다크웹에서 ‘피싱 키트’ 3만원 가량에 유통 “피싱 대중화 유도”
‘드래그 앤 드롭’ 웹 빌더, 이메일 템플릿, 연락처 목록 등 ‘패키지’
컴퓨터 초보자도 손쉽게 피싱 시장 진입, 해커로 변신
[애플경제 이윤순 기자] ‘피싱 서비스(PhaaS)’가 하나의 산업을 이루며 호황을 누리고 있다. 피싱 범죄를 위한 도구인 ‘피싱 키트’를 사고파는 시장이 급속히 확산되고 있다. 심지어는 다크웹에서 25달러(한화 약 3만원)도 안 되는 값싼 사이버 범죄 키트가 범람하고 있다. 이로 인해 “너도 나도 ‘피싱 키트’로 돈벌이에 나서는 ‘아마추어 해커’ 전성시대가 열릴 정도”라는 우려가 팽배하다. 이젠 웬만큼 컴퓨터에 능한 사람이라면, 나쁜 마음 먹기에 따라 쉽사리 해커로 변신할 수도 있다.
‘아마추어 해커’ 전성시대 우려
전 세계적 인플레이션에도 불구하고, 이들 PhaaS에서 사고 파는 ‘피싱 키트’는 날로 가격이 저렴해지고 있다. ‘피싱 키트’는 다크웹과 텔레그램과 같은 메신저 앱을 통해서 널리 유통되면서, 마치 ‘피싱의 대중화’를 걱정할 정도가 되었다.
즉, 최소한의 기술력만 갖춘 범죄자라도 개인 정보를 쉽게 훔치고, 신원을 도용하고, 은행 계좌에 접근할 수 있다. 그 중에서도 악성코드 감염 수법은 기기 제어권을 완전히 상실하게 만든다. 그런 상태에서 파일을 훔치고, 민감한 데이터를 암호화하며, 랜섬웨어 공격을 감행할 수 있도록 한다.
NordVPN은 자사 블로그를 통해 “피싱 키트는 사이버 범죄를 더욱 부추기며 광범위하게 퍼뜨리는 치명적 수단”이라고 최근의 이런 추세를 경계했다. 이는 “스스로 도구를 구축할 만한 기술이 없는 사람들에게도 강력한 공격 도구를 제공하는 셈”이란 얘기다.
다크웹에서 판매하는 ‘피싱 키트’는 ‘드래그 앤 드롭’ 방식의 웹사이트 빌더, 이메일 템플릿, 심지어 연락처 목록 등을 ‘패키지’로 갖추고 있다. 이를 활용하면 기술적으로 초보적인 공격자조차도 전문적인 사기 행각을 벌일 수 있다.
구글, 페북, MS 사칭, .exe, .zip 등 확장자 파일도 ‘조심’
그 때문에 ‘구독형’ 피싱 서비스(PhaaS) 상품 또한 급증하고 있다. 이는 호스팅부터 공격 대상자 특정(타겟팅)에 이르기까지 그야말로 ‘원 스톱 솔루션’이다. 이처럼 ‘피싱 키트’와 PhaaS 플랫폼은 사이버범죄 시장에 대한 진입 장벽을 낮춤으로써 공격의 수와 종류가 급증하고 있다. 그 만큼 소비자들로선 그 어느 때보다 경계심을 늦춰선 안 된다는 얘기다.
사이버리즌 등 보안 매체에 따르면 작년 피싱 공격에서 가장 많이 사칭된 브랜드는 구글, 페이스북, 마이크로소프트였다. 사이버범죄자들은 이들 빅테크의 인기 플랫폼으로 위장한 가짜 URL을 통해 피해자들의 신원 정보를 어렵잖게 수집하고 있다. 실제로 “작년 한 해만 약 85,000개의 가짜 구글 URL이 발견되었다”고 한다.
또한 무심코 다운로드 했다가 낭패를 보기 쉬운 파일도 많다. 그렇다보니 가장 대중화된 .exe, .zip, .php, .dll, .pdf 등의 확장자를 가진 파일들이 가장 위험한 대상이 되고 있다. 또한 비디오 호스팅, 엔터테인먼트, 스포츠 도메인 중에서도 악성코드가 발견되고 있다.
타이쿤 2FA, 이블프록시 등 ‘기승’
이메일과 웹 보안업체인 ‘바라쿠다 네트웍스’ 조사에 따르면, 올해 들어서도 1분기 피싱 공격이 급증, 1월과 2월에 이 회사 시스템에서 무려 100만 건 이상의 사이버 공격이 탐지되었다.
그 중에서도 타이쿤 2FA(Tycoon 2FA)는 가장 활발하면서 악질적인 해킹 플랫폼으로 지목되었다. 이는 가장 활동이 두드러지면서 또한 정교한 플랫폼이다. 지난 1월의 경우 전세계적으로 발생한 해킹 사건의 89%를 차지했을 정도다. 그 다음으로 이블프록시(EvilProxy)ㅏ 8%의 점유율을 기록했고, 새로운 경쟁자인 스니키 2FA(Sneaky 2FA)가 3%의 점유율을 기록했다.
이에 사이버리즌은 “의심스러운 링크를 클릭하기 전에 철자 오류나 불일치가 있는지 지속적으로 확인하고, 무료 비디오 호스팅 사이트를 피하며, 다중 인증(MFA)을 활성화할 것” 등을 권고했다
이에 따르면 특히 할인이나 긴급 요청을 제안하는 원치 않는 이메일을 경계해야 한다. 또 파일을 다운로드하기 전에 파일의 진위 여부를 항상 확인하고, 맬웨어 방지 도구를 수시로 그 실용성과 성능을 검사해야 한다. 이와 함께 “‘추적 차단기’를 사용, 개인 정보 수집을 차단하고, 보안 취약점을 해결하기 위해 기기를 정기적으로 업데이트할 필요가 있다“는 제언이다.