피싱·알려진 취약점.."공격자는 쉬운 방법으로 해킹한다"

글자 작게 글자 크게 인쇄하기

'공격자는 쉬운 길을 택한다.'

해커는 제로데이 취약점보다 피싱과 알려진 보안 약점을 이용한다. 어려운 보안 시스템을 뚫는 대신 안전한 사이트나 이메일로 악성코드를 보내 사용자 실수를 유발한다.

마이크로소프트가 내놓은 '보안 인텔리전스 보고서'는 지난해 11월부터 올해 1월까지 피싱 이메일이 월 평균 2억건에 달했다고 26일 밝혔다. 한 달에 마이크로소프트가 처리하는 이메일이 4억건인데 절반이 사용자를 속이는 피싱이다. 김귀련 한국마이크로소프트 부장은 “공격자는 어려운 공격법보다 투자 대비 효과가 큰 피싱과 스피어피싱 등을 이용해 보안의 가장 약한 고리인 사람을 노린다”고 설명했다.

GettyImages
<GettyImages>

지난해부터 급증한 암호화폐거래소 해킹도 스피어피싱에서 시작된 것으로 추정된다. 공격자는 암호화폐거래소나 거래자가 관심 높은 제목으로 악성 이메일을 보낸다. 주로 공문서나 이력서를 가장한 이메일 공격이 많다.

최근 발견된 악성문서는 기획재정부 보도자료를 이용했다. 공격자는 암호화폐거래소 임직원이 관심 높은 'G20 글로벌 금융안전 콘퍼런스'와 'G20 국제금융체계(IFA) 회의 결과' 등 내용을 악용했다. 거래소 업계는 지방선거 후 암호화폐 규제안이 나올 것으로 예상했다. 기획재정부가 G20 실무그룹 회의 결과에 관심이 높았다. 공격자는 이런 내용을 파악하고 관련 문서에 악성코드를 숨겨 이메일로 보냈다.

피싱에 이용된 기획재정부 문서.
<피싱에 이용된 기획재정부 문서.>

이력서는 스피어피싱 단골 메뉴다. 거래량이 증가하고 사이버 위협이 높아진 거래소는 보안인력 수급에 한창이다. 공격자는 보안전문직에 지원하는 이력서에 악성코드를 숨겼다. 인사담당자가 문서를 열어보면 악성코드에 감염되는 고전적 수법이다. 공격자는 첨부파일을 열지 않는 사람이 늘어나자 이메일에 링크를 삽입한다. 링크를 누르면 문서가 열리면서 악성코드도 내려오는 수법이다.

피싱·알려진 취약점.."공격자는 쉬운 방법으로 해킹한다"

보안 업데이트가 나온 알려진 취약점도 여전히 공격에 이용된다. 지난해 5월 12일 세계를 강타한 워너크라이 랜섬웨어 공격에 '이터널블루' 익스플로잇이 쓰였다. 이터널블루는 마이크로소프트 윈도 취약점이다. 1년 전 수많은 피해를 입었지만 여전히 해킹 조직은 이터널블루를 사용한다.

카스퍼스키랩에 따르면 올해 4월에만 29만4894명이 이터널블루 통한 공격을 받았다. 지난해 5월 공격을 받은 사용자는 2만7625명인데 10배 넘는다. 이 기법으로 공격받은 사용자는 월 평균 24만명에 이른다.

이창훈 카스퍼스키랩코리아 대표는 “아직도 많은 시스템에 보안 패치가 적용되지 않아 해킹 조직은 여전히 과거 취약점을 사용한다”면서 “미래 위험을 예방하기 위해 가장 먼저 해야 할 일은 필요한 패치를 적시에 적용하는 것”이라고 말했다.

김인순 보안 전문기자 insoon@etnews.com