실시간 뉴스



표적형 악성메일 '스피어피싱'에서 APT 시작


지능형 지속위협(APT) 공격의 시작점이자 내부 시스템 파악에 쓰여

[김국배기자] 재직 중인 회사(와 매우 비슷한) 메일주소로 '연봉 협상 결과 통지서'라는 제목의 메일을 받았다면 과연 열지 않고 그냥 지워버릴 수 있을까. 평소 자신의 담당 업무와 관련한 '[이력서]***부서 지원'이라는 메일을 받은 경우는 어떤가.

'표적형 악성 메일'이라 할 수 있는 스피어 피싱에 대한 위협이 커지고 있다. 특히 스피어 피싱이 지능형 지속위협(APT) 공격의 시작점이 될 수 있어 더욱 주의가 필요하다는 지적이다.

안랩은 11일 여덟 번째 '보안 바로알기(Know the security) 캠페인'을 통해 이같은 내용을 전했다. 스피어 피싱(Spear phishing)은 '창, 찌르다'라는 의미를 가진 스피어(spear)와 수신자를 속이기 위한 사기 이메일과 활동을 뜻하는 피싱(phishing)의 합성어다.

보안 분야에서는 스피어피싱은 불특정 다수가 아닌 특정인(조직)을 표적으로 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹 사이트로 유도하거나 악성 첨부 파일로 악성코드에 감염시키는 일종의 온라인 사기행위다.

◆스피어피싱 특징은 '표적성·심각성·정교성'

일반적인 스팸 메일과 구별되는 점은 ▲불특정 다수가 아닌 특정 기관 및 기업을 노리는 표적성 ▲일반적인 광고, 애드웨어보다 훨씬 심각한 정보 유출 등을 노리는 악성코드의 심각성 ▲내용을 의심할 수 없을 정도로 정상 메일과 유사한 정교성 등을 들 수 있다.

안랩 측은 "사실 악성코드를 첨부해 사용자를 속일 법한 내용의 메일을 보내는 것은 아주 고전적인 방법이라 할 수 있다"면서도 "문제는 이런 방법이 아직도 효과가 있다는 것"이라고 말했다. 이는 '최대의 보안 취약점은 바로 사람'이라는 보안 전문가들의 지적과도 일치하는 지점이다.

안랩은 해외 통계로 볼 때 지금까지 밝혀진 APT 같은 표적형 공격의 90% 이상이 스피어피싱으로 유발됐거나 공격에 사용됐다고 설명했다. 또한 첨부파일은 최근 사람들의 의심을 피하고 오픈율을 높이기 위해 .exe, .dll 등의 실행파일에서 doc, pdf, hwp, xls 등의 문서파일과 .zip 등의 압축 파일과 같은 비실행형 파일로 변하는 추세라는 게 안랩의 설명이다.

특정 인물을 표적으로 삼을 때는 SNS나 가입 동호회 등 개인에 대한 장기간 조사로 자료를 수집한 후에 관련자를 사칭하거나 상대의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법의 스피어 피싱을 시도하기도 한다.

◆왜 위험한가

스피어 피싱이 특히 위험한 이유는 APT 공격의 시작점이자 내부 시스템 파악의 첫 발판이 되기 때문이다. APT 공격의 가장 큰 특징은 특정 기관과 기업을 노려서 매우 지능적·조직적으로 성공할 때까지 노린다는 점이다.

스피어 피싱은 자신이 속해 있는 조직에 대한 큰 피해로 이어질 수 있다. 최초에 악성코드가 한번 시스템에 침투하기만 하면 이후 들키지 않고 내부망을 돌아다니며 취약점을 찾아낸다. 이를 기반으로 시스템 장악 후 기밀정보를 유출하거나 피해를 입히는 것은 어려운 일이 아니라는 게 보안 전문가들의 지적이다.

실제로 2012년 중동 지역의 국가 기관을 대상으로 활동하다 발견된 '플레임' 악성코드는 2년 여간이나 중동지역 기관 및 기업에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취했다.

스피어피싱 피해로 의심되는 사례도 속속 나오고 있다. 뉴욕타임스가 대표적이다. 약 4개월 간 지속된 뉴욕타임즈(NYT) 공격에서 공격자는 NYT의 상하이 지부 책임자와 남아시아 책임자(전 베이징 지부 책임자)의 메일을 해킹했다.

또한 NYT 시스템에도 넉 달 동안 악성코드를 설치하고 이를 통해 시스템에 침입했다. 해외 매체에서는 이 공격의 시작이 바로 내부 혹은 외부 기관·기업으로 위장한 스피어 피싱일 것으로 추측한다. 특히 공격의 배후를 조사한 맨디언트(Mandiant)도 공격자로 추정되는 조직이 가장 많이 사용하는 기법이 스피어 피싱이라고 밝혀 이런 주장을 뒷받침하고 있다.

2011년에 있었던 글로벌 보안업체의 정보유출 사건도 첫 시작은 스피어 피싱 메일이었다. 해당 업체는 자사가 운영하는 블로그에서 공격의 첫 시작이 '2011 인원 채용 계획'이라는 제목의 스피어 피싱메일이라고 밝힌 바 있다.

◆어떻게 예방해야 하나

안랩은 APT 공격의 다양한 시작점 중 가장 많이 이용된다는 스피어 피싱으로부터 개인과 조직을 보호하기 위한 공동의 노력이 필요하다고 강조한다.

조직의 경우 스피어 피싱의 심각성에 대해 충분히 인지하고 전체적인 관점에서 이 스피어 피싱이 APT공격과 어떻게 연관될 수 있는지 맥락을 파악하는 것이 중요하다.

특히 스피어 피싱에 사용되는 악성코드는 맞춤형 소량 제작 악성코드이기 때문에 알려진 악성코드에 대응하는 백신은 물론, 다계층적인 보안 솔루션을 조직의 특성에 맞게 설계하는 것이 필요하다. 솔루션 도입에 그치는 것이 아니라 정기적인 직원 보안교육, 내부 보안 인재 육성 등의 노력도 동시에 진행돼야 한다는 것이다.

개인의 경우는 조금이라도 수상한 메일의 첨부파일이나 URL을 실행하지 않는 것이 스피어 피싱을 막기 위한 가장 확실한 방법이다. 이와 함께 사용하고 있는 소프트웨어(SW) 프로그램 제공사에서 보안 패치를 발표하면 이를 꼭 업데이트 해야 한다.

안랩은 "스피어 피싱은 정보유출부터 시스템 파괴까지 개인의 피해 뿐 아니라 조직에 대한 대규모 공격의 최초 시작점이 될 수도 있다"며 "조직과 개인의 노력이 합쳐질 때만이 스피어 피싱의 위협에서 벗어날 수 있다"고 전했다.

김국배기자 [email protected]




주요뉴스



alert

댓글 쓰기 제목 표적형 악성메일 '스피어피싱'에서 APT 시작

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스