하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

부동산 업계 노린 대규모 피싱 공격, 수천 개 MS 365 크리덴셜 가로채
등록일 :
2022.09.19
수천 개에 달하는 MS 365의 크리덴셜이 도난당했다. 대부분 부동산 업계 종사자들로부터 나간 것이었다. 부동산 거래와 관련된 사기를 칠 준비가 어디선가 시작되고 있다는 뜻일 수 있어 주의가 요구된다.

[보안뉴스 문가용 기자] 일부 피싱 서버에서 수천 개의 MS 365 크리덴셜 수천 개가 평문으로 저장되어 있는 것이 발견됐다. 주로 부동산 분야의 전문가들을 노리고 실시된 공격의 결과로 보인다. 보안 업체 아이언스케일즈(Ironscales)에서 제일 먼저 발견했는데, 미국에서 유명한 금융 서비스 업체인 퍼스트아메리칸파이낸셜코퍼레이션(First American Financial Corp.)과 유나이티드홀세일모기지(United Wholesale Mortgage) 직원들이 주요 표적이 된 것으로 보인다고 한다.

[이미지 = utoimage]


공격자들은 MS 365 크리덴셜을 빼앗기 위해 부동산 업계 주요 표적들에게 피싱 메일을 보냈다. 첨부 파일을 시급히 확인해 달라거나 서버에 새로운 메시지가 도착했다는 내용이었다. 첨부파일을 열거나 메시지를 확인하기 위해 링크를 누르면 MS 365에 다시 로그인해야 한다는 알람과 함께 가짜 로그인 페이지가 뜬다. 여기까지는 꽤나 흔한 피싱 수법이라고 볼 수 있다. 하지만 여기서 공격자들은 그 흔한 패턴을 살짝 비틀었다.

“피해자가 여기에 속아 MS 365 로그인을 시도하면 오류 메시지를 띄웁니다. 피해자가 다시 로그인 암호를 입력하도록 하는 것이죠. 이걸 몇 번 반복하면 피해자는 자신이 주로 사용하는 비밀번호들을 죄다 입력하게 됩니다. 즉 공격자가 최대한 많은 비밀번호를 가져가려 한다는 것을 알 수 있습니다.” 아이언스케일즈가 발표한 내용이다.

아이언스케일즈의 CEO인 에얄 베니쉬티(Eyal Benishti)는 “피해자로부터 비밀번호를 최대한 많이 짜내려 한 것도 특이하지만, 그 무엇보다 공격자들이 공격을 세심하게 기획하고 표적을 조심스럽게 선정했다는 것이 가장 놀랍다”고 말한다. “공격자들은 부동산 업계에 있는 사람들만 노렸습니다. 그 업계에 있는 사람들이라면 익숙해 할 만한 이메일 템플릿을 활용하고, 그들 안의 전문용어들을 구사하기도 했고요. 많은 사전 조사가 있었음을 느낄 수 있습니다.”

현재까지 피해 규모를 명확히 파악하지는 못하고 있다. 하지만 최소 수천 단위의 피해가 발생한 것으로 베니쉬티는 보고 있다. “피싱 공격을 받은 사람의 수를 정확히 알 수는 없습니다. 저희만 해도 고객사들과 관련이 있는 일부 사례만을 바탕으로 연구를 진행했고요. 하지만 샘플이 그리 많지 않았음에도 불구하고 1만 번 이상의 공격 시도가 있었고, 2천 개 이상의 고유 크리덴셜들이 탈취된 것을 알 수 있었습니다.”

부동산 업계 종사자가 MS 365 크리덴셜을 빼앗긴다는 건 꽤나 큰 위험에 노출될 가능성이 높아진다는 뜻이 된다. “부동산 거래와 관련된 문건들이 MS 365 생태계에 자주 저장될 것이고, 공격자들은 이를 통해 고차원적인 사기 행각을 벌일 수 있게 됩니다. 거래 당사자나 관련자를 사칭해서 중간에서 송금되는 돈을 가로챌 수도 있겠지요. 부동산 거래 금액이 꽤나 크다는 걸 생각해 본다면 크리덴셜 노출이 얼마나 심각한 사태로 이어질 수 있는지도 알 수 있을 겁니다.”

마이크로소프트 안전링크
이번 캠페인을 통해 드러난 또 다른 주요 사안은 기본 보안 제어 장치들이 기능을 발휘하지 못했다는 것이다. “공격자들은 자신들이 만들어 둔 악성 링크를 MS 디펜더의 안전링크(Safe Link) 기능에 숨겨놓는 기법을 활용했습니다. 원래 안전링크는 링크의 URL을 스캔하여 악성 링크를 잡아내도록 설계가 되어 있습니다. 안전하다고 판단된 링크의 경우 안전링크가 본래의 URL을 안전링크 식으로 바꿔서 덮어쓰기를 합니다. 공격자가 이를 악용함으로써 자신들의 링크를 안전링크 식으로 바꾸면 눈으로 봐서는 수상한 점을 찾을 수가 없게 됩니다. 이메일 필터 장치도 이렇게 하면 더 잘 빠져나가는 것으로 보입니다.”

베니쉬티는 “안전링크와 관련되어서 이미 여러 차례 취약점들이 발견되기도 했었다”며 “안전링크 기능을 활성화시켰다고 해서 안전해지는 것이 아니지만 일반 사용자들은 자신들이 안전하다고 믿으려는 경향을 자주 나타낸다”고 경고한다. “이번 캠페인에서도 안전링크가 오히려 안전을 파괴하는 데 활용됐습니다. 보안 솔루션이나 기능 하나로 대단히 안전해진다는 건 큰 착각입니다. 보안은 여러 장치와 습관, 규정들이 겹겹이 쌓여야 겨우 성립될까 말까한 것이니까요.”

보안 업체 프루프포인트(Proofpoint)의 부회장인 라이언 칼렘버(Ryan Kalember)는 “유명한 브랜드를 사칭하는 피싱 공격은 대단히 널리 알려져 있고, 대단히 자주 사용되는데도, 대단히 효과가 좋은 기법”이라고 말한다. “때문에 메시지의 진위여부를 판단하는 데 있어 브랜드에 가산점을 주는 건 좋지 않습니다. 특히 유명 브랜드라고 해서 믿는 건 매우 위험한 생각입니다. 공격자들도 오히려 유명 브랜드를 더 많이 활용하거든요.”

나쁜 놈들도 실수를 한다
아이언스케일즈 측은 이번 캠페인을 분석하던 도중에 보안 분석가가 발견하면 안 되는 URL 하나를 발견했다. 컴퓨터 파일 디렉토리로 경로가 지정된 URL이었다. 접속해 보니 사이버 범죄자들이 그 동안 수집한 것들이 수두룩하게 저장되어 있었다. 온갖 이메일/비밀번호 세트가 평문으로 보관되어 있었던 것인데, 누구라도 해당 URL을 주소 창에 입력만 하면 열람할 수 있었다. 베니쉬티는 “공격자들로서는 사고와 다름이 없는 일”이라고 설명했다. “피싱 공격자들의 수준이 매우 높다고 할 만한 경지에는 이르지 못한 것으로 보입니다.”

물론 아이언스케일즈 측의 접속 사실을 알아챘는지 공격자들은 해당 디렉토리와 그 안에 저장되어 있던 파일들을 전부 인터넷을 통해 접속할 수 없도록 차단했다. 베니쉬티는 “공격자들이 사용하고 있던 피싱 키트에 어떤 오류가 있었던 것으로 보인다”며 “같은 피싱 키트를 계속해서 이용한다면 앞으로 이런 URL들이 주기적으로 나타날 것으로 예상한다”고 말하기도 했다.

크리덴셜 사업은 날로 번창
보안 업체 키퍼시큐리티(Keeper Security)의 CEO인 대런 구시온(Darren Guccione)은 “크리덴셜 수집과 피싱 공격이 전염병처럼 창궐하고 있다는 것에 유의해야 한다”고 지적한다. “피싱 공격은 계속해서 진화하고 있고, 수준도 계속해서 높아지고 있습니다. 매우 분명한 트렌드이고, 따라서 모든 기업과 조직들이 더 경계심을 높여야 합니다.”

그러면서 구시온은 “피싱은 공격의 시작을 담당하기 때문에 전체 공격 사슬에서 보면 매우 중요한 요소”라며 “그래서 수준이 높은 공격자든 낮은 공격자든 피싱 기술을 갈고 닦는 데에 열심”이라고 경고하기도 했다. “이번 캠페인처럼 유명 브랜드나 익숙한 이메일 탬플릿을 사용하는 것도 그런 발전의 결과입니다. 심지어 이메일 발송을 위해 실제 해당 브랜드 직원의 이메일을 훔치기도 하죠. 정상적인 계정에서 정상적으로 보이는 이메일이 오니, 믿을 수밖에 없습니다. 피싱 공격이 이렇게까지 발전했습니다.”

보안 업체 볼스터(Bolster)의 제품 마케팅 담당인 모니아 뎅(Monnia Deng)은 “게다가 이메일 게이트웨이 및 보안 솔루션들도 요즘 피싱 공격자들은 가볍게 피해간다”고 경고한다. “심지어 이중인증을 우회하는 경우도 빠르게 늘어나는 중이죠. 클라우드나 모바일을 모두 노릴 수 있는 소셜 엔지니어링 기법도 점점 능숙해져 가고 있고요.”

그러면서 뎅은 “온라인 경험의 초점이 빠르고 쉬운 것에 맞춰져 있으니 공격 가능성이 계속해서 높아질 수밖에 없다”고 설명한다. “피싱 공격자들이 요 몇 년 사이 크게 발전한 데에는 세 가지 요인이 있습니다. 팬데믹 때문에 가속화된 디지털 전환, 사이버 범죄로의 진입 장벽이 낮아짐에 따른 아마추어 해커의 증가, 그리고 IT 기술과 플랫폼 및 서비스들의 상호호환성입니다. 다시 말해 우리의 환경은 점점 복잡해져서 방어하기 힘들어지는데, 공격자들 편에서의 편이성은 높아지고 있다는 뜻입니다.”

피싱 쓰나미, 어떻게 대응해야 하나
피싱 공격이 이렇게 증가하는 가운데 방어하는 입장에서 할 수 있는 가장 확실한 조치는 “비밀번호를 사용하지 않는 것”이라고 칼렘버는 설명한다. “하지만 비밀번호 없는 인증이 보편화 되기까지는 아직도 많은 시간이 남아 있습니다. 그 전까지는 제일 먼저 피싱 공격과 관련된 교육을 사용자 대상으로 반복해 실시하는 것이 중요합니다. ‘내가 먼저 대화를 시작하지 않았고, 상대 쪽에서 다운로드나 파일 열기 등 특정 행위를 요구한다’는 상황에서 자동으로 의심을 할 수 있도록 인식을 바꿔줘야 하지요.”

또 건강하고 안전하게 비밀번호를 사용하고 관리하는 방법에 대해서도 계속해서 알려야 한다고 베니쉬티는 강조한다. “나의 개인정보가 침해 사고를 통해 유출됐다는 통보를 받는 순간 사용하고 있는 서비스들에 접속해 비밀번호부터 바꾸도록 행동 강령을 교육하는 것도 좋은 방법입니다. 비밀번호의 보안을 위해 지켜야 할 것들이 의외로 많습니다.”

베니쉬티는 “모의 피싱 훈련을 주기적으로 실시하는 것을 강력히 권장한다”고 말하기도 한다. “이미 많은 기업들에서 하고 있는 것으로 알고 있습니다만, 더 많은 조직들이 시작한다고 해서 나쁠 게 하나도 없습니다. 모의 피싱은 하면 할수록 좋고, 지금보다 더 많이 해야 합니다.”

피싱 공격이 의심되는 경우 살펴야 할 것들은 다음과 같다고 베니쉬티는 정리한다.
 - 보낸 사람의 주소와 답장이 가는 주소가 같은 지 확인한다.
 - 문법이나 철자에서 말도 안 되는 오류가 얼마나 자주 나타나는지 확인한다.
 - 링크 위에 마우스 커서를 올려서(클릭하지 말고) URL 전체를 확인하고, 이상한 점이 없는지 살핀다.
 - 전혀 상관없는 서비스에 로그인을 하라고 묻는 사이트나 팝업창은 항상 경계한다. 예를 들어 부동산 사이트인데 MS 365 계정에 로그인해야 한다고 한다면 뭔가 수상한 일이 벌어지고 있는 게 분명하다.

3줄 요약
1. 미국 부동산 업체 노린 대규모 피싱 공격 발견됨.
2. 적은 샘플 분석했을 뿐인데 도난당한 크리덴셜이 이미 수천 건.
3. 피싱 공격은 모든 공격자들에게 있어 가장 중요한 기법.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top