‘줌’ 사칭, MS사용자의 자격증명 도용 ‘조심’

[애플경제 김향자 기자] 최근 피싱 공격으로 익숙하거나 신뢰할 만한 브랜드나 기업, 베스트 셀러 제품 등을 사칭하며 웹사이트에 침투, 사용자들을 속여 중요한 계정의 자격 증명을 탈취하는 수법이 난무하고 있다. 보안업체인 ‘아머블록스’(Armerblocks)가 분석한 최근 피싱 수법 중엔 심지어 공격자가 마이크로소프트 사용자의 자격 증명을 탈취하기 위해 ‘줌’을 스푸핑(사칭, 사기)하는 사례도 등장했다.

그 대상은 한 헬스케어 업체였다. 이 업체의 이용자는 2만1000여 명에 달하는데, 침입자는 이들을 대상으로 피싱 이메일을 보냈다. 문제의 이메일에는 각 사용자들의 실제 이름이 수신자로 기재된 ‘오늘(2022년) 수신자 ○○○’이라는 제목줄이 표기되어 있어 의심을 피했다. 또 업체 로고가 표시된 이메일은 또 발신자가 “응답을 기다리는 두 개의 메시지를 가지고 있다”고 안내했다. 이에 사용자들은 의심되는 메시지를 읽기 위해 본문의 메인 버튼을 클릭한 경우가 대부분이다.

메인 버튼을 누르는 순간, 마이크로소프트 로그인 사이트를 스푸핑하는 가짜 랜딩 페이지로 연결된다. 그런 다음 “메시지에 접근하기 전에 신원을 확인하기 위해 마이크로소프트 계정 암호를 입력하세요”라는 안내문이 게시된다. 랜딩 페이지엔 본래 보안 의식을 강화하기 위해 사용자 이름 필드에 해당 사용자의 실제 전자 메일 주소를 이미 표시해둔 상태다. 그 결과 공격자는 당연히 페이지에 입력된 모든 마이크로소프트 사용자들의 비밀번호를 캡처할 수 있게 되는 것이다.

그렇게 유효한 도메인에서 전송된 초기 피싱 전자 메일은 도메인 키 식별 메일이나, 발신자 식별 프레임워크, 도메인 기반 메시지 인증 기록이나 확인 등 일반적인 전자 메일 인증 검사를 통과할 수 있었다. 그 덕분에 마이크로소프트 전자 메일 보안 조치를 피할 수 있게 된 것이다. 그러나 해당 이메일은 보안업체 ‘아머블록스’의 보안 시스템에 의해 사용자 받은 편지함에 도달하는 것은 차단되었다.

그렇다면 왜 그런 공격이 사용자들에게 먹혀들었을까. 이런 수법은 사용자들에게 의심을 사지않고, 속이기 위한 다양한 기만술을 구사했다. 우선은 “두 개의 메시지가 응답을 기다리고 있다”고 주장함으로써, 수신자의 호기심을 자극하고, 긴급함을 위장한 것이다. 또 ‘줌’과 같은 유명 브랜드를 스푸핑하고, 대기 중인 메시지에 접근하기 위한 연결고리로 마이크로소프트를 활용하는 등 친숙함과 신뢰를 십분 악용한 것이다.

공격자는 또 합법적이고 신뢰할 수 있는 도메인에서 전자 메일을 보내 보안 시스템을 우회하기 위해 모든 노력을 기울였다. 또한, 이메일 보안 도구나, 의심갈 만한 징후로 인한 어떠한 위험 신호도 유발하지 않도록 작성되었다.

‘아머블록스’사는 이에 “이런 유형의 피싱으로부터 조직이나 기업을 보호하는 방법”을 조언했다. 이에 따르면 우선 추가적인 보안 도구로 전자 메일 보안을 강화하는 것이다. 알려진 바와 같이 침입자들의 전자 메일은 마이크로소프트 보안 시스템을 몰래 통과했다. 이는 기본적인 전자 메일 보안을 보다 강력하고 계층화된 도구로 보완해야 함을 보여주는 것이다.

흔히 사용자들은 수신 이메일이 받은 편지함에 대량으로 쌓이면, 이들 메시지를 더 자세히 조사하는 것을 잊어버린다. 그래서 귀찮기도 해서 메시지에 즉시 대응하거나 응답하곤 하는데 이는 위험 천만이다. 그럴수록 사용자들은 시간을 내어 발신인 이름, 발신인 전자 메일 주소, 메시지의 언어를 포함한 주요 특징과 요소를 확인해야 한다. 특히 의심스러운 오타나, 오류 또는 불일치를 찾아야 한다.

또한 손상된 계정 하나가 동일한 자격 증명을 가진 다른 계정을 침해할 수 있으므로 여러 사이트에서 동일한 암호를 사용하지 않도록 한다. 암호 재사용을 피하고, 강력하고 복잡한 암호를 유지해야 한다. 이와 함께 다중 요소 인증은 가장 바람직한 수단이다. 언제든 외부인에 대해 MFA를 요구함으로써 공격자가 손상된 계정 자격 증명을 사용하여 로그인할 수 없도록 하는 것이 가장 바람직하다는 조언이다.