무역업체 겨냥, ‘송장’ 위조 해킹 ‘극성’

[애플경제 이윤순 기자]  이메일을 해킹하며 무역 송장(Invoice)을 사칭하는 사례가 빈발하고 있어 기업들의 주의가 요망된다. 최근 보안업체 ‘HP Wolf Security(HP 울프 시큐리티)’와 이를 인용한 기술매체 ‘IT프로포탈’에 의하면 이같은 송장 사기가 무역거래를 하는 기업들에게 큰 위협이 되고 있다는 보고다.

해당 연구 결과에 따르면 위조 송장 사기는 전혀 새로운 것은 아니다. 하지만 해커들은 효과적인 진입 방법을 유지하기 위해 날로 발달된 수법으로 공격을 늘려가고 있다. 새로운 연구에 따르면 위조 송장 사기는 2024년에도 여전히 무역업체와 기업들을 곤경에 빠뜨리는 위협적 요인으로 작용하고 있다. 이에 “사이버 공격자들은 갈수록 교묘한 수법을 동원하며, 기술을 미세 조정하고 있다”는 울프 시큐리티의 경고다.

이메일 사이버 공격의 12%가 성공

울프 시큐리티의 2024년 1분기 ‘사이버 위협 분석 보고서’에 따르면 이메일 기반 사회 공학적 공격은 이제 ​​기업체 이메일 보안 조치를 통과하지 못하는 경우가 많다. 그럼에도 불구하고, 이메일 공격의 12%가 사이버 보안 도구를 교묘히 피하며 침투하고 있다.

‘울프 시큐리티’에 따르면 특히 PDF 기반 이메일 공격은 올해 첫 달 동안 기업에 큰 위협으로 작용했다. 금년 1분기에만 벌써 이 기관에 의해 포착된 사이버 이메일 공격 중 11%가 PDF 파일이었다.

이처럼 무역업체들을 겨냥한 가짜 PDF 송장 위조범죄는 이메일 첨부 파일을 통해 송장을 보내고 지불하는 기업을 대상으로 한 경우가 많다. 일단 공격이 성공할 경우 상당한 몸값을 뜯어낼 수 있다는 점 때문에 송장 위조범들이 특히 선호하는 것으로 알려졌다.

송장과 청구서를 위조하는 사기범죄는 지난 2018년부터 급속하게 늘어났다. 새로운 보고서에 따르면 사이버 범죄자들은 ​​한 가지 기술에 머무르지 않고, 계속해서 전술을 개선, 발전시켜나가고 있다.

“물류 회사에서 보낸 것” 표기 이메일 청구서

이들 송장 사기꾼들은 일단 가짜 청구서를 위조하면서 악성 코드를 배포하고 있다. 그 중엔 ‘WikiLoader’ 악성 코드를 유포한 해커가 “물류 회사에서 보낸 것”이라고 해당 무역업체를 속이기도 했다. 그러면서 기한이 지난 가짜 PDF 송장이 포함된 이메일을 보낸 사실이 뒤늦게 발견되기도 했다.

2022년 12월에 처음 식별된 ‘WikiLoader’는 공격 과정에서 다른 악성 소프트웨어를 공격 대상인 시스템에 다시 로드하는 데 사용되는 정교한 다운로더 형태의 악성 코드다. 이는 다른 여러 정보 도용자나 와이퍼, 웜(바이러스) 등과 병행하기도 한다.

이에 울프 시큐리티는 공격자가 일련의 탐지 회피 기술을 사용, 페이로드가 제거되거나 격리되기 전에 공격 체인을 실행할 수 있음을 확인하기도 했다. 이때 ‘WikiLoader’는 보통 링크가 포함된 PDF 첨부 파일을 사용해 작동한다. 이때 만약 사용자가 링크를 클릭하면 자바스크립트가 포함된 ZIP 파일을 다운로드해서 최종 페이로드를 시스템에 로드하기 시작한다.

특히 “피해자를 합법적인 사이트가 아닌, 멀웨어를 호스팅하는 악의적인 사이트로 전환시키기 위해 오픈 리디렉션 취약점을 사용한다”고 경계를 요망하기도 했다. 또한 최근 사이버공격에 사용된 자바스크립트 파일은 악의적인 의도를 위장하기 위해 난독화되었다. 난독화된 자바스크립트 파일은 또 다른 자바스크립트 파일을 다운로드한다. 이 파일은 악성 파일이 포함된 ZIP 파일을 다운로드하고 사용자의 ‘Temp’ 디렉터리에 추출하게 된다.

‘Notepad++’ 파일 악용하는 스텔스 기술도

또 다른 스텔스 지향 기술도 있다. 즉 합법적인 프로그램을 사용해 DLL 사이드로딩을 악용하는 수법이다. 이 경우 디렉터리 내에 합법적이면서 서명이 되어있는 ‘Notepad++’ 실행 파일을 시작하는 ‘Notepad++’용 설치 파일이 있다. 그러나 Notepad++가 시작되면 'mimeTools.dll'이라는 파일 내에 숨겨진 ‘WikiLoader’ 악성 코드를 포함한 일련의 플러그인이 로드된다.

그래서 “이 기술이 해커가 위협 탐지 시스템에 의해 악성 코드가 포착되지 않도록 하는, 매우 효율적인 수법”이란 설명이다. 즉 “해당 기술인 DLL 사이드로딩(T1574.002)6은 애플리케이션 제어를 우회하고, EDR(엔드포인트 탐지 및 응답) 및 바이러스 백신 도구에 걸릴 위험을 줄이는 효과적인 방법”이라는 경고다.