진짜는 진짜를 알아보는 법? 감쪽같은 피싱 인사이드!

진짜는 진짜를 알아보는 법? 감쪽같은 피싱 인사이드! AhnLab ASEC 대응팀ㅣ2018-10-31         한 동안 세계 곳곳에서 크고 작은 피해가 발생했지만 최근 들어 랜섬웨어 피해 소식은 잠잠해진 편이다. 다양한 보안 기술과 솔루션 덕분이기도 하지만 그 동안 사용자들이 직, 간접 사례를 통해 학습됐기 때문이다. 그런데 더 오랜 기간 학습해왔음에도 불구하고 여전히 피해가 발생하는 보안 위협들이 있다. 대표적인 것이 바로 피싱이다. 최근 자주 등장하는 피싱 수법을 2가지로 정리해봤다.   피싱은 교묘하게 만들어낸 가짜 정보를 미끼로 사용자 계정 정보나 금융 정보 등 개인정보를 탈취하는 공격이다. 꾸준히 등장한 만큼 공격 방법도 다양하고 날로 고도화되는 모습을 보였다. 특히 사회적 이슈나 사람들의 관심을 끌 수 있는 제목을 사용하는 등 사회공학적 기법을 주로 사용한다.   여전히 피싱 피해가 발생하는 이유는 사용자들의 노력에도 불구, 피싱 수법의 교묘한 변화 속도를 따라잡기가 버겁기 때문이다. 일례로 올해 7월에는 중고거래 사기와 보이스피싱 등 두 가지 범죄와 결합한 피싱 수법도 나타났다. (☞ '더욱 교묘하게, 피싱의 귀환!’ 바로가기) 게다가 최근 개인 사용자뿐만 아니라 기업 내 임직원들을 노리는 피싱 공격까지 빈번하게 발생하고 있다.   업무용 메일로 위장한 피싱 공격   기업 메일 계정으로 발송되는 피싱 메일은 주로 사내 업무용 메일로 위장한다. [그림 1]과 같이 이메일 저장 공간 부족, 계정 차단 등의 경고성 메시지를 통해 수신자로 하여금 메일 본문에 포함된 링크를 클릭하도록 유도한다.   [그림 1] 기업 사용자를 노린 피싱 메일   피싱 메일 본문에 있는 링크를 클릭하면 [그림 2]와 같이 계정 정보 입력창이 표시되는 페이지로 연결된다. 연결된 페이지는 유명 글로벌 회사나 업무 관련 기업으로 위장한 피싱 사이트다.   [그림 2] 피싱 메일 링크 클릭 시 표시되는 웹 페이지   [그림 2]의 피싱 사이트에 로그인 정보를 입력하면, 입력된 정보는 공격자에게 전송된다.   [그림 3] 공격자에게 전송되는 사용자 계정 정보   업무용 메일로 위장한 피싱 메일의 경우 회사 내에서 확인할 가능성이 있다. 회사 업무 메일로 피싱이 의심되는 메일을 수신한 경우, 사내 보안 담당자에게 문의하여 사내에 악성코드로 인한 피해가 확산되지 않도록 해야 한다.   호기심 노린 피싱 공격   피싱의 대표적인 공격 수법은 사람들의 호기심을 이용하는 것이다. 최근 ‘몰카’ 등이 사회적 이슈로 등장함에 따라 음란 동영상으로 위장한 피싱 공격이 빈번하게 등장하고 있다.   동영상 사이트에서 사용자가 동영상을 시청하기 위해 게시물 본문의 스크린 샷을 클릭할 경우 [그림 4]와 같은 유명 포탈 사이트 로그인 페이지로 위장한 피싱 사이트로 연결된다. 연령제한 동영상 시청을 위해 성인 인증이 필요한 점을 악용한 것이다.     피싱 사이트는 실제 로그인 페이지와 거의 흡사하게 제작되었다. 그러나 자세히 살펴보면 화면 위쪽의 주소 표시줄에 비정상적인 주소가 표시되는 것을 확인할 수 있다. 만일 주소를 확인하지 않고 피싱 사이트에 로그인 정보를 입력하면 입력된 정보가 [그림 5]와 같이 공격자에게 전송된다.   [그림 4] 유명 포털 사이트로 위장한 로그인 페이지   [그림 5] 공격자에게 전송되는 사용자 계정 정보   이후 공격자는 사용자를 정상 포탈 동영상 사이트로 리다이렉트하기 때문에 사용자는 피싱을 당했다는 것을 알아차리기 어렵다.   교묘한 피싱, 피할 수 있는 방법은?   피싱에 의해 탈취된 정보는 또 다른 공격에 악용될 수 있다. 다수의 사이트에서 동일한 이름의 계정이나 비밀번호를 사용하는 사용자들이 많기 때문에 계정 정보 외에 민감한 개인정보 유출로 이어질 수 있다.   안랩은 피싱 공격으로부터 사용자를 보호하기 위해 V3 제품군에 ‘유해 사이트 차단’ 기능을 제공하고 있다. 해당 기능을 사용(v)으로 설정해두면 피싱 사이트로 연결되었을 때 [그림 6]과 같이 알림창이 나타나며 접속이 차단된다.   [그림 6] 피싱 사이트 접근 차단   피싱 공격에 피해를 입지 않기 위해서는 계정 정보를 입력하기 전에 해당 사이트가 정상적인 사이트가 맞는지 세심하게 살펴보는 습관이 필요하다. 정상적인 사이트와 매우 유사하지만 자세히 살펴보면 상단의 주소창 부분도 정상 사이트와 차이가 있으며, 그 외에도 조금씩 차이를 보이는 부분들이 있다. 포털 사이트 등 자주 이용하는 웹 사이트라면 평소 주의 깊게 살펴보는 것이 좋겠다.   특히 다른 페이지로 연결을 유도하는 URL을 클릭하기 전에, 또 리다이렉트된 페이지에서 추가로 로그인을 요구할 경우, 해당 웹 페이지의 주소가 실제 본인이 로그인하려는 사이트의 주소가 맞는지 등을 반드시 살펴보는 습관이 필요하다.