본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

‘콕 찍어’ 노리는 스피어 피싱, 전격 해부!

by 파스칼바이런 2016. 3. 29.

‘콕 찍어’ 노리는 스피어 피싱, 전격 해부!

AhnLab / 2016-03-23

 

 

 

 

최근 이메일을 이용한 록키(Locky) 랜섬웨어 유포가 확산되고 있다. 이와 함께 불특정 다수를 대상으로 발송되는 기존의 스팸 메일과 달리 특정인 또는 특정 조직을 노린 이메일 공격인 스피어 피싱(Spear Phishing)도 증가하고 있어 이메일 이용 시 더욱 주의가 필요하다. 이 글에서는 나날이 고도화되고 있는 스피어 피싱 공격 방법에 대해 알아본다.

 

‘스피어 피싱(Spear Phishing)’은 ‘창’이라는 뜻의 영어 단어 스피어(Spear)와 ‘사용자를 속이기 위한 사기 이메일 및 기타 행위’를 의미하는 용어인 피싱(Phishing)의 합성어이다. 신뢰할 만한 발신인이 보낸 것처럼 위장한 이메일을 이용해 악성 웹사이트로 유도 또는 악성 첨부 파일을 이용해 수신자의 PC를 감염시킨다는 점은 기존의 이메일 공격과 동일하지만, 특정인 또는 특정 조직을 노린다는 점에서 기존의 스팸 메일과 차이가 있다. 특히 스피어 피싱은 ‘지능형 위협’이라고 불리는 APT(Advanced Persistent Threat) 공격 등 고도의 사이버 공격에 많이 이용되고 있다.

 

다음은 정상적인 메일로 위장한 스피어 피싱 사례이다. 공격자는 그럴 법한 내용의 메일로 자연스럽게 위장하여 수신자의 관심을 끌고 첨부한 파일을 열어보도록 유도하고 있다. 파일 내부에는 악성 행위를 수행하는 매크로가 삽입되어 있다.

 

 

[그림 1] 정상으로 위장한 스피어 피싱 메일

 

 

메일 수신자가 별 다른 의심 없이, 또는 무슨 내용인지 확인하기 위해 첨부된 엑셀 파일을 열면 [그림 2]와 같은 내용이 나타난다. 공격자는 “아래 그림이 안 보이실 경우 위 ‘콘텐츠 사용’을 클릭해주시면 됩니다”라는 문구를 삽입해 사용자가 매크로 기능을 사용하도록 유도하고 있다.

 

 

[그림 2] 첨부된 엑셀 파일 실행 시 나타나는 화면

 

이후 아래 [그림 3]과 같은 매크로 보안 옵션 창에서 사용자가 “이 콘텐츠 사용”을 선택하면 엑셀 파일 내부에 포함된 매크로가 실행된다.

 

 

[그림 3] 매크로 보안 옵션 창

 

이렇게 실행된 매크로에 의해 PC가 C&C서버에 접속하고 악성코드를 다운로드 및 실행하게 되지만 사용자는 이를 알기 어렵다. 이렇게 감염된 악성코드는 윈도우 재시작 시 실행되고 주기적으로 C&C서버와의 연결을 시도한다, 이를 통해 시스템의 정보를 탈취하거나 그 외 악성 행위를 수행하는 것으로 추정된다.

 

V3 제품에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

X2KM/Downloader (2016.03.11.00)

Trojan/Win32.Agent (2016.03.16.06)

 

위의 사례를 통해 알 수 있는 것처럼 최근 공격자들은 실행형 파일(EXE, SCR 등)을 첨부하는 것이 아니라 문서와 같은 비실행형 파일을 첨부함으로써 사용자의 의심을 피하고 있다. 이와 함께 사용자의 개인생활에 관련된 내용이나 호기심을 자극하는 제목 및 내용의 메일과 첨부 파일을 이용해 공격을 시도한. 이러한 이메일 공격의 피해를 예방하기 위해서는 조금이라도 수상하거나 출처가 불분명한 메일을 수신하였을 경우, 첨부된 파일을 실행하지 않아야 한다. 또한 주요 프로그램의 보안 업데이트 및 백신 제품의 엔진 버전을 최신으로 유지하는 등 기본적인 보안 수칙을 준수하는 습관이 필요하다.