면 자원을 더 아낄 수도 있고요.” 클레이의 설명이다.

“시그니처를 기반으로 한 보안 장치들로는 현대화 된 피싱 공격자들의 수법을 막아낼 수가 없습니다. 시그니처도 필요할 때도 있지만 그것만으로는 부족하다는 겁니다. 공격자들은 방어 메커니즘을 잘 간파하고 있고, 그것을 꿰뚫어낼 수 있는데, 시그니처 기반 보안 장치들은 대단히 오래된 것이기 때문입니다. 이미 알려질 대로 알려진 게 시그니처 기반 보안 장치들인 것이죠. 공격자들이 새 기술을 이용하고 있다면 우리 쪽에서도 그래야 합니다.”

3줄 요약

1. 사이버 공격자들, 최근 들어 이메일 폭격 중.

2. 피싱 공격의 기술도 좋아지고 있지만, 방어 체계의 한계도 정확히 간파하고 있기 때문.

3. 공격 기술이 새로워지면 방어 체제도 새로워져야 할 필요 있음.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=110555&page=3&mkind=1&kind=1)]​