[경인투데이뉴스=김종석 기자]  최근 연구에 따르면 99% 이상의 사회 공학적 공격의 성공 여부가 사람의 행동, 예컨대 링크를 클릭하거나 파일을 다운로드 하는 것 등에 달려 있다고 밝혀졌다. 이런 사회 공학과 인적 오류에 대한 연관성은 왜 사이버 범죄자들이 지속적으로 새롭게 보안 취약점 공격 수법을 개발하고 있는지를 설명해 준다. 공격 수법 중 하나는 매우 신중한 사용자도 속일 수 있는 기술인 ‘클론 피싱’ 이다.

 

클론 피싱이란 사이버 범죄자가 합법적인 이메일이나 웹사이트를 복제하여 피해자가 개인 정보를 공유하도록 만드는 사기를 말한다. 복제된 이메일은 원본 이메일과 거의 유사한 데다가, 타당한 세부 내용 또한 포함하고 있다. 바로 이 점이 다른 피싱에 비해 클론 피싱을 더욱 알아채기 힘들게 만드는 것이다.

 

 “사용자들이 사이버 보안 이슈를 접할 때마다 배우고 더 경각심을 가지게 된다고 해도, 범죄자들은 사용자를 타겟으로 하기 위해 끊임 없이 새로운 기술을 개발하고 더 진화시킨다. 클론 피싱 공격은 일반적으로 매우 개인화 되어있는 이메일의 특성과 더불어 피해자가 예전에 받은 내용을 복제하기 때문에 한 단계 더 발전된 피싱이다.” 라고 NordVPN의 사이버 보안 전문가 Adrianus Warmenhoven는 말한다.

 

클론 피싱은 어떻게 작동하는가?

 

먼저, 공격자는 적법한 출처(예: 은행, 고객 센터, 송금 사이트, 혹은 고용주) 에서 사용자에게 보내는 메시지를 가로챈다. 공격자는 이메일을 가로채기 위하여 DNS 하이재킹을 포함한 다양한 기술을 활용한다. 해커가 클론 피싱 공격을 할 때 항상 이메일 가로채기를 필요로 하지는 않는다. 그러나, 만약 진짜 그렇게 할 경우 복제한 이메일이 원본과 똑같아 보일 것이기 때문에 훨씬 알아채기 힘들어 질 것이다.

 

그런 다음, 사기꾼은 이메일의 복제본을 만들어서 피해자에게 전송하는데, 피해자들에게 그에 대한 액션을 취하도록 촉구한다. 사기꾼들은 피해자가 빨리 행동하기를 바라므로, 피싱 이메일이 긴급해 보이도록 만든다. 흔한 사회 공학 수법으로, 사용자에게 계정이 침해되었기 때문에 패스워드를 변경하도록 요청하거나 민감한 데이터를 제공하도록 요청하는 것을 볼 수 있다. 또한, 클론 피싱 사기에서 사용자가 합법적인 웹사이트에 접근하는 것으로 착각하게 만드는 악성 링크를 포함하는 것도 흔히 있다.

피해자는 합법적인 출처에서 왔다고 믿으며 이메일을 열어 본다. 그들이 이메일에 있는 첨부파일(예: PDF 문서)을 열 수도 있는데, 여는 즉시 기기에 멀웨어가 설치되어 사이버 범죄자들이 민감 정보에 접근하게 된다. 혹은 이메일에 포함된 링크를 클릭하면 악성 웹사이트로 리디렉션이 되어 공격자들이 정보를 훔쳐가게 만들 수 있다.

 

클론 피싱 공격을 예방하는 방법

 

Adrianus Warmenhoven은 “사기꾼들이 복제 이메일을 만들어 본 경험이 많은 경우 클론 피싱을 탐지하는 것은 특히 까다로울 수 있다. 하지만, 사회 공학적 공격의 피해자가 되지 않도록 여러 확인 단계를 거칠 수 있다.” 라고 말하며 사용자들이 클론 피싱 이메일의 영향을 받지 않기 위한 팁을 소개했다.

 

발신자의 이메일 주소를 꼭 확인하라. 이메일을 클릭 하거나 답장 하기 이전에, 발신자의 이메일 주소가 올바른지 꼭 확인해야 한다. 진짜와 비슷한 이메일 주소로 클론 피싱을 시도하는 경우가 종종 있다. 그러나, 진짜 이메일 주소에다 마침표, 하이픈, 기호 따위를 더하는 등의 작은 차이가 있을 수 있다. 이메일이 올바른 출처에서 왔다는 것을 확인하려면 발신자의 이메일 주소를 주의 깊게 확인하자.

 

링크를 클릭하면 안된다. 이메일이 사기가 아니라고 완전히 확신하지 않는 한 링크를 클릭하지 말자. 이메일 안에 사기꾼이 개인 정보를 훔쳐가는 악성 웹사이트로 리디렉션 되는 링크가 있을 수도 있다. 이메일이 안전하다고 확인한 후에만 링크나 버튼을 클릭하자.

 

스팸 필터를 사용해야 한다. 매일 이메일을 많이 받는다면 스팸 필터가 도움이 될 것이다. 이 필터가 모든 이메일의 내용을 분석하여 원하지 않거나 위험한 내용 메시지들을 식별해 준다. 필터가 복제된 이메일을 항상 식별해 내지는 않더라도, 다른 보안 장치들과 필터를 함께 사용하는 것은 좋은 아이디어다.

“클론 피싱 이메일들은 당신이 링크나 첨부파일을 클릭하지 않는 한 위험하지 않다. 그러므로 일반적인 조언을 주자면, 받은 편지함에 있는 이메일의 내용을 성급하게 믿어 버리지 말라는 것이다. 개인 정보를 제공하거나 이메일에 있는 링크를 클릭하기 전에 앞서 이메일을 보낸 회사에 전화로 다시 한번 확인하시는 것이 안전하다.” 라고 Adrianus Warmenhoven은 덧붙였다. 

NORDVPN소개

 

NordVPN은 전 세계 수백만 명의 인터넷 사용자가 선택한 세계에서 가장 진보된 VPN 서비스 제공 업체이다. 이 서비스는 추적을 방지하고 온라인 개인 정보를 보호하는 데 도움이 되는 전용 IP, 이중 암호화의 Double VPN 및 토르 브라우저와 호환되는 Onion Over VPN 서버와 같은 추가 기능을 제공한다. NordVPN의 주요 기능 중 하나로 악성 웹사이트, 트래커 및 광고를 차단하고 다운로드에 멀웨어가 있는지 검사하는 도구인 바이러스 및 위협 방지 Pro가 있다. 또한 NordVPN의 모기업인 Nord Security의 최신 제품으로는 글로벌 eSIM 서비스 Saily가 있다. NordVPN은 사용자 친화적이고 VPN 업계 최고의 가격을 제공하는 것으로 잘 알려져 있으며, 전 세계 111개국에 6,400개 이상의 서버를 보유하고 있다. 자세한 내용은 https://nordvpn.com 에서 확인 가능하다.  https://nordvpn.com/ko/.

 

 

 

(최근 연구)

 

 

사이버 공격은 2020년 이후 가장 높은 등급의 위험이 되었으며 공공 및 민간 부문에 널리 퍼진 위협이 되었습니다. 공격자는 보안 방어를 뚫고, 귀중한 데이터를 훔치고, 운영을 방해하는 새로운 방법을 계속 찾고 있습니다. FBI에 따르면 하루에 4,000건 이상의 사이버 공격이 발생합니다. 이 블로그의 제약 조건과 관련하여 2023년 가장 주목할 만한 사이버 공격 중 일부를 살펴보겠습니다.

 

1월: 트위터

'류시(Ryushi)'라는 이름의 범죄 해커는 처음에 훔친 정보를 넘겨주거나 삭제하는 대가로 20만 달러를 요구했습니다. 일주일 후, 트위터에서 거절당한 것으로 추정되는 해커는 해킹 포럼 Breached에 데이터를 판매했습니다. 2억 2천만 명 이상의 사용자 이메일 주소가 유출되었습니다.

 

이메일 주소 이외의 개인 정보는 유출되지 않은 것으로 알려졌다. 그러나 많은 사람들이 특히 자신의 이름이나 비즈니스 이름을 사용하는 경우 이메일 주소로 쉽게 식별할 수 있습니다.

 

2월: 피플커넥트

피플커넥트(PeopleConnect, 백그라운드 체크 서비스 정보 제공업체), 트루스파인더(TruthFinder), 체크메이트(Checkmate)는 지난 2월 2000만 명에게 영향을 미치는 데이터 유출 사고를 겪었다고 밝혔다. 범죄 해커는 고객의 개인 정보가 포함된 2019년 백업 데이터베이스를 유출했습니다. 보고서에 따르면 손상된 정보에는 이메일 주소, 해시된 비밀번호, 이름과 성, 전체 이름이 포함됩니다.

 

3월: 래티튜드 파이낸셜

2023년 3월에 확인된 가장 큰 데이터 유출은 Latitude Financial에서 발생했으며 1,400만 개 이상의 레코드가 손상되었습니다. 멜버른에 본사를 둔 이 회사는 호주와 뉴질랜드 사람들에게 개인 대출과 신용 카드를 제공합니다. 그들은 사이버 범죄자들이 거의 800만 개의 운전면허증과 53,000개의 여권 번호, 수십 개의 월간 재무제표를 탈취했다고 보고했습니다. 또한 2005년으로 거슬러 올라가는 600만 개의 레코드도 이 공격으로 인해 손상되었습니다.

 

4월: 쉴즈 헬스케어 그룹(Shields Healthcare Group)

4월 말경, 매사추세츠에 본사를 둔 의료 서비스 제공업체인 쉴즈 헬스 케어 그룹(Shields Health Care Group)이 사이버 공격의 희생자라는 보고가 나왔습니다. 범죄 해커는 조직의 시스템에 액세스하여 230만 명의 개인 데이터를 훔쳤습니다.

 

보도에 따르면 범죄자들은 2주 동안 민감한 데이터에 접근할 수 있었다. 이 데이터에는 환자의 주민등록번호, 생년월일, 집 주소, 의료 서비스 제공자 정보 및 의료 기록이 포함되었습니다. 또한 청구 정보, 보험 번호 및 기타 금융 세부 정보가 공격으로 도난당했습니다.

 

5월: 룩소티카

세계 최대 안경 회사인 룩소티카(Luxottica)는 지난 5월 대규모 사이버 공격의 희생양이 됐다. D3 Labs Draghetti에 따르면 유출로 인해 7,440만 개의 고유 이메일 주소, 260만 개의 고유 도메인 이메일 주소 및 3억 500만 개의 레코드가 노출되었습니다. Have I Been Pwned의 Troy Hunt는 유출된 데이터에 7,700만 개 이상의 고유 계정이 포함되어 있다고 말했습니다. 판매자에 따르면 데이터베이스에는 고객의 성명, 이메일 주소, 집 주소 및 생년월일이 포함되어 있습니다.

 

6월: 오레곤 및 루이지애나 자동차부

미국의 오레곤 주와 루이지애나 주는 MOVEit 소프트웨어 취약점의 일환으로 자동차 부서가 손상되었다고 밝혔습니다. 루이지애나 주의 OMV(Office of Motor Vehicles)는 운전 면허증 정보를 포함하여 적어도 600만 개의 기록이 도난당했다고 밝혔다. 루이지애나 주 OMV는 또한 침해가 내부적인 것이 아니라 타사 소프트웨어 제공업체를 통해 발생했다고 보고했습니다.

 

루이지애나 OMV는 이번 사건의 전체 피해 규모를 파악하지 못했지만, 주에서 발급한 운전면허증, 신분증 또는 자동차 등록증을 소지한 모든 루이지애나 주민의 개인 정보가 노출되었을 수 있다고 생각합니다. 한편, 오레곤 DMV(Department of Motor Vehicles)는 약 350만 개의 운전면허증과 신분증 정보가 유출되었다고 밝혔다.

 

7월: 티고

지난 7월에는 화상 채팅 플랫폼 티고(Tigo)가 70만 명 이상의 개인 데이터를 온라인에 유출했다는 보도가 나왔다. Tigo는 데이터 개인 정보 보호 관행에 대한 우려에도 불구하고 중국에서 가장 인기 있는 온라인 메시징 플랫폼 중 하나입니다. 이 정보에는 사람들의 이름, 성별, 이메일 주소 및 IP 주소가 포함되어 있습니다. 또한 사용자 프로필 사진과 개인 메시지도 포함되었습니다. Have I Been Pwned에 따르면 이 사건으로 총 1억 개 이상의 기록이 손상되었습니다.

 

8월: 영국 선거관리위원회

8월 8일, 영국 선거관리위원회는 악의적인 행위자가 약 4천만 명의 개인 정보가 포함된 영국 선거인 명부에 액세스할 수 있는 "복잡한 사이버 공격"에 대한 공개 통지를 발표했습니다. 공격자들은 2014년부터 2022년까지 영국에서 유권자로 등록된 사람들의 이메일, 제어 시스템, 선거인 명부 사본이 보관된 선거관리위원회 서버에 액세스했습니다. 선거인 명부에는 유권자의 이름, 주소, 투표 연령에 도달한 날짜가 포함되어 있습니다.

 

보안 연구원 케빈 보먼턴(Kevin Beaumonton)은 doublepulsar.com 에서 위원회가 사건 당시 ProxyNotShell 공격에 취약한 패치되지 않은 버전의 Microsoft Exchange Server를 실행하고 있었던 것으로 알려져 있다고 설명했습니다.

 

9월: 다크빔

사이버뉴스(Cybernews)에 따르면, 9월 18일 시큐리티디스커버리(SecurityDiscovery)의 CEO인 밥 디아첸코(Bob Diachenko)는 디지털 리스크 보호 회사인 다크빔(DarkBeam)이 "엘라스틱서치(Elasticsearch)와 키바나(Kibana) 인터페이스를 보호하지 않은 채 방치하여 이전에 보고된 데이터 침해와 보고되지 않은 데이터 침해로 인한 사용자 이메일과 비밀번호 기록을 노출시켰다"고 밝혔다.

 

유출된 데이터 중에는 "이메일 0-9"와 "이메일 A-F"라는 이름의 16개의 컬렉션이 있었으며 각 컬렉션에는 239,635,000개의 레코드가 포함되어 있습니다. 아이러니하게도 노출된 38억 개의 데이터 레코드는 DarkBeam이 고객에게 개인 정보에 영향을 미치는 보안 사고를 경고하기 위해 수집한 이전 데이터 침해에서 비롯된 것입니다. 데이터 유출은 Diachenko가 회사에 이 문제를 알린 후 즉시 종결되었습니다.

 

10월: DDoS 공격

DDoS 공격은 10월 10일에 보고되었습니다. 클라우드 인프라 제공업체인 구글 클라우드(Google Cloud), 클라우드플레어(Cloudflare), 아마존 웹 서비스(Amazon Web Services)는 이 공격이 제로데이 취약점을 악용한 대규모 공격의 일부라는 사실을 알아차렸습니다. Google Cloud는 최근 블로그에서 "이 새로운 일련의 DDoS 공격은 초당 요청 수(rps)가 3억 9,800만 개에 달했으며, 스트림 멀티플렉싱을 기반으로 하는 새로운 HTTP/2 '빠른 재설정' 기술에 의존하여 여러 인터넷 인프라 회사에 영향을 미쳤습니다. 반면, 지난해 기록된 최대 규모의 DDoS 공격은 4,600만 rps로 최고치를 기록했습니다."

 

DDoS 공격은 인터넷에 연결된 웹 사이트 및 서비스를 방해하여 연결할 수 없도록 합니다. 이는 압도적인 양의 인터넷 트래픽을 대상으로 전달하여 수행되며, 이로 인해 들어오는 요청을 처리하는 능력이 고갈될 수 있습니다. DDoS 공격은 비즈니스 손실, 중요한 애플리케이션의 사용 불가능 등 피해자 조직에 치명적인 영향을 미칠 수 있으며, 이로 인해 피해자는 시간과 비용을 낭비하는 경우가 많습니다.

 

11월: 트라이 시티 메디컬 센터

11월 9일, Tri-City Medical Center는 랜섬웨어 공격을 받아 병원의 응급 서비스 대부분이 중단되었습니다. 병원 측은 컴퓨터 네트워크의 무단 활동에 대해 알게 됐고, 악성코드 확산을 늦추기 위해 장비를 종료해야 했다고 밝혔다. Tri-City는 샌디에이고 카운티의 응급 서비스 사무소와 함께 내부 재난 전환에 착수했습니다.

 

이 공격은 영향을 받은 사람들의 수에 관한 한 가장 큰 비율은 아닐 수 있지만, 의료 서비스 제공 능력의 심각한 중단으로 인해 병원이 911 시스템을 통해 환자를 받을 수 없었기 때문에 주목할 만합니다. 이것은 종종 사이버 범죄자의 희생자가 되는 많은 의료 시설 중 하나입니다. 병원은 장비 때문에 더 취약한 경향이 있습니다. 심장 모니터 및 IV 펌프와 같은 것들은 병원이 공격에 더 취약하도록 만드는 오래된 소프트웨어 시스템에서 실행됩니다. 이는 병원이 아닌 환자에게 직접적인 위협이 되며, 인간의 생명이 위태롭다는 사실이 더욱 강조됩니다.

 

계속 증가하는 사이버 보안 위협

2023년은 대규모 데이터 유출과 값비싼 랜섬웨어 지불금의 해였습니다. 지난해에는 사이버 공격이 증가했을 뿐만 아니라 그 어느 때보다 고도화되고 고도로 조정되었습니다. 엔드포인트 공격은 복잡하고 다단계 작업이 되었습니다. 랜섬웨어는 더 이상 대기업에만 영향을 미치는 문제가 아니라 중소기업에도 영향을 미칩니다.

 

프루프포인트(Proofpoint)의 2023년 인적 요인(Human Factor) 보고서에 따르면 위협의 99% 이상이 매크로 활성화, 파일 열기, 링크 따라가기, 악성 문서 열기 등 사람의 개입을 필요로 합니다. 이는 소셜 엔지니어링이 성공적인 공격에 중요한 역할을 한다는 것을 의미합니다. 프루프포인트(Proofpoint)의 위협 운영 책임자는 "사이버 범죄자들은 사기성 이메일을 보내고, 자격 증명을 훔치고, 클라우드 애플리케이션에 악성 첨부 파일을 업로드하는 것이 실패 가능성이 높은 비싸고 시간이 많이 걸리는 익스플로잇을 만드는 것보다 훨씬 쉽고 수익성이 높기 때문에 공격적으로 사람들을 표적으로 삼고 있다"고 말합니다. 따라서 소셜 엔지니어링 공격을 인식하고 대응하고 적절하게 보고하는 방법을 교육하고 테스트하는 것이 중요합니다.

 

정보 보안에 대한 위협은 지속적으로 회사 직원을 공격합니다. Social-Engineer LLC에서는 Vishing, Phishing, SMiShing 및 가장 공격으로부터 인적 네트워크를 테스트, 교육 및 보호하도록 설계된 보안 인식 관리 서비스를 제공합니다. 과학적으로 입증된 방법론을 적용하여 취약성을 발견하고 위험을 정의하며 해결책을 제공합니다. 어떤 사람들은 인간이 사이버/정보 보안의 가장 약한 고리라고 말합니다. 올바른 교육, 훈련 및 테스트를 통해 최고의 방어선이 될 수 있습니다.

 

작성자:

Rosa Rowles

Social-Engineer, LLC의 인적 위험 분석가