Cloudflare의 theNet

피싱은 계속 진화합니다

인간 행동을 악용하는 새로운 방법

피싱은 다른 유형의 사이버 공격과 마찬가지로 가장 약한 연결 고리를 악용합니다. 하지만 다른 많은 공격과 달리 피싱은 기술적 취약점보다는 사람의 행동을 악용합니다. 여행을 예약하든, Zoom 초대에 응답하든, 단순히 이메일을 확인하든, 온라인에 있는 모든 사람이 대상이 됩니다.

약 130억 개의 이메일에서 수집한 데이터를 기반으로 작성된 최신 피싱 위협 보고서에서 설명한 바와 같이 공격자들은 진짜인 것처럼 보이도록 하는 데 집중합니다. 공격자들은 우리가 잘 알고 신뢰하는 브랜드를 가장하고, 정상적인 '업무 과정'에서의 상호 작용에 대한 신뢰를 악용합니다.

공격자들은 일반적인 이메일 보안을 회피하기 위해 진짜처럼 보이는 메시지를 끈질기게 제작합니다. 다음은 공격자들이 사용하는 특정 수법에 대한 몇 가지 주요 트렌드와 이러한 수법으로 인한 보안 침해를 방지하기 위해 조직에서 사용할 수 있는 전략입니다.



여기 저기 아무 곳이나 클릭하지 마세요.

사기성 링크는 위협 감지의 35.6%에서 나타나며, 피싱 위협 범주 중 1위를 차지합니다. HTML의 링크(하이퍼텍스트)에 표시되는 텍스트는 임의로 설정할 수 있으므로 공격자는 실제로는 악성 사이트인 경우에도 정상 사이트로 연결되는 것처럼 URL을 표시할 수 있습니다.

대부분의 조직에서는 사용자에게 의심스러운 업무용 이메일의 링크를 주의하도록 상기시키기 위해 어떤 형태로든 사이버 보안 인식 교육을 시행하고 있습니다. 그러나 사용자가 클릭하는 위치에 대해 주의가 산만한 채널에 공격자가 피싱용 미끼를 던지는 경우가 많아지고 있습니다.

'멀티채널' 피싱이라고 하는 접근 방식에서는 공격이 하나의 이메일에서 시작하여 SMS/문자 메시지, 메신저, 소셜 미디어, 클라우드 협업 서비스 및 일반적으로 피싱 방지 제어 기능으로 보호되지 않는 기타 인터넷 연결 도구로 계속 이어질 수 있습니다.

예를 들어, 한 멀티채널 피싱 캠페인에는 130여 개의 조직을 겨냥한, 널리 알려진 '0ktapus' 공격이 포함되었습니다. 인기 있는 싱글 사인온(SSO) 서비스인 Okta를 가장한 피싱 사이트로 리디렉션하는 문자 메시지가 여러 개인에게 전송되었습니다. 결국 10,000개에 가까운 자격 증명이 도난당했습니다.

여러 커뮤니케이션 채널을 대상으로 한 또 다른 캠페인에서 공격자들은 Activision의 직원을 피싱한 후 회사 내부 Slack 채널을 통해 기밀 데이터를 훔쳤습니다.

Cloudflare의 의뢰로 실시한 글로벌 설문조사에 따르면 다음과 같습니다*.

  • 보안 의사 결정권자의 89%가 멀티채널 피싱 위협에 대해 우려하고 있습니다.

  • 10명 중 8명은 회사가 IM/클라우드 협업/생산성 도구, 모바일/SMS, 소셜 미디어 등 다양한 채널에 노출되어 있다고 답했습니다.

  • 하지만 응답자 4명 중 1명만이 회사가다양한 채널을 통한 피싱 위협에 완벽하게 대비하고 있다고 답했습니다.

아무리 '교육받은' 직원(및 보안 솔루션)이라 할지라도 악의적 링크를 100% 정확하게 찾아낼 수는 없으므로 공격자들은 여전히 링크를 이용합니다. 한 명의 사용자가 잘못된 링크를 클릭하는 것만으로도 자격 증명 도용, 맬웨어, 막대한 금전적 손실이 발생할 수 있습니다.

이제 또 다른 주요 피싱 트렌드에 대해 알아보겠습니다. 발신자의 신원을 인증하기 위한 서비스를 회피하거나 심지어 활용까지 하는 악의적 이메일입니다.



공격자는 보안 검사를 "통과"합니다.

피싱 공격자는 사용자의 클릭을 유도하기 위해 유명 회사나 브랜드로 가장합니다. 조사에 따르면 공격자들은 약 1,000개의 다른 조직을 가장했으며, Microsoft를 비롯해 사람들이 업무를 수행하기 위해 자주 접하는 Salesforce, Box, Zoom 등의 브랜드가 모두 상위에 올랐습니다.

브랜드 가장이라고 알려진 이 전략은 다음과 같은 다양한 기법을 사용하여 수행됩니다.

  • 표시 이름 스푸핑: 표시되는 이메일 헤더의 발신자 표시 이름에 알려진 또는 합법적인 브랜드 이름이 포함되어 있는 경우.

  • 도메인 가장 또는 도메인 스푸핑: 공격자가 가장한 브랜드의 도메인과 유사한 도메인을 등록한 후 이를 피싱 메시지 전송에 사용하는 것.

  • 새로 등록된 도메인: 아직 악의적 도메인으로 분류되지 않은 도메인. (0ktapus 캠페인에서 공격자들은 공격 1시간 전에 등록한 도메인을 활용했습니다.)

브랜드 가장에 대한 주요 방어 수단으로 이메일 인증 표준(SPF, DKIM, DMARC)이 자주 거론됩니다. 하지만 이들 방법에는 한계가 있습니다. 실제로, 연구에 따르면 이메일 위협의 대부분인 89%가 SPF, DKIM 및/또는 DMARC 검사를 '통과'한 것으로 나타났습니다.

이런 일이 발생하는 이유는 여러 가지입니다. 예를 들어, 최근 대학 연구자들은 공격자가 Microsoft Outlook을 악용할 수 있는 이메일 전달의 결함을 설명했습니다.

이메일 인증의 다른 제한 사항은 다음과 같습니다.

  • 콘텐츠 검사 부족: 등기 우편으로 편지를 보낼 때와 마찬가지로 이메일 인증은 전달이 보장되지만, 메시지 내용에 악의적 URL, 첨부 파일, 페이로드가 포함되어 있는지 여부는 확인되지 않습니다.

  • 유사 도메인에 대한 제한적인 보호: 이메일 인증은 제대로 등록된 유사 도메인 또는 사촌 도메인 이름(예: name@example.com 대신 name@examp1e.com에서 보낸 메시지)에 대해서는 경고를 하지 않습니다.

  • 구성 및 지속적인 유지 관리의 복잡성: 구성이 너무 엄격하면 정상적인 이메일이 거부되거나 스팸으로 표시될 수 있습니다. 구성을 너무 느슨하게 설정하면 도메인이 이메일 스푸핑 및 피싱에 악용될 수 있습니다.



피싱은 '안전한' 발신자를 믿기에는 너무 역동적입니다

이메일 인증이 브랜드 가장을 막지 못한 사례에서 볼 수 있듯이 공격자들은 적응을 잘 합니다. 어제 공격자가 코로나19 관련 사기 메시지를 보냈고(세계보건기구는 작년에 두 번째로 가장 사기를 많이 당한 기관이었습니다), 오늘은 학자금 대출 상환 사기를 당했다면, 내일은 또 어떤 피싱 캠페인이 등장할까요?

가장 큰 문제는 가장 많은 비용이 드는 피싱 공격이 고도로 표적화되고 규모가 작다는 점입니다. 이러한 위협은 '알려진' 위협을 찾아내는 반응형 보안 이메일 게이트웨이(SEG)로는 쉽게 식별할 수 없습니다.

예를 들어, 악성 첨부 파일이나 맬웨어를 포함하지 않는 소셜 엔지니어링 공격의 일종인 비즈니스 이메일 손상(BEC)는 조직의 특정 수신자에게 맞춤화된 공격입니다. 공격자는 의도한 피해자가 정기적으로 메시지를 보내는 사람을 가장하거나 기존의 합법적인 이메일 스레드를 '하이재킹'할 수 있습니다.

BEC로 인해 기업과 개인이 입은 손실은 전 세계적으로 500억 달러에 달하며, 이제 BEC 손실은 랜섬웨어로 인한 금전적 손실보다 더 큰 규모입니다. 다음은 공격자들이 이러한 BEC 캠페인을 성공적으로 시작하기 위해 피해자의 운영 방식(그리고 피해자가 신뢰하는 대상)을 먼저 깊이 있게 파악하는 방법을 보여주는 몇 가지 예시입니다.

  • 공격자들은 올해 초 코네티컷 주 공립학교 시스템의 COO와 벤더의 이메일을 모니터링한 후 이를 가장하여 600만 달러 이상을 훔쳤습니다. (벤더 이메일 손상 또는 공급망 피싱이라고 알려진 이 복잡한 형태의 BEC에 대해 자세히 알아보려면 여기를 참조하세요).

  • 일련의 BEC 사기에서는 주 정부 Medicaid 프로그램, Medicare 관리 계약자, 민간 의료 보험사를 속여 470만 달러 이상을 의도된 병원의 은행 계좌가 아닌 공격자에게 송금하도록 유도했습니다.

  • 2022년 공격자들은 4개의 (가짜) 회사를 가장하여 식품 제조업체로부터 60만 달러 상당의 배송품을 가로챘습니다. 이러한 유형의 사건이 너무 많이 발생하여 FBI, 미국 농무부(USDA), 식품의약국(FDA)에서는 "BEC를 이용한 제품 도난 사기를 예방, 감지, 대응"하기 위한 공동 권고안을 발표했습니다. (도난 또는 '위조 식품'이 세계 경제에 미치는 피해액은 연간 400억 달러에 달하는 것으로 추정됩니다.)

고유한 피싱 캠페인은 기존의 SEG를 능가하게 될 것입니다. 그래서인지 Forrester의 분석가들은 블로그에서 Barracuda 이메일 보안 게이트웨이의 취약점을 악용하는 공격자에 대해 다음과 같이 선언했습니다. "2023년, 이메일 보안 장비를 다시 이용하고 싶어 하지 않습니다."

Forrester에서는 계속해서 다음과 같은 몇 가지 이유를 들어 대신 이메일 보안을 클라우드로 이전할 것을 권장합니다.

  • 자동으로 제공되는 빠른 업데이트

  • 더 단순해진 아키텍처

  • 수요를 충족하는 확장성

  • 하드웨어를 우려하거나 교체할 필요가 없음

  • 더 쉬운 문제 해결 및 완화

피싱을 방지하기 위해서는 클라우드 이메일 보안으로 SEG를 교체하는 것이 가장 중요한 단계입니다. 그러나 공격자가 여러 채널을 사용하여 캠페인을 시작하는 것과 마찬가지로 기업에서도 피싱에 대한 여러 계층의 보호 장치를 마련해야 합니다.

특히 여러 장치에 걸친 메시징, 클라우드 협업, SaaS 앱이 모두 위험을 초래하는 경우 계층화된 피싱 방지 기능이 필수입니다. Forrester의 수석 분석가 Jess Burn은 "이메일 받은 편지함을 위해 개발된 보호 기능을 이러한 환경과 직원의 일상적인 워크플로우 전체로 확장해야 합니다"라고 이야기합니다. 그녀는 "기업 이메일 보안 벤더를 선택하거나 갱신할 때는 어떤 벤더가 직원들의 모든 업무 방식을 보호하기 위한 보다 포괄적인 접근 방식을 제공하거나 우선순위를 두는지 파악해야 합니다"라고 덧붙입니다.



미래의 위협을 차단하기 위한 계층화된 접근 방식의 이점

이메일 인증을 통과했고, 평판이 좋은 도메인에서 발송되었으며, '알려진' 발신자가 보낸 메시지라 하더라도 본질적으로 신뢰할 수 있는 것은 아닙니다. 대신, 잠재적인 피싱 공격을 방지하려면 모든 사용자 트래픽을 확인, 필터링, 검사하고 인터넷 위협으로부터 격리하는 Zero Trust 보안 모델이 필요합니다.

Cloudflare Zero Trust는 피싱 위협으로부터 포괄적으로 보호하며, 다음이 포함됩니다.

  • 클라우드 이메일 보안과 원격 브라우저 격리(RBI)를 통합하여 의심스러운 이메일 링크를 자동으로 격리. 이로써 사용자의 장치가 악성 웹 콘텐츠에 노출되는 것을 방지합니다.

  • 인터넷에서 공격자 인프라, 소스, 전달 메커니즘을 선제적으로 스캔하여 피싱 캠페인이 시작되기 며칠 전에 피싱 인프라를 식별하고 차단.

  • 합법적인 브랜드를 피싱하기 위해 특별히 생성된 호스트 이름을 감지. 이는 매일 수조 개의 DNS 쿼리를 검색하여 작동합니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.

*출처: Forrester Opportunity Snapshot: Cloudflare에서 의뢰한 맞춤형 연구, "Leverage Zero Trust to Combat Multichannel Phishing Threats", 2023년 5월.



이 주제에 관해 자세히 알아보세요.

일반적인 이메일 보안 방어를 속이는 최신 피싱 위협에 대해 자세히 알아보려면 최신 피싱 위협 보고서를 확인하세요!

Get the report!



핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • 공격자들은 우리가 신뢰하는 브랜드를 가장하여 진짜처럼 보이게 합니다

  • 멀티채널 피싱으로의 진화

  • 클라우드 이메일 보안으로 마이그레이션하는 것이 피싱을 방지하는 가장 중요한 조치인 이유

  • 현대 기업을 보호하는 데 있어 Zero Trust의 역할


관련 자료

가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!