지란지교시큐리티

옛말 중 ‘눈뜨고 코 베인다’는 말이 있습니다.

기술이 발전하고 보안의식도 향상이 많이 되었지만 그에 맞춰 악성 메일도 진화하고 있습니다.

‘사회공학적 해킹’이라는 말을 들어 보신 적이 있나요?

이 해킹 기법은 시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 공격 기법입니다.

많은 변수를 가지고 있는 ‘사람’을 통해 보안 시스템을 돌파할 결점을 찾는 것입니다.

오늘은 ‘쉽게 속는 악성 이메일 유형 3가지’를 준비했습니다. 

첫 번째는 ‘공공기관 지원 사업 공문’ 유형입니다!

국가에서 추진하는 다양한 사업의 안내, 선정결과 발표 등을 사칭해 업무 담당자로 하여금 해당 파일을 열도록 유도하는 악성 메일 유형입니다.

공공기관 사칭 메일은 일반적으로 악성 코드 실행파일(.exe)을 한글 아이콘으로 변경하고 확장자를 숨기는 방법으로 업무 담당자가 자세히 확인하지 않는 이상 무심코 클릭하는 경우가 많습니다.

이러한 악성 첨부파일 형태로 랜섬웨어를 배포하는 사례가 급증하고 있습니다. 랜섬웨어는 사용자 PC 데이터를 암호화한 후 데이터 복구를 금전을 요구하는 악성 공격으로 현존하는 가장 치명적인 보안위협으로 꼽히고 있습니다. 

그렇기에 랜섬웨어를 사전에 차단하기 위해서는 필히 첨부파일 오픈 전 근무하는 회사가 신청하거나 진행하는 국가 사업이 맞는 확인해야합니다.

올해 1월 랜섬웨어 피해 신고가 최근 5년 평균 대비 3.8배 급증했으며 대다수는 공공기관 사칭해 첨부파일 실행을 유도하는 사례라고 확인되는 만큼 더욱 주의가 필요합니다.

두 번째 유형은 ‘거래처 업체 견적 요청’ 유형입니다!

기업들이 사업을 본격적으로 개시하는 상반기가 되면 협력사를 사칭한 ‘견적 의뢰’, ‘발주서’ 형태로 위장한 악성 메일이 급증합니다.

견적 요청은 실제 업무에서 비일비재하게 주고받는 메일로 특히 영업 조직일 경우 상시적인 업무로 기존 거래처가 아닌 경우에도 신규 견적을 요청할 수 있다는 점에서 특히 조심해야하는 유형입니다.

Excel은 직장인이 가장 많이 사용하는 프로그램 중 하나로 다양한 기능, 편리함을 제공하지만 해커들에 의해서 본래 취지와는 다르게 악용되는 고급 기능이 하나 있는 게 그게 바로 ‘매크로’ 기능입니다.

반복적인 작업을 자동화해 업무 능률을 올리기 위한 기능이지만 해커들은 악성코드를 ‘매크로 시트’에 숨겨 악용하고 있습니다. 

Excel 파일을 오픈한 뒤 상단에 ‘매크로를 사용할 수 없도록 설정했습니다’라는 문구와 함께 매크로 사용을 허용하는 [콘텐츠 사용]을 무의식 중에 클릭할 경우, 매크로에 숨겨진 악성코드가 실행되며 기업 정보 탈취, 계정탈취 등의 악성 행위가 일어납니다.  

발신자 정보에는 무작위 거짓정보를 기입하기도 하지만, 실제 커뮤니케이션을 주고받았던 실 담당자의 정보를 탈취하여 사용자를 속이는 경우도 많으므로 각별한 주의가 필요합니다.

세 번째 유형은 ‘구직자 사칭 입사 지원’입니다!

앞 사례들과 마찬가지로 상/하반기 채용 시즌 뿐만 아니라 중소기업은 보통 상시로 인재채용을 진행하므로 구직자를 사칭한 이력서 형태로 악성코드 및 랜섬웨어를 유포하는 공격 사례가 꾸준히 유입되고 있습니다.

지금 소개해드린 유형은 실제로 특정 기업명 혹은 직무 등을 언급하기 때문에 보는 사람으로 하여금 나름 자연스러운 문장으로 인식되어 악성메일인지 구별하기 쉽지 않습니다. 

특히 인사팀의 경우 기업 지원 메일을 자주 확인하는 업무의 특성 상 해당 메일을 수신 받을 경우 특별한 의심 없이 메일열람 및 첨부파일을 클릭하게 됩니다. 

실제 상기와 같은 공격 유형에서의 이력서는 word, pdf 파일로 위장되어 있으며 첨부파일의 확장자명은 zip, alz, 7z등 일반적인 압축파일명으로 표기되나, 첨부파일 압축을 풀어보면 .exe 실행파일이라는 것을 알 수 있다.

더불어 최근 보고된 악성 .vbs 스크립트 파일의 경우 실행되면 악성코드 설치 후 실제 이력서 파일을 오픈하여 정상 파일로 위장하는 등 더욱 치밀해지고 있습니다.  

그렇다면 이런 악성메일은 어떻게 구분할 수 있을까요?

오늘 소개해 드린 사례와 같이 사람의 심리를 파고드는 ‘사회공학적 해킹 기법’을 적용한 악성 메일은 기존 안티 바이러스 제품, 안티 스팸과 같은 솔루션에서는 정상 메일로 판단, 기업 내부로 유입을 허용합니다.

사용자들은 메일 서버로 들어온 업무 메일로 인지하여 무의식적으로 클릭하게 경우가 많은 만큼 사회공학적 해킹 기법에 대응하는 최적의 방법은 임직원의 높은 보안 수준에 밖에 없습니다.

그렇기에 이러한 악성메일을 임직원들이 간파하기 위해서는 ‘비슷한 경험’을 통한 ‘올바른 보안 인식 확립’과 ‘보안의 생활화’이 중요합니다.

머드픽스(MudFIX)는 멘사(MENSA) 출신 상위 1% 보안 전문가들이 “사회공학적 해킹을 어떻게 사전 예방할 수 있을까?”라는 생각에서부터 시작한 ‘악성 메일 모의훈련 솔루션’입니다.

반복적인 모의훈련을 통해 보안의식이 부족한 임직원을 판별해 정보보안 교육을 제공하고 개인의 보안의식을 확립하는 것이 머드픽스(MudFIX)의 ‘핵심가치’입니다. 

악성메일의 위협이 나날이 커지고 임직원 보안인식 제고에 관한 중요성이 대두되면서 이를 위한 여러 솔루션들이 등장하고 있습니다. 

그렇다면 이중에서 머드픽스는 어떤 특별함이 있을까요?

바로 현실적인 악성 메일 템플릿에 기반한 효과 측정 및 보안 인식 개선의 가시성 확보입니다.

머드픽스(MudFIX)는 빠르게 변화하는 악성 메일 트렌드를 적용해 수백 개가 넘어가는 템플릿이 존재하며 훈련 중 실시간으로 훈련 진행 파악뿐만 아니라 감염자를 추적해 실제 상황이었다면 어떤 파일이 감염되었는지 예상 피해를 측정할 수 있습니다.

더불어 감염 대상자의 경우 별도 그룹으로 지정해 정보보호 교육 및 추가 관리가 가능하며  2, 3차 반복 훈련을 통해 훈련 성과 및 보안 개선효과를 가시적으로 확인할 수 있는 것이 특징입니다. 

물론 모의훈련 솔루션을 보고 ‘우리가 대기업도 아닌데… 저런 걸 해서 의미가 있나…?’ 하실 수 있습니다.

앞서 말씀드렸듯 악성 메일 누군가를 속이기 위해 현실적인 상황을 이용해 구분하기 어렵게 진화하고 있습니다. 

소개해 드린 세 가지 유형을 제외하고도 최근에는 ‘지방세입 고지서’, ‘카XXX 고객센터’, ‘카XXX 선물하기’, ‘DHX 국제 배송’, ‘백신SW 기업’ 등 우리에게 친숙한 기업들을 사칭해 다양한 해킹 시도를 하고 있으며 이로 인해 많은 중소기업들이 피해받고 있습니다.  

작년 과학기술정보통신부 조사에 따르면, 국내 랜섬웨어 공격 피해 기업 중 93%는 중소기업으로 확인되었습니다. 

중소기업이 대기업에 비해 상대적으로 보안 분야에 투자 여력이 부족하다 보니 피해에 직접적으로 노출되고 있는 것이 현실입니다. 

중소기업은 보안 투자 및 인프라가 부족한 만큼 임직원 보안 인식 제고가 더 중요하다 할 수 있으며 실제로 머드픽스는 지난해 중소기업들의 서비스 도입률이 전년대비 2.5배 증가했습니다. 이처럼 많은 중소기업들이 머드픽스를 통해 랜섬웨어를 비롯한 악성공격에 대비하고 있습니다. 

보안의 시작과 끝은 결국 ‘사람’입니다.

지속적인 사용자 보안교육과 보안 생활 습관화를 통해 임직원들의 보안 인식부터 확실히 확립하는 것이 가장 효율적인 대응 방안이라 할 수 있습니다.

머드픽스(MudFIX)의 더 자세한 내용은 아래 링크에서 확인하세요!

▶ 악성 이메일 모의훈련 솔루션 머드픽스 자세히 보기