오피스 365 통한 비밀번호 탈취 공격, 대량 발생

세금 시즌에 맞춘 공격...스피어피싱과 표적 공격 증가
국세청에서 온 것 같은 ‘긴급’ 메일에 패닉 일으켜서는 안 돼

[보안뉴스 문가용 기자] 사용자들의 비밀번호를 훔쳐내기 위한 대규모 피싱 공격이 탐지되었다. 보안 업체 바라쿠다 네트웍스(Barracuda Networks)가 발견한 것으로, 세금 관련 양식으로 위장한 마이크로소프트 오피스 365 문서를 통해 공격이 실시되고 있다고 한다. 공격자들은 ‘시급하다’는 말투로 피해자들의 생각을 마비시킨다고 한다.

[이미지 = iclickart]

바라쿠다 측이 발견한 샘플 문서의 이름은 taxletter.doc으로, 이메일에는 “세금이 2300 달러(캐나다 달러) 체불되고 있음을 알려드립니다”와 같은 문구가 삽입되어 있다. doc 파일뿐만 아니라 엑셀 파일도 돌아다니고 있는 것으로 알려져 있다.

바라쿠다의 부회장인 플레밍 쉬(Fleming Shi)는 “오늘날 만들어지는 문서들은 이전 문서들보다 훨씬 기능이 많이 들어있다”고 말한다. “훨씬 많은 기능에, 다양한 콘텐츠를 집어넣죠. 여기엔 각종 미디어와 링크가 포함됩니다. 그리고 이걸 공격자들이 활용해 자신들의 무기로 만듭니다.”

이번 공격의 경우 문건에 포함된 건 비밀번호를 훔치는 멀웨어였다. “사용자가 문서를 열면, 삽입되어 있던 매크로가 파워셸을 실행하고, 피해자 몰래 배경에서 악성 행위를 실시합니다.” 쉬에 의하면 이미 수천만 명에 달하는 사람들이 이 공격을 받았다고 한다. “공격들마다 다 다른 이메일을 사용하기 때문에 탐지가 쉽지도 않습니다. 내용과 보내는 이를 서로 다르게 매칭시켜가면서 보내기 때문에 시그니처 기반의 탐지 기술로는 잡히지가 않죠.”

쉬는 또한 “비밀번호를 훔치는 공격이 늘어나고 있다”고 경고한다. “이는 공격자들의 목표와 전략이 바뀌고 있다는 뜻입니다. 예를 들어 지난 2년 동안 랜섬웨어가 큰 유행을 했었던 것을 생각해보면 공격자들 사이에도 트렌드의 변화가 있음을 이해할 수 있습니다. 작년 말부터는 비밀번호 훔쳐내는 멀웨어가 브라우저 확장 프로그램 등에서도 곧잘 발견되고 있습니다. 로그인 관련 데이터를 훔쳐내는 것이 최근 공격자들의 목표가 되고 있다는 것이죠.”

그러한 트렌드가 자리를 잡게 된 이유는 정교한 스피어피싱 공격과 표적형 공격이 선호되고 있기 때문이라고 쉬는 분석한다. “사용자 이름과 비밀번호를 통해 다양한 시스템과 애플리케이션에 접근하면서 더 다양한 공격을 할 수 있습니다. 예를 들어 소셜미디어에 로그인할 수 있게 되면 다양한 연락처 정보를 얻어낼 수 있게 되고, 이를 통해 더 많은 공격이 가능하게 되는 겁니다.”

또한 바라쿠다 네트웍스는 “이번에 발견된 공격은 피해자가 뭔가 잘못된다는 걸 감지하기도 힘들다”고 설명한다. “시스템이 약간 느려진다거나, 평소보다 팝업창이 더 많이 뜨는 정도인데, 이 정도 가지고는 공격당했다는 인지가 없는 일반 사용자가 ‘해킹 공격 당했다’고 결론을 내리기 힘듭니다.” 즉, 평소보다 시스템이 느리고 팝업이 더 많이 뜬다고 느낀다면 공격을 의심하라는 이야기다.

이에 미국 국세청도 최근 세금과 관련된 피싱 공격 및 사기 수법이 늘어나고 있다고 경고하기도 했다. 국세청의 온라인 사기 전담 센터는 “2017년 1월부터 국세청을 빙자한 사기 이메일 공격이 증가하기 시작했다”고 하며, “대량의 데이터를 훔쳐내기 위한 사이버 공격자들의 움직임을 조심하라”고 발표했다.

물론 미국의 세금 기간 동안 발생한 피싱 공격이긴 하지만, 한국의 사용자들도 알아둘 필요가 있다. 왜냐하면 한국에도 세금을 신고해야 하는 기간에는 다양한 사기 시도가 발생하며 온라인 공격자들 사이의 트렌드는 전 세계적으로 공유되는 경향이 있기 때문이다. “국세청에서 온 것 같은 메일이라고 해서 패닉부터 일으키면 안 된다”고 쉬는 권고한다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)