시스코 코리아 블로그

심리를 이용한 표적형 사기 피싱

1 min read



2018년 중반부터 사람들의 심리를 이용한 표적형 피싱 사기가 증가하고 있습니다. Cisco Talos 연구원들이 분석한 피싱 위협사례를 소개하고 대처 방법을 알아보도록 하겠습니다.

당신의 지갑을 노리는 교묘한 표적 피싱

주로 ‘보이스피싱’에서 들어보셨을 겁니다. 피싱은 개인정보(Private data)와 낚시(Fishing)의 합성어로 금융 정보나 개인 식별 정보 등의 개인정보를 낚아 이를 악용하는 사기 수법입니다.

대표적인 방식은 금융기관을 가장한 이메일을 발송해 금융정보를 탈취하는 것입니다. 금융기관에서 발송된 이메일이라 믿고, 링크를 클릭하면 가짜 사이트로 접속됩니다. 시키는 대로 보안카드 번호 등 금융 정보를 입력하면 그대로 정보가 탈취되고, 금전 피해를 입는 것입니다.

대다수의 피싱 사기범들은 금융정보 해킹 같은 내용으로 당신을 유혹하려 시도합니다. 하지만 요즘에는 피해자의 평판이나 인간 관계, 심지어 생명에 대한 위기감을 이용하는 경우가 많습니다. 제목에 여러분의 ID와 비밀번호가 적힌 이메일을 받으신 경우라면 먼저 당황스러워하면서 이메일 내용을 살펴볼 것입니다.

정체 불명의 누군가가 음란 사이트를 해킹해서 내가 방문했던 기록을 확보했다고 주장합니다. 사기범은 내 모니터와 웹캠을 해킹해 포르노물을 즐기는 장면과 해당 포르노물의 재생 화면을 동시에 녹화했다고 말합니다. 여기에 그치지 않고, 메신저와 Facebook 및 이메일에 저장된 모든 연락처를 확보했다고 주장합니다. 그러면서, 이 동영상을 모든 연락처로 전송하면 돌이킬 수 없는 일이 벌어질 것이라고 협박합니다. 하지만 사기범은 본인도 비극을 원치 않으며 대가만 지불하면 기꺼이 자료를 삭제해주겠다고 강조합니다. 예를 들어 천 달러 상당의 비트코인만 지불하면 아무 일도 생기지 않을 것이라고 회유합니다.

사기범의 말을 곧이곧대로 받아들이자면 흔한 갈취처럼 보입니다. 그러나 사기범의 말은 거짓일 가능성이 큽니다. 온라인 범죄자는 선납 수수료 사기 수법과 유사하게 이와 같은 “성편취” 사기에 취약한 사용자 계층을 공략합니다. 온라인 사기범은 수신자 중 일부가 언젠가 카메라 내장형 기기 앞에서 그와 같은 행위를 한 적이 있을 것이라는 가정하에 대량의 피싱 메일을 유포하는 것입니다. 사기범은 일부 수신자가 수치와 당혹감을 느끼며 돈을 지불할 것으로 기대하고 범행을 벌입니다.

먼저, 이런 이메일에서 주장하는 말은 진실이 아닙니다. 사기범이 그럴싸한 거짓말로 수신인을 속여 금전적 이득을 취하기 위해 대량으로 발송한 피싱 이메일 공격 중 하나일 뿐입니다. 이런 이메일의 대부분은 펌프앤덤프(Pump and Dump) 사기, 랜섬웨어, 기타 범죄 수법과 마찬가지로 Necurs 봇넷을 통해 유포됩니다.

이런 이메일에는 최신 기술 용어가 과하다 싶을 정도로 많이 사용됩니다. 물론 사이버 범죄자가 피해자의 바탕화면이나 웹캠을 원격으로 제어할 방법이 아예 없는 것은 아니지만 사기범이 설명하는 방식으로는 거의 불가능합니다. 그러나 사기범은 일부 수신자가 이런 사실을 모르고 있기에 속아 넘어갈 것으로 기대합니다. 이러한 수법에 당하는 사람들 대부분은 기술적 지식이 부족한 탓에 이러한 해킹이 현실적으로 불가능하다는 사실을 눈치 채지 못합니다.

성인 사이트에서 콘텐츠와 악성 광고가 의도치 않게 함께 유포되는 경우도 있지만, 이러한 공격은 개개인을 염탐하는 것이 아니라 사기성 광고 수익을 얻으려는 것입니다. 물론 자원이 충분하고 의지가 확고하다면 불가능할 것도 없습니다. 하지만 여기서 우리는 완전히 다른 시각에서 바라볼 필요가 있습니다. 누군가의 음란 행위를 포착하기 위해 그렇게 오랜 시간 동안 지켜볼 범죄자가 과연 있을까요? 대부분의 웹 기반 위협에 비하면 이는 장기전을 요하는 다소 복잡한 공격 수법입니다.

게다가, 피싱 이메일만으로 수신인을 속일 수 있는데 굳이 그렇게 많은 공을 들일 필요가 있을까요?
그래서 그런지 이런 이메일 공격 수법이 끊이지 않고 있습니다. Talos가 지난 해 10월에 처음 조사한 사기범들은 지금도 디지털 편취 사기 이메일을 꾸준히 배포하고 있습니다.

흥미로운 점은 이러한 수법의 공격이 끊임없이 발생하고 있는 데 반해, 돈을 지불하기로 결정한 피해자조차 사이버 범죄자가 요구하는 액수를 고스란히 지불하지는 않는다는 것입니다. Talos에서 피해자의 비트코인 이체 내역을 분석해본 결과, 실제로 비트코인을 송금한 피해자는 극히 드물었습니다. 그리고 이 중 대부분이 사기범이 요청한 수천 달러에 훨씬 못 미치는 금액이었습니다. 그럼에도 불구하고 Talos가 주시한 피싱을 통한 피해액을 합산하면 수십 만 달러에 달합니다.

성편취 사기 수법의 높은 성공률을 볼 때, 디지털 편취 방법을 분류해보면 (종종 수신자의 생명까지 위협하는) 훨씬 더 폭력적인 범죄자도 눈에 띕니다. 피해자를 죽여달라는 의뢰를 받은 청부살인자라고 주장하는 사기범도 있습니다. 그런데 본인이 “착한 사마리아인”이라 마음을 바꾸었으니 비트코인으로 일정 금액을 지불하면 청부살인 계약을 없던 일로 하겠다는 것입니다.

이러한 사기 수법은 2018년 중반에 처음 등장했으며, 그 후 염산 테러 위협이나 “외도 현장을 촬영했다”는 협박성 이메일 등 여러 변종 사기가 기승을 부렸습니다. 디지털 편취 사기의 협박 수위가 도를 넘어서더니 급기야 12월에 전국 뉴스로 보도되기에 이르렀습니다. 폭탄을 설치했다는 이메일이 유포되면서 미국과 캐나다 전역의 학교와 신문사, 교통 시설, 그리고 각 기업체에 대피 명령이 내려졌습니다. 이 사건에서 범죄자들은 종전보다 훨씬 큰 액수인 2만 달러 가량을 요구했지만, 최종 조사 시점을 기준으로 이에 상응하는 비트코인을 이체한 피해자는 전무했습니다.

그나마 다행인 점은, 스팸 차단 솔루션을 사용한다면 피싱 이메일을 대부분 잡아낼 수 있습니다. 또한 메일 서버에서 DMARC 프로토콜을 활성화하면 악성 이메일을 효과적으로 걸러낼 수 있습니다. 그러나 사기범들도 이 사실을 간파하고 스팸 필터를 우회하는 방법을 생각해냈습니다. 최근 Talos에서는 base64 인코딩과 가비지 HTML 텍스트를 사용하여 본문을 흰색으로 변환한 이메일을 발견했습니다. 흰색 배경에서는 이메일 내용이 보이지 않는 것이죠(첫 번째 이메일 예시를 참조하십시오).

사기범이 이메일을 작성하고 이를 스크린샷으로 찍은 후 해당 이미지를 본문에 붙여 넣는 수법도 등장했습니다. 물론, 이 경우 다소 복잡한 비트코인 지갑 주소를 복사하여 붙여 넣는 게 불가능하므로 피해자가 더 번거로운 절차를 거쳐야 합니다. 당연히 사기범도 이 점을 고려하여 피해자가 더 쉽게 송금할 수 있는 QR 코드를 추가하기 시작했습니다.

그렇다면 사기범들은 피해자의 비밀번호를 어떻게 알아냈을까요? 아마도 이메일과 비밀번호가 들어 있는 데이터 유출 기록 목록을 확보했을 것으로 추정됩니다. 목록에 있는 다수의 이메일 주소와 비밀번호 조합이 맞아떨어졌을 가능성이 높습니다. 해당 비밀번호를 현재 사용 중이라면 즉시 변경하고, 다른 웹사이트의 비밀번호도 변경해야 합니다. 내 이메일 주소가 보안 공격에 노출되었는지 확인하려면 Have I Been Pwned 같은 서비스를 이용해보십시오. 보안 사고가 발생했을 가능성이 있는 웹사이트를 확인할 수 있습니다.

또한 다음과 같은 사항도 고려해야 합니다.
• Cisco Email Security는 수신 이메일에 존재하는 위협을 신속하게 감지, 차단, 제거하는 고급 위협 방어 기능을 갖추고 있습니다. 또한 이 솔루션은 기업의 브랜드를 보호하고 데이터 유출을 방지하며 종단간 암호화로 전송되는 중요 정보를 보호합니다.
• Cisco Advanced Phishing Protection은 이미 Cisco Email Security에서 지원하고 있는 발신자 인증 및 BEC 감지 기능을 한층 강화한 것입니다. 이 솔루션에는 로컬 신원 및 관계 모델링과 행동 분석을 결합한 머신 러닝이 통합되어 있어 신원을 위장한 위협을 효과적으로 차단합니다.

마무리하자면, 아는 것이 힘입니다. 이러한 사기를 경계하도록 사용자를 교육하면 피해를 줄이는 데 큰 도움이 될 수 있습니다. 믿기 어려울 지 모르겠으나 효과는 확실합니다.

추가 정보:
• https://blog.talosintelligence.com/2018/10/anatomy-of-sextortion-scam.html
• https://blog.talosintelligence.com/2018/12/bitcoin-bomb-scare-associated-with.html

댓글 쓰기