악성 큐알코드 활용한 피싱 공격이 처음으로 등장하긴 했는데

이메일 보안 솔루션이 발전하니 악성 링크와 악성 첨부파일이 피해자들에게 도달하기가 힘들어지고 있다. 그래서 공격자들은 큐알코드라는 새로운 장치를 찾아냈다. 하지만 아직은 과도기로 보인다.

[보안뉴스 문가용 기자] 보안 장치들을 뚫고 피싱 메일들을 몰래 피해자들의 메일함에 몰래 침투시키려는 공격자들이 새로운 기법을 사용하기 시작한 것일까. 보안 업체 앱노멀 시큐리티(Abnormal Security)에 의하면 9월 15일과 10월 13일 사이 이상한 큐알코드가 삽입된 메일을 200통 이상 발견해 차단했다고 한다. 악성 첨부파일이나 악성 링크가 아니라 악성 큐알코드가 다수 발견된 건 처음 있는 일이라고 한다.

[이미지 = utoimage]

피싱 메일의 내용은 음성 사서함에 저장된 메시지가 있으니 확인하고 싶으면 큐알코드를 스캔하라는 것이다. 많은 기업들에서 사용하는 이메일 보안 솔루션들은 악성 첨부파일과 링크만을 탐지하기 때문에 악성 큐알코드는 탐지가 안 되는 경우가 많다. 공격자들이 이 허점을 파고든 것으로 보인다.

앱노멀 시큐리티 측이 탐지한 악성 큐알코드들은 전부 피싱 메일이 전송된 그날 만들어졌다고 한다. 때문에 해당 큐알코드들이 사전에 알려지고 보안 솔루션들에 등록됐을 가능성은 매우 낮아 보인다. “큐알코드를 피싱 메일에 사용하는 사례는 매우 드뭅니다. 큐알코드처럼 생긴 이미지들을 사용한 공격 사례는 있지만요. 큐알코드처럼 생기기만 했지 사실은 하이퍼링크가 걸린 이미지였습니다. 특정 장소에 부착된 큐알코드를 물리적으로 바꿔치기한 사례도 있긴 합니다. 이메일에 악성 큐알코드가 첨부된 건 처음 보는 일입니다.” 앱노멀 측의 설명이다.

피싱 메일에 큐알코드가 악의적으로 활용되는 사례는 드물지 모르지만 큐알코드를 활용한 사기 사건 자체가 드문 건 아니다. 지난 7월 국제 평가 기관인 ‘베터 비즈니스 뷰로(Better Business Bureau, BBB)’는 큐알코드와 관련된 사기 사건 제보와 접수가 점점 늘어나고 있다고 경고한 바 있다. 사기꾼들 혹은 공격자들은 큐알코드가 악성이든 원본이든 사람의 눈으로 보기에는 구분이 가지 않는다는 걸 교묘하게 활용하는 중이라고 BBB는 밝혔었다.

BBB가 말하는 악성 큐알코드는 주로 소셜미디어의 DM, 문자 메시지, 물리적인 우편물, 광고 전단지 등으로 살포되는 것들이다. 물리 공간과 사이버 공간을 넘나드는 것이다. 주로 크리덴셜 탈취를 목적으로 이런 공격이 이뤄지고 있다. 하지만 악성 소셜미디어의 팔로우 수 증가와 지불 앱 실행을 목적인 경우도 존재한다. “또한 암호화폐 관련 사기 공격에도 큐알코드가 사용됩니다.”

보안 업체 모바일아이언(MobileIron)이 지난 해 4400명의 사용자들을 대상으로 조사했을 때 84%의 사람들이 큐알코드라는 걸 사용해본 적이 있다고 답했다. 또한 이중 25%가 큐알코드를 스캔했을 때 이상하게 작동하는 걸 경험했다고 답했다. 이상하게 작동한다는 것에는 악성 웹사이트로의 유인도 포함되어 있었다. 악성 큐알코드를 식별할 수 있을 것이라고 답한 사람은 전체의 37%, 악성 URL이나 기타 피싱 공격 시도를 판별할 수 있을 것이라고 답한 사람은 70%였다.

이번에 앱노멀 측이 발견한 피싱 캠페인의 경우 공격자들의 목적은 아웃룩 계정 크리덴셜을 탈취하는 것이었다. 큐알코드를 피해자가 스캔할 경우 구글과 아마존 도메인과 연결된 정상적인 사이트로 연결되는데, 이는 당연히 피싱 페이지다. MS의 크리덴셜을 입력하도록 만들어져 있다. 메일 패턴을 분석했을 때 특정 조직이나 단체를 노린 것으로 보이지는 않는다고 한다.
앱노멀은 “큐알코드를 사용해 이메일 보안 솔루션을 회피하는 게 가능했다고는 하지만 이것이 과연 효과적인 공격 방법인지에 대해서는 의심이 든다”고 말한다. 왜냐하면 악성 첨부파일이나 링크는 클릭으로 ‘상호작용’이 가능하지만 큐알코드의 경우 별도의 장비(예 : 스마트폰)가 필요하기 때문이다. “만약 이메일을 모바일에서 열면 또 다른 장비로 큐알코드를 스캔해야 하니 더 불편해지죠.”

앱노멀은 “이번 캠페인의 공격 성공률은 극도로 낮을 것으로 보인다”고 추측한다. “피싱 공격의 핵심은 ‘공격자가 걸려들기 쉽다’는 것인데 이 공격은 피해자 입장에서 걸려들기에 너무 귀찮습니다. 솔루션 우회에만 집중한 나머지 공격의 본질을 놓친 것 아닐까 합니다. 다만 공격자들이 끊임없이 변화를 시도한다는 점에는 경각심을 다져야 하겠습니다.”

3줄 요약
1. 큐알코드를 이용한 새로운 피싱 공격이 등장.
2. 악성 링크와 악성 첨부파일 대신 악성 큐알코드를 사용한 게 핵심.
3. 덕분에 보안 솔루션은 잘 피해갔는데, 사용자들을 너무 귀찮게 함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)