Home > 전체기사
넷플릭스 고객들 노린 피싱 공격, 자연어 처리 기술로 잡아내
  |  입력 : 2020-07-29 16:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
두 개의 정상 웹사이트 침해해 캡챠와 가짜 넷플릭스 웹사이트를 호스팅
결제 및 로그인 실패 메일 보내 가짜 사이트에 접속하도록 유도해
안내 메일에는 없는 ‘긴박감 조성’ 시도를 자연어 처리 기술이 간파


[보안뉴스 문가용 기자] 보안 전문가들이 넷플릭스 고객들을 겨냥한 피싱 캠페인을 발견해 무력화시켰다. 공격자들은 두 개의 정상 도메인을 장악한 후 넷플릭스 사이트와 똑같이 보이도록 꾸몄다. 그리고 ‘결제 실패’ 안내 메일을 넷플릭스 사용자들에게 보내 이 가짜 사이트들에 접속하도록 유도했다. 여기서 로그인을 실시한 사용자들은 크리덴셜을 도난당했다고 한다.

[이미지 = utoimage]


이 공격을 발견한 건 보안 업체 아모블록스(Armorblox)의 창립자인 체탄 아난드(Chetan Anand)다. 코로나 사태로 인해 일반 사용자들이 집에 머무르는 시간이 길어지고 있다는 것을 노린 공격이라고 아난드는 분석하고 있다.

“공격자들이 보낸 가짜 계산서 이메일을 클릭하면 캡챠 페이지가 뜹니다. 여기에는 정교하게 꾸며진 넷플릭스 브랜드 로고가 같이 나옵니다. 사용자가 캡챠 퍼즐을 완성하면, 넷플릭스 웹사이트와 똑같이 생긴 사이트에 접속됩니다. 이 가짜 사이트는 피해자들에게 ‘로그인’을 요구합니다. 그러면서 청구서 발송지 주소와 신용카드 정보도 같이 요구합니다.”

아난드는 이번 넷플릭스 피싱 사건을 블로그에 올리며 “공격자들이 두 개의 정상 도메인을 장악해 가짜 사이트를 만들었다는 점에서 독특한 사건”이라고 설명했다. 공격자들은 wyominghealthfairs.com이라는 사이트에 가짜 캡챠 페이지를 호스팅했고, axxisgeo.com이라는 도메인에 가짜 넷플릭스 사이트를 만들었다.

“캡챠 페이지를 통과하기 때문에 피싱 페이지로 안내되는 과정이 진짜같이 보입니다. 게다가 정상적인 부모 도메인이 사용되기 때문에 보안 솔루션들이 이상하다고 경보를 내지도 않습니다.” 아난드는 공격자들이 취약점 익스플로잇을 통해 웹 서버를 공격했을 가능성을 높게 보고 있다. 그는 콘텐츠 관리 시스템을 공략했을 수도 있다고 덧붙였다.

이 공격의 또 다른 특징은 마구잡이 살포 방식으로 공격이 진행되지 않았다는 것이다. “정교하게 만들어진 공격이고, 피싱 메일도 소규모 사용자들에게만 전송됐습니다. 보다 큰 규모의 공격을 진행하기 위해 실험을 진행한 것으로도 보입니다. 메일 제목은 ‘인증 실패 알림’이며 ‘인증 정보를 24시간에 업데이트하지 않으면 서비스가 종료된다’는 내용을 담고 있습니다.”

아모블록스는 자사 고객들의 이메일에서 이러한 피싱 메일을 다수 발견했다고 한다. 탐지에 활용된 건 ‘자연어 처리 인공지능 알고리즘’이라고 한다. 아모블록스의 인공지능 솔루션은 이메일의 말투와 분위기, 뉘앙스를 분석하는데, “피싱 이메일에서 긴박감을 조성하려는 흔적을 발견했다”고 한다.

‘긴박감(공포감) 조성’ 시도는 보통의 안내 이메일에서 잘 나타나지 않는 것으로, 피싱 메일과 정상 메일을 구분 짓는 잣대 중 하나다. 메일을 주고받은 내역을 살폈을 때 ‘긴박감을 조성하려는 메일’을 전송한 자와 사용자가 자주 연락을 취한 것이라는 사실도 드러났다. 이런 여러 가지 의심스러운 시도와 정황들을 모아 아모블록스는 해당 메일들을 위험 메일로 분류하기 시작했다.

ESG(Enterprise Strategy Group)의 수석 산업 분석가인 데이브 그루버(Dave Gruber)는 이메일 보안 솔루션들에 자연어 처리 기술이 도입되는 사례가 늘어나기 시작했다며, 기술적으로 혹은 기계적으로만 분간할 수 없던 것들을 꽤나 효과적으로 찾아낸다고 설명한다. “뉘앙스나 말투를 통한 분위기는 기계가 잘 잡아낼 수 없는 것이거든요. 이 부분을 자연어 처리 기술이 보충해주는 것이죠.”

그루버는 “공격자들의 피싱 이메일이 점점 정교해지는 상황에서 앞으로 이런 기술이 기본적으로 도입되어야 할 것”이라고 설명한다. “자연어 처리 기술이 전체적 맥락을 이해하고, 그에 따라 뉘앙스와 톤을 파악한다는 건 피싱 방어에 큰 힘이 될 것입니다. 다만 자연어 처리 기술만의 약점이 분명히 있을 것이고, 그런 점을 노리는 공격자들의 진화 또한 당연히 발생할 겁니다.”

3줄 요약
1. 어떤 공격자들, 집에 있는 사람들이 넷플릭시 많이 본다는 것을 노리고 피싱 공격.
2. 두 개의 사이트 침해해 하나에는 캡챠 페이지를, 다른 하나에는 가짜 넷플릭스 웹사이트를 호스팅.
3. 자연어 처리 기술로 잡아낸 피싱 공격이라는 점에서도 특징적.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)