세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 블랙프라이데이를 검게 만든 피싱 공격 6
  |  입력 : 2017-11-25 13:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블랙프라이데이, 기기들 싸게 살 수 있는 기회?...피싱꾼들에게도 기회
각종 할인 행사 소식이 사용자 눈 가려...정교하지 않은 공격에도 당하기 일쑤


[보안뉴스 문가용 기자] 블랙프라이데이가 시작됐다. 미국 전국소매협회(National Retail Federation)에 따르면 올해에는 약 1억 1천 5백만 명이 오프라인 매장을 찾을 것으로 예상되며, 늘 그렇듯 판매자와 구매자들에게 가장 바쁜 연휴 시즌이 될 전망이다. 아, 한 부류가 빠졌다. 바로 피셔 혹은 해킹 공격자들이다. 이들 역시 블랙프라이데이에 즐거운 비명을 지른다.

[이미지 = iclickart]


작년의 블랙프라이데이를 떠올리지 않을 수 없다. 보안 업체 카스퍼스키에 의하면 블랙프라이데이 주말 동안에만 무려 77만 건의 피싱 공격이 발생했었다. 또 다른 보안 업체 리스크IQ는 블랙프라이데이를 검색하는 사용자들을 유혹하고 멀웨어에 감염시키는 URL을 19219개나 발견하기도 했다. 정말 ‘검은’ 금요일이 아닐 수 없다.

블랙프라이데이 피싱 사기의 원리는 그리 대단치 않다. 최첨단 전자 기기를 판매하는 웹사이트를 가짜로 꾸미고, 혹하지 않을 수 없지만 그렇다고 터무니없지 않은 가격을 제시한다. 아니면 이러한 판매 정보를 이메일로 보내기도 한다. 세일 기간이니까 별 의심 없이 이 미끼를 덥석 무는 사용자들은 로그인을 하거나 신용카드 정보를 입력하고, 이는 고스란히 공격자의 손 안에 들어간다.

“사이버 공격자들에게 있어 블랙프라이데이는 공격을 숨기는 데 최적화된 날입니다. 소비자들이 비싼 물건을 싼 값에 살 준비가 되어 있는 상태라는 건 1) 지갑을 기꺼이 열 준비가 되어 있고, 2) 따라서 속을 준비가 되어 있다는 뜻이기 때문이죠. 피싱 공격자들은 이러한 심리를 살짝 건드려만 주면 됩니다.” 카스퍼스키의 카데즈다 데미도바(Nadezhda Demidova)의 설명이다.

그래서 본지는 경고와 권고의 차원에서 실제 작년 블랙프라이데이에 있었던 피싱 공격의 사례를 여섯 가지 꼽아보았다. 또한 이러한 공격들을 어떤 식으로 방어하는지도 사례마다 첨부했다.

1. 레이밴 80% 할인
미끼 : 고가의 선글라스를 판매하는 레이밴이 블랙프라이데이를 맞아 80% 할인 행사를 진행한다는 내용의 피싱 공격이 있었다.

공격자가 발휘한 기술 : 공격자들은 검색엔진 최적화(SEO) 포이즈닝 기술을 활용해 가짜 레이밴 웹 페이지인 www.rayban-outlet.us를 구글 검색 결과 페이지 최상위에 올려두었다. 그래서 블랙프라이데이 당일 레이밴을 검색하면 이 가짜 사이트를 클릭하게 될 확률이 높았다. 실제 사용자가 이 링크를 클릭하면 www.rb6.us라는 사이트로 접속이 됐다. 공격자들은 가짜처럼 보이지 않게 하기 위해 사이트 리뷰까지 작성했고, 별점도 매겼다. 사용자들은 의심 없이 해당 사이트에서 회원가입을 하는 등 로그인 정보를 넘겼다.

공격자들의 목적 : 이 가짜 레이밴 사이트 운영자들의 목적은 개인식별정보였다. 성, 이름, 주소, 전화번호, 이메일 주소, 신용카드 정보, 페이스북 크리덴셜을 집중적으로 노린 것으로 파악됐다. 가짜 사이트에는 페이스북 로그인 정보로 웹사이트에 로그인하게 해주는 옵션도 있었다.

어떻게 피해야 할까 : 먼저 URL을 주의 깊게 들여다볼 필요가 있다. 레이밴 피싱 사건의 경우 URL 주소와 공식 레이밴 주소는 확연히 달랐다. 평소 레이밴 공식 주소를 모르더라도 이 주소는 수상한 느낌을 분명히 준다. 보안 업체 지스케일러(Zscaler)의 디픈 데사이(Deepen Desai)는 “아마 공식 사이트가 아님을 알고도 더 싼 가격에 혹한 사용자들이 많이 접속했을 것”이라며 “공식 매장만이 가장 안전하다”고 강조한다.

2. 노이버거 베르만 기프트카드 특가
미끼 : 등록 양식만 작성하면 노이버거 베르만에서 무료 기프트 카드 다종을 제공한다는 내용이 사용자들 사이에서 빠르게 퍼졌다. 물론 피싱 공격이었다.

공격자가 발휘한 기술 : 가짜 노이버거 베르만 금융 서비스 웹사이트를 먼저 만들었다. 그리고 이 웹사이트를 통해 무료 기프트 카드 행사를 진행했다. 여기에 응한 사용자들은 등록 양식 문서를 먼저 다운로드 받아 작성해야 했다. 당연히 이 문서는 악성 파일이었다. VB스크립트를 활용한 HTML 애플리케이션이었고, 정보를 훔쳐내는 멀웨어를 다운로드 받아 실행하는 기능을 가지고 있었다.

공격자들의 목적 : 사용자의 이름, 비밀번호, 온라인 크리덴셜을 훔쳐내는 것이 목적이었다.

어떻게 피해야 할까 : 문서를 열었는데, 문서 안에 버튼이 있고, 그 버튼을 클릭해야만 문서의 나머지 내용을 볼 수 있도록 설정되어 있다면 100% 악성 파일이다. 정상 파일이라면 콘텐츠를 숨겨놓는다거나 사용자가 뭔가 행동을 취하도록 하지 않는다.

3. 무료 애플 아이폰 6
미끼 : 이 사건은 2015년에 발생한 것으로, 무료로 아이폰 6 기기를 준다는 내용이 수많은 고객들의 호기심을 이끌어냈다.

공격자가 발휘한 기술 : 가짜 애플 이메일을 사용자들에게 발송했다. 행사를 진행하고 있으며, 승자는 아이폰 6를 공짜로 받게 된다는 내용이었다. 이 행사에 참가하려면 여러 가지 정보를 입력해야 했다. 아이폰은 수많은 사람들의 관심사이기 때문에 이와 흡사한 피싱 공격은 올해 블랙프라이데이에도 있을 것으로 예상된다. 게다가 얼마 전 애플은 아이폰X를 발표한 바 있다.

공격자들의 목적 : 공격자들은 이 피싱 공격으로 모은 개인식별정보를 암시장에서 판매한 것으로 보인다. 지스케일러의 덴사이는 “심지어 해외에서도 구매를 요청한 사용자가 있었다”며 “그런 사람들 중 일부는 추후 각종 금융 사기에 자신의 아이디와 비밀번호가 사용되는 일을 겪기도 했다”고 덧붙였다.

어떻게 피해야 할까 : 사용자들은 블랙프라이데이 기간 동안 블랙프라이데이 관련 이메일의 출처를 꼼꼼하게 검토해야 한다. .blackfriday나 .blackfridaysale과 같은 도메인이 불법인 것은 아니지만 의심해야 하는 주소 유형이라고 덴사이는 권고한다. “apple.com은 이미 사용 불가한 주소니 안심할 수 있죠. 그러니 apple.blackfriday와 같은 주소를 선택하는 해커들이 많거든요. 물론 합법적인 주소지만, 솔직히 일반인이 apple.blackfriday와 같은 주소를 만들 일이 얼마나 되겠습니까?” 또한 사이트가 누구 이름으로 등록되었는지 알아보는 것도 좋은 방법이다. 애플이 공식적으로 허가한 영업 파트너인지 확인할 수 있으니까 말이다.

4. 아메리카나스 60% 랩톱 세일
미끼 : 브라질 기업인 아메리카나스에서 신제품 랩톱의 60% 할인 행사를 진행한다는 내용이었다.

공격자가 발휘한 기술 : 공격자들은 인기가 높은 가전제품을 좋은 가격에 제시하면서 사용자들을 유혹했다. 하지만 실제로 주문을 하려면 여러 가지 정보를 입력해야만 했다. 여기에는 생년월일과 신용카드 정보가 포함되어 있었다. 선택사항은 하나도 없었고 전부 ‘필수’였다. 신용카드 번호가 잘못 입력되면 다시 입력하라는 오류 메시지가 뜰 정도로 공격자들은 철저했다. 고객들은 가짜 영수증과 주문확인서도 받았다.

공격자들의 목적 : 이 공격에서 범죄자들이 원하던 건 명백했다. 바로 사용자의 돈과 신용카드 정보를 모으고 싶었던 것이다.

어떻게 피해야 할까 : 사용자들은 카드 정보나 로그인 정보를 입력하기 전에 웹사이트가 HTTPS 등의 암호화 기술로 보호를 받고 있는지 확인해야 한다. 암호화가 정상 사이트와 비정상 사이트를 구분해주진 않지만, 통계상 불법 사이트에서 HTTPS가 사용되는 경우는 극히 드물다.

5. 무료 아마존 기프트 카드
미끼 : 무료 아마존 기프트 카드를 새로 가입한 사용자들에게 준다는 내용의 행사가 블랙프라이데이 주말 동안 진행됐다.

공격자가 발휘한 기술 : 공격자들은 가짜 아마존 웹사이트를 만들었다. 그리고 가짜 기프트 카드 행사를 진행해 사용자들이 계정을 만들거나 로그인 하도록 유도했다. 보안 업체 바라쿠다(Barracuda)의 부회장인 플레밍 쉬(Fleming Shi)는 “개인식별정보를 의심 없이 입력하도록 만들기 위해 무료 기프트 카드를 자정까지 사용해야 한다고 압박감을 넣기도 했다”고 “이 역시 블랙프라이데이 시즌만의 독특한 심리상태를 노린 것”이라고 설명한다.

공격자들의 목적 : 1차적으론 사용자들의 아마존 로그인 정보였다. 그런 후 실제 아마존 계정으로 가 로그인 한 후 추가 범죄를 저지르거나 더 많은 정보를 캐갔다. 정보를 다크웹에 판매하려는 목적을 가지고 범죄가 감행된 것으로 보인다. 아마존 외 유명 브랜드 및 매장들도 유사한 공격에 활용됐다.

어떻게 피해야 할까 : 진짜 아마존 웹사이트에는 주소 창 맨 앞에 자물쇠 아이콘이나 창 맨 위 오른쪽 코너에 금색 방패 모양 인증서 표시가 존재한다. 어지간히 유명한 쇼핑 사이트들도 전부 마찬가지다. 이걸 확인하고 거래를 진행하는 편이 안전하다.

6. 마이클 코어스(Michael Kors)의 80% 할인
미끼 : 마이클 코어스 핸드백이 블랙프라이데이를 맞아 무려 80%나 가격을 할인하면서 수많은 구매자들을 유혹했다. 물론 가짜 소식이었다.

공격자가 발휘한 기술 : 사용자들에게는 가짜 이메일이 발송됐다. 마이클 코어스에서 진행한다는 행사에 관한 내용으로, 평소라면 상상할 수 없는 가격에 물건들이 팔린다고 소개됐다. 사용자들 중 이 메일을 클릭한 이들은 가짜 마이클 코어스 웹사이트로 안내됐으며, 거기서 쇼핑을 계속할 수 있었다. 물론 전부 사기였지만.

공격자들의 목적 : 여기에 걸려든 사용자가 여태까지 파악된 것만 10만 명이었다. 여기에 영감을 받은 공격자들은(혹은 같은 공격자들일 수도 있다) 어그(Ugg)와 판도라(Pandora) 브랜드를 활용해 비슷한 짓을 한 번 더했다. 이 공격에도 2천명 이상이 피해를 봤다.

어떻게 피해야 할까 : 사실 조금만 피싱 공격에 대한 지식이 있어도 충분히 막을 수 있는 공격이었다고 플레밍 쉬는 설명한다. “공격에 사용된 이메일이나 가짜 웹사이트 전부 조잡했어요. 로고도 달랐고요. 솔직히 10만 명이 걸려들었다는 게 안 믿겨집니다.” 하지만 요즘 소비자들 중 상당수가 아마존과 같은 제3자 유통 업자를 거쳐 물건을 구매한다는 걸 고려하면, 마이클 코어스 제품을 좋아한다면서도 공식 웹사이트에 접속도 안 해본 사람들이 많을 수 있다고 그는 덧붙였다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)