세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
한 메일로 두 가지 내용을! 새로운 피싱 공격법, 제로폰트
  |  입력 : 2018-06-20 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
텍스트 일부의 크기를 0으로 해서 사람의 눈으로는 보이지 않게
특정 단어 걸러내는 피싱 방어 장치를 우회하는 데에 유용해


[보안뉴스 문가용 기자] 사이버 범죄자들이 새로운 피싱 기법을 들고 나타났다. 폰트 크기를 조작함으로써 피싱 이메일 공격의 성공률을 높이려는 것으로, 특히 마이크로소프트의 오피스 365에 도입된 보호 장치들을 우회하는 데 도움이 된다고 한다.

[이미지 = iclickart]


이를 발견한 건 클라우드 보안 업체인 아바난(Avanan)으로, 자사 블로그를 통해 오피스 365에 탑재되어 있는 피싱 보호 장치를 우회하기 위한 해커들의 최신 수법을 공개했다. “오피스 365의 피싱 보호 장치는 사기성 메일이나 악성 메일에 자주 사용되는 텍스트를 적발해내는 자연어 처리 기능이 있습니다. 이를 간파한 방법이라고 볼 수 있습니다.”

아바난의 설명은 계속된다. “예를 들어 ‘애플’이나 ‘마이크로소프트’가 메일 내용 중에 있으나 정상 도메인에서 발송되지 않은 경우, 오피스 365의 보안 시스템이 경고를 띄웁니다. 사용자 계정을 언급하거나 비밀번호를 재설정하라는 내용도 경고 대상이고, 금전적인 요구가 있는 부분 역시 경고를 발동시킵니다.”

그런데 최근 아바난이 발견한 이메일에서 흥미로운 특징이 발견됐다. 메일 내용 중 일부의 폰트 크기를 0으로 맞춘 것이다. “span style="FONT-SIZE: 0px” 태그가 일부에 적용되었던 것이다. 그래서 아바난은 이 공격 기법을 제로폰트(ZeroFont)라고 부르기 시작했다.

이렇게 조작되었을 때 사용자의 눈으로 보기에 이메일은 정상적으로 보인다. 사용자 보기에는 다음과 같다.

[이미지 = 아바난 블로그]


그러나 마이크로소프트의 보안 장치에는 폰트 크기와 상관없이 모든 내용이 접수된다. 공격자가 폰트 크기를 0픽셀로 맞추더라도 말이다. 즉, 기계의 눈으로는 위의 메일이 다음과 같이 보인다.

[이미지 = 아바난 블로그]


이렇게 했을 때의 이점은 무엇일까? “한 메일로 기계와 사람에게 전혀 다른 메일을 보낼 수 있다는 것입니다. 사람의 눈도 속이지만, 필터링 장치가 걸러내는 단어도 없애줍니다. 사람이 보기엔 ‘마이크로소프트’라는 단어가 있지만, 그 철자 안에 다른 글자들을 0 크기로 집어 넣음으로써 기계에게는 없는 글자가 되는 겁니다.” 아바난의 설명이다.

그렇게 함으로써 보안 장치들이 걸러내는 특정 단어들을 교묘히 숨길 수 있게 된다. 뿐만 아니라 아바논은 지난 달 악성 ULR을 반으로 쪼개는 공격자들의 새로운 기법에 대해서도 공개한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)