엑소스피어 블로그
엑소스피어 랩스의 배움과 생각을 공유합니다.

지능화된 피싱, 스피어피싱

스피어피싱의 ‘스피어’는 열대지방 어민들이 물고기를 효율적으로 잡을 쓰는 사냥도구인 작살(spear)에서 유래했다. 불특정 대상의 개인정보를 빼가는 피싱(phsing)과는 달리 스피어피싱 해커들은 대상의 가까운 지인으로 위장하고 접근해서 대상을 교묘하게 속이는 수법으로 공격한다. 그리고 공격 대상의 중요한 정보들을 캐내는 방식도 일반적인 피싱에 비해 굉장히 지능화 공격이라 당하는 대상도 속을 수밖에 없다.

 

 

스피어피싱 대상이 쉽게 속을 수밖에 없는 이유는 신형 랜섬웨어 갠드크랩에서도 이용되고 있는 사회공학적 기법을 사용하기 때문이다. 사회공학적 기법이란 공격자가 기업의 직원인 위장을 해서 가까운 직원에게 악성프로그램이 첨부된 파일을 이메일로 보낸다. 첨부파일의 내용은 대상이 열어 수밖에 없는 내용으로 구성되어 있기 때문에 공격을 당하는 대상은 각종 중요 정보들이 탈취된다.

 

공격자의 주요 타깃은 일반기업의 무역기밀과 공공기관의 금융 정보 등이다. 이런 공격 유형이 있다는 것을 인식하더라도 공격을 예측해서 대비하거나 예방하기가 쉽지 않다. 이유는 공격자가 기업의 내부 네트워크서버에 침투해 잠식하고, 직원들이 업무중 보내는 이메일들을 지켜보면서 직원의 메일로 침투하기 때문이다.

 

공격자는 직원의 이메일 계정 정보를 알아내어 받는 직원 정보를 파악하고 보내는 사람으로 위장한다. 그리고 업무 내용인 이메일을 작성하고 정보들을 빼내는 악성프로그램을 첨부파일에 같이 압축한다.

 

해당 메일에는 엑셀이나 워드 파일로 위장한 압축파일이 첨부되기 때문에 일반 메일과 구분하기 어렵다. 하지만 위장된 엑셀파일을 열게 되면 공격자의 악성프로그램이 작동하여 기업 내부서버에 침투해 기업간 수출 거래 정보, 금융 거래계좌 정보, 회계정보, 브라우저 계정, 이메일 계정, 직원들의 개인정보 광범위한 정보들이 탈취된다.

 

중소기업의 예로 공격자가 기업에 네트워크 서버에 침투하여 회계, 경리 담당자들의 메일 정보를 탈취했다. 그리고 자금 흐름을 파악하기 위해 자금일보와 출납일보 등을 사칭했다. 기업의 거래관련 금융정보를 빼내어 기존 거래처를 사칭해 메일을 보내고, 거래계좌번호를 변경을 요청하고 변경된 계좌번호로 송금을 유도하여 금전적 피해를 입혔다.

 

공공기관에서도 스피어해킹으로 피해를 입은 사례가 있다. 공격자는 중국 선양 IP 이용해 국내 VPN 서버로 기관 내부 서버에 침투했다. 직원들의 개인 정보 수집과 이메일 계정, 내부 PC 자료 등을 탈취했다. 탈취한 정보들로 6000건에 달하는 공격 메일을 임직원 PC 보냈고, 소셜네트워크서비스 사이트와 검색 포털사이트에 자료를 공개하고 협박글을 작성했다.

 

스피어피싱이 사회공학적 기법이라는 지능화된 공격으로 대상을 속이고 침투하는 공격인만큼, 상시보안관리가 중요하다 하겠다.

 

출처 : 지란지교소프트 개인정보보호센터가 발간하는 Privacy 뉴스카달로그 19년 002호 http://privacy.jiran.com 

목록 보기