영국 로열 베이비, 악성 이메일 공격에 사용

웹센스 ThreatSeeker, 60,000개 이상의 이메일 유인 발견!

[보안뉴스 김태형] 영국의 로열 베이비 기사를 악용한 APT공격이 발견되어 주의가 필요하다.

지능형 사이버 공격(APT) 및 데이터 유출의 글로벌 전문 기업인 웹센스(Websense)는 영국 로열 베이비 기사를 이용한 지능형 타깃 공격을 발견했다고 밝혔다.

최근 영국 왕실 서열 3위의 로열 베이비가 탄생했다. 영국 국민들이 기뻐하는 동안 사이버 범죄자들은 뉴스에 편승하여 다양한 악의적인 캠페인을 제공했고 로열 베이비 관련 기사는 APT 공격의 유인에 사용되었다.

웹센스에 의하면 해당 지능형 공격은 데이터 유출을 목표로 총 7단계에 걸쳐 발생했다. 해커 공격의 1단계인 정찰(Reconnaissance) 단계에서 공격자는 사람들의 관심을 끄는 새로운 이야기를 활용해 악의적인 캠페인을 제공하기 위한 방법을 찾는다.

제 2단계인 유인(Lures) 단계에서 이메일을 보내며 악성코드가 숨어있는 파일을 첨부한다. 웹센스 ThreatSeeker는 한 시간 동안에 동일 제목으로 된 60,000개 이상의 ‘로열 베이비 라이브 업데이트’ 관련 이메일 유인을 발견했다.

모든 링크는 악의적인 웹으로 연결되고 3단계인 리다이렉트(Redirects) 과정에서는 악의적인 사이트가 가짜 어도비 플래시 플레이어 업데이틀 설치하도록 사회적 공학 방법을 이용했다.

제 4단계에서는 취약점 공격 키트가 설치되며 5단계에서는 드로퍼 파일 및 다운로더 파일이 PC안에 추가 악성 페이로드 설치에 사용된다. 컴퓨터에 악의적인 페이로드가 설치되면 6단계인 콜 홈(call home) 통신을 시도하고 캠페인을 가장한 해커의 명령을 수행하기 위해 C&C 인프라에 접속한다.

마지막 7단계는 개인 식별 정보, 회사 기밀 데이터 또는 잠재적인 로열 베이비 이름의 목록 등이 일반적인 공격자의 최종 목표가 된다.

이에 대해 이상혁 웹센스코리아 지사장은 “웹센스는 이러한 7단계 지능형 공격에 각 단계별로 방어할 수 있는 기술을 제공한다”며 “Websense Security Labs(WSL)과 ThreatSeeker는 범죄 커뮤니티에 대한 정찰을 수행하고 웹센스 솔루션은 이메일, 웹/소셜 미디어 유인을 차단한다”고 말했다.

또한 그는 ‘웹센스의 웹 보안 솔루션은 Websense ACE를 사용해 악의적인 웹 리다이렉트를 차단하고 알려지지 않은 취약점 공격 및 드로퍼 파일을 식별하고 차단한다. 또한 C&C 의 알려진 사이트와 알려지지 않은 프로토콜을 인식하며 사이버 범죄자들의 최종 목표인 데이터를 완벽하게 보호할 수 있도록 웹, 이메일, 및 다양한 네트워크 채널뿐만 아니라 엔드포인트까지 통합 솔루션을 제공한다”고 전했다.

[김태형 기자(boan@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다