소셜엔지니어링과도 결합한 신종 ‘다층 피싱 공격’ 기승
“지난해 전세계 1천만건 발생, 기업의 67%가 TOAD 공격당해”
[애플경제 이윤순 기자] 이른바 ‘TOAD’(두꺼비, 괴물)라는 새로운 유형의 사이버공격 수법이 등장해 보안전문가들을 긴장하게 한다. 이는 ‘두꺼비’라는 본래의 뜻과 함께 ‘Telephone-oriented attack delivery’, 즉 ‘전화 중심의 공격과 유포 내지 전달’이라는 중의적 단어이기도 하다. 이에 보안전문가들은 “강력한 ID 제어 시스템으로 대응해야 한다”고 주문한다.
‘TOAD’는 그 어원처럼 문자나 인스턴트 메시지(스미싱), 음성(비싱, vishing) 또는 이메일과 같은 요소를 소셜 엔지니어링(delivery)과 결합, 사용자를 속여 개인의 내밀한 정보나 금융 정보를 누설하도록 하는 다층 피싱 공격의 한 형태다.
보안전문업체 프룹포인트(Proofpoint)는 ‘2024년 피싱 실태’ 조사를 통해 “전 세계적으로 매월 1,000만 건의 TOAD 공격이 발생하며, 2023년에는 전 세계 기업의 67%가 TOAD 공격의 영향을 받았다”며 이같이 밝혔다.
AI 덕분에 더욱 정교해진 피싱 탓도 커
시장조사기관 포레스토(Forrester) 역시 “TOAD 공격의 증가는 AI를 통해 구현된, 보다 정교한 피싱 공격탓도 크다”면서 “날로 더 많은 조직들이 다중 요소 인증(MFA)을 채택함에 따라 이를 공격, 침투해야 하는 범죄자들도 교묘한 ‘사회 공학’ 수법 등 더욱 창의적인 기술을 동원하고 있다”고 우려했다.
‘Accenture UK 및 Ireland’는 특히 “비싱(Vishing) 공격은 비즈니스에 큰 위협이다. 종전 AI기술보다 더 ‘인간적’인 것처럼 들리도록 하는 생성 AI의 등장으로 인해 기업이 음성을 동원한 사기꾼에게 더 취약해질 수 있다.”면서 “기업으로선 이처럼 더욱 교묘해진 음성 사기꾼에 의한 공격과 피해에 철저하게 대비해야 할 것”이라고 기술매체 ‘IT프로’에 밝혔다.
‘TOAD’ 사기꾼들은 일단 공격 개시 전에 이전에 유출된 데이터나, 소셜 미디어 프로필, 다크 웹에서 구매한 정보 등 다양한 소스로부터 공격 대상자의 자격 증명을 수집한다. 이를 바탕으로 그들은 왓츠앱(WhatsApp)과 같은 애플리케이션을 통해 개인에게 연락하거나 직접 전화를 건다.
특히 이는 날로 정교한 소셜 엔지니어링이 증가하는 현상과도 밀접하다. 이를 통해 사이버 범죄자들은 기업의 최고 경영진이나 이사회 멤버, 또는 조직 구성원 등의 자세한 프로필을 확보, 공격 수단으로 삼을 수 있다. 그 중엔 심지어 자녀에 관한 세부 정보, 출신 대학, 출신 지역 등도 손쉽게 유출된다. 공격 대상이 되는 사람들은 흔히 ‘동료’나 ‘고객’이라고 주장하는 사람으로부터 전화나 메시지를 받을 수도 있다. 공격자들은 또 자신이 수집한 개인정보를 활용, 공신력있는 콜센터로부터 더욱 자세한 정보를 얻을 수도 있다.
이런 방식으로 공격 대상자의 신뢰를 얻은 다음, 문자나 이메일을 보내 악성 링크를 클릭하거나 MFA와 같은 기존 사이버 방어를 우회할 수 있는 첨부 파일을 다운로드하도록 독려할 가능성이 높다.
소셜미디어 적극 활용 정보 수집, “직접 전화 걸어”
‘TOAD’ 기술은 날로 발전하고 있다. 최근에는 전화번호 또는 이메일 스푸핑을 즐겨 쓰기도 한다. 이를 통해 상대방이 알고 있는 또다른 사람의 신원을 알아내 연락하는 것이다. ‘또 다른 사람’은 공격 대상자의 부모도 될 수 있고, 거래은행도 될 수 있다.
실제로 캐나다 토론토에선 한 직원이 회사로부터 “애플에 전화해서 비밀번호를 재설정해 달라고 요청하라”는 이메일을 받았다. 이에 애플은 소속 ‘전문가’ 비밀번호 변경 과정을 안내하도록 했다. 사실은 그 ‘회사’는 곧 사이버범죄자였던 것이다. 이런 식으로 비밀번호를 알아낸 사이버 범죄자는 해당 직원의 계정에서 다시 그의 동료들에게 이메일을 보내고, 무려 5,000달러의 결제를 승인하도록 유도하는 방식으로 돈을 빼돌린 일도 있었다.
더욱이 AI기술이 발달하면서 이를 악용한 사이버범죄자들에 의해 TOAD 공격의 진입 장벽도 낮아지고 있다. 그 바람에 올해 초엔 홍콩의 한 회사 임원이 딥페이크 화상 회의에서 고위 관리로 가장한 사이버 범죄자에게 속아서 무려 HK$2억(2천만 파운드)의 회사 자금을 전달하는 일도 벌어졌다.
AI와 ML 기반 이메일 보안 솔루션 등 철저 대비해야
미국전기전자학회(IEEE)는 이에 “온․오프라인의 마케팅과, 특정 개인을 고객으로 삼는 기업은 특히 ‘TOAD 공격’을 경계해야 한다”고 경고했다. 그러면서 “이러한 공격을 막으려면 절저한 직원교육은 물론, 고급 이메일 필터링, 민감한 거래에 대한 확인, 강력한 사고 대응 계획을 포괄하는 전략이 필요하다”고 강조했다.
특히 “소속 직원들은 늘 기업의 가장 큰 사이버 보안 약점 중 하나”라면서 “교활한 TOAD로부터 조직을 안전하게 보호하려면 직원 교육이 전략의 핵심이 되어야 한다”고 당부했다.또 다른 전문가들은 “보안의 우선순위를 정하고, 사이버공격으로 인한 위험과 범죄자가 사용하는 전술에 초점을 맞춤으로써 올바른 사이버 행동을 강화할 수 있다.”거나, “TOAD를 더 잘 인식하고 대응할 수 있도록 정기적인 교육과 시뮬레이션 연습이 포함되어야 한다”는 주문도 내놓고 있다.
특히 IEEE는 “TOAD를 막기 위한 강력한 전략으로 피싱 이메일을 탐지, 차단할 수 있는 AI와 ML을 갖춘 고급 이메일 보안 솔루션도 중요하다”면서 “"민감한 정보를 요청하는 원치 않는 전화에 대한 각별한 주의가 필요하다”고 덧붙였다.