피싱보다 한 수 위 ‘스피어 피싱’ 주의!!

[애플경제 이윤순 기자] 랜섬웨어 못지않게 피싱이 기승을 떨면서 최근엔 ‘스피어 피싱’이 더 큰 경계 대상이 되고 있다. 그렇다면 스피어피싱과 피싱은 어떻게 다를까. 보안 전문가들에 의하면 특정인이나 특정 직업군, 신분을 가진 사람들을 콕 찍어 공격대상으로 하는 것이 스피어피싱이다.그런 만큼 스피어피싱은 때론 그 피해가 더욱 클 수 있다는 지적이다. 이에 “그 피해를 미리 예방하거나 최소화하기 위해서도 피싱과 스피어피싱의 차이를 정확히 알아 둘 필요가 있다”는 주문이다.

하나의 피싱 이메일, 수백 만 명에 전송 효과

클라우드에서 실행되는 애플리케이션에 침입하면 해커들은 더 많은 계정과 서비스로 공격을 확대할 수 있습니다. 예를 들어 회사에서 사용하는 구글 및 마이크로소프트 클라우드를 침해하면 공격자는 이메일 계정이나, 연락처 목록 및 문서 생성에 액세스할 수 있다. 이때 권한을 가진 특정인이나 특정한 회사 구성원을 목표삼아 클라우드 자격 증명을 얻으면 더 큰 페이로드를 획득할 수 있게 되는 것이다. 스피어 피싱은 그런 점을 노리고 있다.

피싱은 하나의 피싱 이메일이 수백만 명의 사람에게 전송될 수 있다는 점에서 일반화되었지만 스피어 피싱은 매우 타겟팅되어 있다. 특히 특정 기업의 CEO나 CFO처럼 중요한 목표를 점찍어 그 자격 증명을 손상시키는 수법이다.

스피어 피싱에서 메시지는 신중하게 작성됩니다. 해커들은 소셜 미디어 게시물과 프로필을 사전에 연구, 피해자에 대한 가능한 한 많은 데이터를 얻는다. 심지어는 대상자의 이메일에 액세스, 몇 개월에 걸쳐 은밀하게 장본인에게 유입되는 트래픽의 종류를 분석하기도 한다.

이같은 스피어 피싱 메시지는 특정인의 일과 삶과 일상으로부터 몰래 수집한 데이터를 기반으로 하기 때문에 보통의 피싱보다 한층 신뢰가 가도록 설계되어있다. 그 때문에 피싱 이메일, 문자 또는 전화가 매우 특정인에게 ‘맞춤형’으로 개인화되어있는 셈이다.

‘인터넷보호나라’ 등 보안당국이나 사이버레디, 프룹포인트 등 글로벌 보안매체들에 의하면 이런 스피어 피싱이 겨냥하는 ‘가치있는 표적’은 특히 수천 개의 개별 계정을 망라한 시스템을 관리 내지 통제할 권한을 가진 사람인 경우가 많다. 해커들은 이를 통해 단 한 명의 신원을 공격, 수천 명의 다른 사용자에게 연쇄적으로 엑세스할 수 있게 된다. 그런 만큼 그 피해는 더욱 치명적일 수도 있다.

특정인 대상 ‘한층 신뢰감 주며 접근’

이처럼 스피어 피싱은 일반 피싱에 비해 특정 목표를 점찍어 한층 신뢰감을 주며 접근하는게 특징이다. 피싱 메시지도 훨씬 더 개인적이고, 친숙한 톤을 취한다는 점이 특징이다. 이런 스피어 피싱은 메시지들이 대부분 절실하거나 긴밀한 관계에서나 있음직한 내용을 담고 있다. 많은 경우 그런 신뢰감을 미끼로 송금을 요구하기도 한다.

물론 일반 피싱 이메일이 갖는 특유의 의심스런 징후는 스피어 피싱도 마찬가지다. 텍스트의 오타, 문법 오류, 알 수 없는 수신자의 이메일, 의심스러운 링크, 그리고 긴박한 사정을 호소하는 등의 이메일이 그런 경우다.

또 피싱 이메일은 특정 개인 뿐 아니라, 많은 사람에게 전송된다. 예를 들어, 수천 명의 사람이나 한 회사의 모든 사람에게 “특정 링크를 클릭하고 양식에 입력해 자격 증명을 확인하라”고 요청하는 이메일을 보낼 수도 있다.

그러나 스피어 피싱은 더 구체적이다. 예를 들어, CEO의 비서를 표적으로 삼아 CEO본인의 이메일을 사칭하며 공격할 수도 있다. 해커들은 이미 사전에 수 개월간 이메일 메시지와 소셜 미디어를 모니터링하는게 보통이다. 일례로 CEO가 해외로 출장을 가서 큰 거래를 성사시키는 등의 회사 사정도 실시간으로 간파하고 있다.

해커들은 이런 경우 CEO에게서 온 것처럼 보이거나, CEO 계정에서 보낸 것처럼 보이는 이메일을 비서에게 보내기도 한다. 이를 통해 “계획이 변경되었으며 즉시 소정의 자금을 새 계정으로 이체하라”고 지시하기도 한다. 실제로 해외에선 이런 수법에 속아 거액을 갈취당한 사례가 종종 있어왔다.

피싱 및 스피어 피싱 방어와 예방책

사이버레디는 “이런 피싱 내지 스피어 피싱 공격을 방어하기 위해 취할 수 있는 몇 가지 단계가 있다”며 사례를 들어 당부했다.

우선은 스팸을 차단하는 필터를 설치하는 것이다. 즉 스팸 필터는 스팸이나 피싱 이메일의 최대 99%를 포착, 걸러낸다. 물론 완벽하지는 않지만, 많은 양을 사전에 포착한다. 또 스팸 필터는 최신 수법의 사기나 해커들의 수법에 따라 지속적으로 업데이트되고 있다.

VPN도 유용하다. 즉 원격으로 작업하는 사람들에게 인터넷보다 메시지에 대한 개인 정보 보호가 강화된 가상 사설망이다. 사용자들은 암호화된 터널을 사용, 연결하므로 제3자가 데이터를 가로채기 어렵다. VPN을 사용하면 이메일 메시징과 클라우드 네트워크에 피싱 공격자가 침투하기 어려워진다.

다중인증(MFA)도 필수다. 비밀번호를 해킹하더라도 인증 앱, 텍스트로 전송된 코드, 생체 인식 또는 기타 인증 방법을 통해 인증을 받아야 하므로 피해를 최소화할 수 있다.

바이러스 백신 소프트웨어를 설치하는 것도 방법이다. 바이러스 백신 소프트웨어는 시스템이 바이러스에 감염되는 것을 방지하겠다고 약속한 원래의 보안 보호 장치였다. 하지만 해커들은 이를 우회하는 방법을 알아낸지 오래다. 그럼에도 불구하고 바이러스 백신 소프트웨어가 없다면 더욱 많은 기업들이 피해를 입을 수 있다.

또 클라우드 보안 포스처 관리도 중요하다. 위험 영역을 사전에 탐지해 예방, 대응 및 예측함으로써 클라우드 보안을 기한다. 이는 예측적 접근 방식을 추가, 피싱 및 스피어피싱 사기를 줄이는 데 큰 도움이 될 수 있다는 조언이다.

한편 글로벌 보안업체 ‘호넷시큐리티’(Hornetsecurity) 집계에 따르면 이같은 피싱이나 스피어 피싱 이메일은 지난 한해 동안 전세계에 걸쳐 4억 7,100만 건 이상 전송된 것으로 나타났다.