스피어 피싱 우영우 15화에 나온 해킹 기술

스피어 피싱

[ spear phishing ]

요약 특정한 개인들이나 회사를 대상으로 한 피싱(phishing) 공격을 말하며, 공격자가 사전에 공격 성공률을 높이기 위해 공격 대상에 대한 정보를 수집하고 이를 분석하여 피싱 공격을 수행하는 형태이다.

특정 조직을 대상으로 시도되는 이메일이나 전자통신 사기를 말하며, 주로 허가받지 않은 사용자가 기밀 데이터에 접근하여 정보를 탈취하는 것을 목적으로 한다. 스피어 피싱은 일반적인 해커들에 의해 무작위적으로 이루어지기보다는 금전적 목적이나 무역 기밀 및 군사적 정보를 노리는 목적을 가지고 수행된다.

 

스피어 피싱은 수신자와 참조자를 여러 명 포함하며, 주로 수신자에게 익숙하고 믿을만한 송신자 혹은 지인으로부터의 메일 형태로 조작되어 있으며, 수신자들이 최대한 신뢰할 수 있는 표현을 사용한다. 주로 웹에 존재하는 사용자의 정보를 악용하여 수신자의 친구, 혹은 물건을 구입한 온라인 쇼핑몰의 계정으로 가장하여 메일을 보내며, 수신자의 개인 정보를 요청하거나 정상적인 문서 파일로 위장한 악성코드를 실행하도록 한다.

 

스피어 피싱을 예방하기 위해서는 송신자를 정확히 확인하고, 회신 URL이 믿을만한지 살펴보아야 하며, 패스워드 등 자신의 중요한 개인 정보를 제공하지 않도록 주의한다.

 

맞춤형 공격으로 당신을 속인다, 스피어 피싱

우선 드라마 속 라온의 개인정보유출은 스피어 피싱으로 시작됐다. 스피어피싱은 최근 해커들이 자주 이용하는 수법이다. 작살을 뜻하는 영단어 Spear에서 유래된 이름처럼, 표적으로 삼은 특정 개인이나 기관에 최적화한 공격 수법을 말한다. 즉, 불특정 다수에게 악성코드를 심은 메일을 배포하는 것이 아니라 겨냥한 목표물에 맞춤형 공격을 하는 것이다.

 

최근에도 정부기관을 사칭한 스피어피싱이 기승을 부리고 있다. 지난 3월 통일부 공무원으로 위장해 대통령직인수위원회 외교·안보분야 위원들에게 악성코드가 담긴 메일을 유포한 사례가 있었다.

 

앞서 2019년에는 주요 가상자산 거래소 회원들을 대상으로 이벤트에 당첨된 것처럼 위장한 메일을 보낸 스피어 피싱이 발견되기도 했다. 보안업계에 따르면 최근에는 경제나 외교·안보 분야 자문을 구한다며 학계나 민간기업 등이 전문가들을 노리는 스피어피싱이 늘고 있다. 해커들은 이 때 실제 존재하는 방송 프로그램 작가의 이름으로 메일을 보내는 등 치밀한 전략을 펼친다.

의심스런 첨부파일 클릭 금지… 문서 파일에 숨은 악성코드

 

최 팀장 동생이 보낸 것으로 위장한 메일 속에는 악성코드가 숨겨져 있었다. 해커는 이 악성코드를 설치형 파일이 아닌 문서 파일에 숨겨뒀다. 대부분의 사람이 exe와 같은 설치형 파일은 의심을 할 테지만doc와 같은 문서 파일은 의심하지 않는다는 점을 악용한 것이다. 극 중에서 정보기술(IT) 전문가로 나오는 최 팀장도 걸려들 수밖에 없던 교묘한 수법이다.

 

최 팀장의 상사마저 “설치파일인 EXE였으면 의심했을 것”이라며 “문서 파일인 doc는 백신에도 걸리지 않는다”라고 한탄했다. 실제로 최근 악성코드는 doc, pdf, hwp, xls 등의 문서 파일,. zip, .zip 등 압축 파일과 같은 비설치형 파일에 숨겨진 공격이 이뤄진다.

타깃에 대한 집요하고 끈질긴 공격, APT

 

드라마 속 최 변호사는 법정에서 라온이 APT 공격을 당했다고 항변한다. 목표물이 걸려들 때까지 계속되는 APT 특성상 막아내는 것은 사실상 어렵다는 것이 그의 주장이다.

 

실제로 APT공격을 계획한 해커는 표적으로 삼은 개인이나 기관의 거의 모든 것을 파악한다. 이후 표적과 관련된 인물이나 기관을 사칭해 악성코드를 심은 메일이나 첨부파일을 보낸다.

 

드라마 속에서도 해커는 최 팀장과 동생의 이메일을 해킹해 동생 말투까지 파악했다. 이 과정을 거쳐 악성코드를 심은 메일을 보내고, 최 팀장을 감쪽같이 속였던 것. 드라마 밖 현실 세계에서도 APT는 가족이나 거래처 등 표적과 밀접한 관계를 맺고는 사람이나 기관 속으로 은밀하게 숨어든다.

 

APT 공격이 가능한 이유는 해커가 공격이 성공할 때까지 끈질기게 시도하기 때문이다. 글로벌 보안업체 파이어아이에 따르면 APT 공격이 발견되는 데 평균 86일이 걸린다. 즉, 이 기간 해커는 표적에 접근할 수 있을 때까지 잠복해 있는 것이다.

키로깅, 키보드에 입력한 정보가 줄줄 새 나간다

 

해커가 라온에 심은 악성코드에는 키로거도 있었다. 키로깅은 사용자가 키보드를 통해 입력한 내용을 몰래 가로채는 해킹 수법이다. 지난 2013년 12월 페이스북, 구글, 트위터 등에서 사용자 아이디와 비밀번호 200200만 건이 유출된 것도 키로깅에 의한 것으로 드러났다.

 

라온의 최 팀장도 키로깅에 의해서 아이디와 비밀번호를 탈취당했다. 키로깅은 아이디와 비밀번호만 탈취하는 것이 아니다. 사적으로 주고받은 메신저 대화, 회사 메일 등 키보드로 입력한 모든 정보를 탈취할 수 있다.

오늘은 스피어 피싱 뜻에 대해서 한번 알아보는 시간을 가졌습니다.

다들 해킹 조심합시다.