피싱 96%, 합법적 업무용 ‘툴’ LOTL로 악용

[애플경제 이윤순 기자] 2024년 피싱 공격의 96%가 사무용 툴이 MS365의 쉐어포인트(SharePoint)나 유명한 줌의 ‘Zoom Docs’ 등과 같이 추호도 의심할 바 없는 도메일을 악용한 것으로 드러나 충격을 주고 있다.

글로벌 보안업체 ‘다크트레이스’는 자사 블로그에 공개한 최신 연례 보고서에서 자사 연구원들이 작년에 3,040만 건 이상의 피싱 이메일을 발견했다면서 이같이 밝혔다. 특히 자급자족형 기술이나 LOTL 수법이 대표적이다. LOTL은 합법적인 실행 파일을 악용, ‘LOTL(Living Off the Land：환경 기생형공격)’를 설치하는 랜섬웨어다. 침입 후에도 정상 파일에 기생, 공격을 계속한다.

이에 따르면 사이버공격자들은 피싱 공격을 위해 드롭박스(Dropbox), 쉐어포인트, 킥북스(QuickBooks)처럼 널리 대중화되고, 특히 직장인들에게 필수처럼 여겨지고 있는 업무용 플랫폼을 표적으로 삼고 있다. 이런 업무용 도메인을 악용함으로써 보안 기능을 우회하고 있다. “그 과정에서 이처럼 합법적인 도메인에 발신자 주소나 페이로드 링크를 내장함으로써 기존의 탐지 방법을 회피하고 추호도 의심하지 않는 사용자들을 감쪽같이 속인다”는 것이다.

온갖 합법적인 장치와 툴, 두루 이용

‘다크트레이스’의 2024년 연례 위협 보고서에 따르면, 3,040만 건 이상의 피싱 이메일을 탐지, 이같이 피싱이 선호하는 공격 기법임을 강화했다. 즉, 2024년 대부분의 피싱 캠페인에서 합법적인 기업 업무 도구가 하이재킹을 당한 셈이다.

이에 따르면 사이버 범죄자들은 ‘Zoom Docs’, 헬로사인(HelloSign), 어도비, MS 쉐어포인ㅌ 등을 포함한 기업 업무용 툴을 악용하고 있다. 그런 사례가 2024년 피싱 이메일의 96%를 차지한다는 얘기다. 즉, 범죄자들은 굳이 (공격을 위해) 새 도메인을 등록하는 대신 이처럼 (업무용 툴의) 기존 도메인을 활용하면서, 탐지하기 어렵게 했다.

또 이들은 구글처럼 합법적인 통로를 통한 리디렉션을 사용해 악성 페이로드를 전달하는 것으로 파악되었다. 드롭박스를 공격하는 이메일에는 악성 URL이 내장된 드롭박스 호스팅 PDF로 연결되는 링크가 포함되어 있다. 또 ‘아마존 심플 이메일 서비스’(Amazon Simple Email Service) 등 비즈니스 파트너, 공급업체, 기타 신뢰할 수 있는 제3자의 이메일 계정도 하이재킹, 악용했다.

‘다크트레이스’에 의하면 또한 피싱 이메일 중 270만 개에 다단계 악성 페이로드가 포함되어 있다. 또한 94만개 이상에 악성 QR 코드가 포함되어 있었다.

피싱 수법은 그 정교함이 계속 발달하고 있다. 정교하게 타겟팅된 이메일 공격인 ‘스피어 피싱’이 전체의 38%를 차지한다. 나머지 32%는 언어적 복잡성이 있는 AI 생성 텍스트와 같은 새로운 사회 공학 기술을 사용하기도 한다.

에지 또는 인터넷 연결 장치 취약성도 악용

‘다크트레이스’는 또한 1만명이 넘는 글로벌 고객들을 대상으로 자체 학습 AI, 이상 기반 탐지, 위협 연구팀에 의해 철저한 분석을 가했다. 또 다른 공격 방법으론 에지 또는 인터넷 연결 장치의 취약성을 통한 초기 네트워크 침해도 있다.

또 2024년 초에 확인된 피싱 공격의 40%가 ‘이반티’(Ivanti Connect Secure, Ivanti Policy Secure), 팔로 앨토 네트워크, 포티넷을 포함한 인터넷 연결 기기의 악용과 관련이 있다는 지적이다. 이들 공격자는 특히 LOTL 기술을 선호한다. 이는 사용자 지정 맬웨어의 필요성을 없애고, 기존 보안 경고가 발동할 위험을 줄이기 때문이다.

이처럼 에지 기기의 취약성을 악용하는 것 외에도 공격 수법이 다양하다. 대표적으로 LOTL를 위해 초기 네트워크 액세스가 필요한데, 이를 위해 VPN과 같은 원격 네트워크 액세스 솔루션에 로그인하기 위해 도난된 자격 증명을 많이 사용하고 있다.

이 외에도 아키라, 랜섬허브, 블랙 바스타, 포그(Fog), ‘Qilin’ 등과 ‘Lynx’를 포함한 랜섬웨어 그룹은 합법적인 기업용 소프트웨어를 날로 더 많이 사용하고 있다. 이런 랜섬웨어 그룹은 또한 RaaS(Ransomware-as-a-Service)나, MaaS(Malware-as-a-Service) 자주 활용하고 있다. 실제로 MaaS 사용은 2024년 상반기에서 하반기까지 17%나 증가했다. 또한 “감염된 기기를 원격으로 제어할 수 있는 맬웨어인 원격 ‘액세스 트로이 목마’ 사용도 같은 기간 동안 34%나 증가했다”는 설명이다.