랜섬웨어 광풍에 잊힌 ‘생활 밀착형’ 보안 위협 Top 3
2017년을 되돌아보면 워너크립터, 페트야 등 막강한 랜섬웨어로 인해 전 세계가 들썩거렸다. 그러나 그 위기의 순간에도 결코 간과해서는 안될 생활 밀착형 보안 위협들이 지속적으로 출몰하고 있다. 그 면면을 되돌아보고 매 순간 주의를 기울이도록 하자.
생활 밀착형 보안 위협 첫 번째, 피싱
‘피싱(Phishing)’이란 주로 위장한 메일주소, 웹페이지를 이용하여 PC 및 모바일 기기 사용자가 보유하고 있는 온라인 서비스 계정, 패스워드, 주민등록번호, 은행 계좌번호, 카드번호 등을 탈취하는 사이버 공격 기법을 의미한다. 사용자가 아무런 의심 없이 자신의 개인정보를 입력하도록 유도하기 위해 유명 온라인 서비스 제공사의 이메일 주소로 위장하거나 이와 비슷한 이메일 주소, 정상적인 온라인 서비스와 유사한 URL 및 동일한 화면 구성을 사용한다. 이를 통해 수집된 사용자 정보로는 동일한 계정 및 패스워드를 사용할 것으로 예상되는 또 다른 온라인 서비스에 로그인을 시도하는 등의 직접적인 사이버 범죄에 사용되기도 한다. 또한 스팸 메일 발송이나 온라인 사기 도박 사이트 회원가입에 악용되는 등 각종 불법 서비스에 활용되는 경우가 많다. 불특정 다수를 공격 대상으로 한다는 점과 이 과정을 통해 유출된 개인정보가 다수의 공격에 악용될 가능성이 높다는 점, 이를 통해 개인들의 금전적인 피해 및 의도치 않은 사이버 공격에 연루될 수 있다는 점에서 결코 간과할 수 없는 보안 위협 중 하나이다.
[표 1] 피싱의 주요 특징 및 대응 방법
피싱 공격의 주요 사례
■ 한글로 작성된 피싱 메일
공격자는 한글로 ‘메일 사서함 용량을 업그레이드 해준다’는 내용의 이메일을 보내 메일 내에 포함된 피싱 사이트 링크를 클릭하도록 유도했다.
[그림 1] 한글로 작성된 피싱 메일
메일에 포함된 바로가기 링크 클릭 시 사용 계정 및 비밀번호를 입력하는 피싱 페이지로 연결되고, 사용자가 각 내용을 입력한 후 ‘지금 업그레이드’ 버튼을 클릭하면 입력한 내용이 공격자에게 전송된다. 공격자에게 계정 정보를 모두 전송한 후에는 사용자의 의심을 덜기 위하여 국내 유명 포털 사이트로 리다이렉트한다.
■ 구글 드라이브로 위장한 피싱 메일
공격자는 이메일 등으로 전파된 문서 내용에 URL을 포함 시킨 후 사용자가 URL 링크를 클릭하게 하여 피싱 웹페이지에 접속하도록 하는 방식을 사용했다.
[그림 2] PDF 파일 다운로드로 위장한 피싱
[그림 2]의 ‘DOWNLOAD’ 링크를 클릭하면 [그림 3]과 같이 구글 드라이브(Google Drive) 로그인 화면으로 연결된다. 구글 드라이브는 사진 및 문서 등을 저장할 수 있는 무료 클라우드 저장소이며, 구글 독스(Google Docs)는 구글 드라이브에서 제공하는 문서 편집 기능이다.
[그림 3] 구글 독스로 위장한 피싱 페이지
첨부된 파일을 열어보기 위해 이메일 주소와 비밀번호를 입력하고 ‘첨부파일을 확인하기 위해 로그인(Sign in to view attachment)’ 버튼을 클릭하면, 공격자가 미리 설정해 둔 특정 서버로 계정정보를 전송한다. 이후 정상적인 구글 독스 서비스 페이지로 재연결되도록하여 사용자로 하여금 정상적인 서비스를 이용하는 과정이었던 것처럼 착각하게 만든다. 이메일 계정 서비스로 지메일(Gmail) 계정을 선택 하였을 경우, 지메일 계정 복구를 위한 휴대전화 번호 또는 보조 이메일 주소 정보를 추가로 요구한다. 사용자가 추가 정보를 입력하면 수집 정보는 공격자에게로 전송된다.
■ 애플 서비스로 위장한 피싱 메일
공격자는 애플(Apple.com)에서 보낸 이메일로 위장해 사용자의 애플 계정이 24시간 내 비활성화된다는 내용으로 사용자가 피싱 페이지에 접속하도록 유도했다.
[그림 4] 애플 서비스로 위장한 피싱
참고로, 애플의 이메일은 apple.com 도메인을 사용하는 것이 일반적이다. 피싱 이메일에 포함된 단축 URL을 클릭하면 정상적인 애플 홈페이지의 디자인을 복사하여 제작한 피싱 사이트로 접속하게 된다. 그러나 [그림5]와 같이 피싱 사이트와 애플사 정상 사이트를 비교해 보면, 동일한 디자인처럼 보이지만 URL과 보안 프로토콜이 미묘하게 다르다는 것을 알 수 있다.
[그림 5] 피싱 이메일에 포함된 피싱 사이트(좌)와 애플 정상 사이트(우)
사용자가 단축 URL을 클릭하여 접속한 피싱 사이트에 ID와 비밀번호를 입력하면 사용자 ID 확인에 필요한 일부 정보가 없다는 가짜 메세지와 함께 문제 해결(Unlock)을 위해 금융 및 개인정보를 입력하도록 유도한다. 이 과정을 통해 수집/전송되는 정보는 ▲카드 정보(카드 번호, CVV 번호, 유효기간) ▲ 개인 정보(이름, 국적, 주소, 우편번호, 생년월일, 휴대전화 번호) 등이다.
이 과정을 통해 사용자 개인정보 입력이 완료되면 입력한 신용카드와 관련한 보안코드(Secure Code)를 입력하는 창이 추가로 활성화 된다. 이상의 모든 과정이 끝나면, 정상적인 애플 사이트로 리다이렉트 되어 사용자로 하여금 정상적인 서비스였던 것처럼 착각하게 만든다.
[그림 6] 정보 수집•유출 후 애플사 정상 사이트 접속
■ 커뮤니티 게시물을 통한 피싱
공격자는 국내 유명 커뮤니티에 자극적인 제목의 게시글을 올려 회원들의 클릭을 유도한 후 피싱 페이지로 연결해 개인정보를 탈취하였다. 자극적인 문구와 함께 제공되는 URL 클릭 시 동영상 플레이어로 위장한 페이지로 연결된다. 해당 페이지의 동영상 플레이어 아이콘을 클릭하면 국내 유명 포털 사이트로 위장한 페이지를 보여주며 계정정보 입력을 유도한다.
[그림 7] 국내 포털 사이트 정상 로그인 페이지(좌)와 피싱 페이지(우)
피싱 페이지를 통해 수집된 포털 사이트 ID와 비밀번호는 공격자에게 전송되며 이후 게시글의 내용과는 무관한 동영상이 재생된다.
■ 가상화폐 거래소 안내 메시지를 통한 피싱
공격자는 가상화폐 거래소 로그인 알림 및 구매 체결 안내, 출금 완료 알림 등의 내용으로 위장하여 가상 화폐 거래에 필요한 개인정보를 탈취하였다.
정상적인 가상화폐 거래소의 안내 양식을 그대로 차용한 화면 구성 등으로 정상 여부를 파악하는 것은 거의 불가능하다. 공격자는 ‘지금 시작하기’나 ‘거래하기’ 등의 버튼을 통해 사용자의 클릭을 유도하거나 화면에 보여지는 URL과 실제 이동하는 URL을 달리하는 방법으로 사용자를 기만하여 피싱 사이트에 사용자 ID와 암호를 입력하도록 하였다.
이와 관련해 각 가상화폐 거래 사이트는 고객 주의사항을 공지하였으나 앞으로도 유사 공격이 지속될 것이므로 사용자들의 각별한 주의가 필요하다.
[그림 8] 국내 주요 가상화폐 거래소의 보안 주의사항 공지
생활 밀착형 보안 위협 두 번째, 파밍
‘파밍(Pharming)’이란 피싱(Phishing)과 경작(Farming)의 합성어로, 사용자가 웹 브라우저에서 정확한 웹사이트 주소를 입력해도 악성코드에 의해 변조된 호스트(hosts) 파일이나 변조된 DNS 주소를 참조하여 공격자가 제작해 놓은 가짜 웹 사이트로 접속하게 하여 온라인 금융거래와 관련된 개인정보를 훔쳐 피해를 입히는 것을 말한다. PC사용자가 주로 사용하는 웹 브라우저의 즐겨찾기나 바로가기를 이용하거나 직접 웹사이트 주소를 정확하게 입력하는 과정에서 악의적으로 만든 가짜 웹사이트에 접속하게 되므로 대부분의 사용자들은 악성코드 감염 여부를 인지할 수 없다.
더군다나 가짜 웹사이트는 가장 최근에 서비스 하고 있는 홈페이지의 내용을 그대로 복사하여 사용하거나 심지어는 원본 화면을 그대로 노출하므로 화면 구성상 의심할 수 있는 요소는 거의 존재하지 않는다. 이를 통해 수집된 사용자 정보는 웹 포털 서비스의 사용자 ID 및 암호, 온라인 금융서비스 관련 각종 개인정보 등이다. 이렇게 유출된 정보는 개인정보 재판매 수준을 넘어 금전적 피해까지도 야기한다. 지금 이 순간에도 금전적인 이익을 취하기 위한 다양한 공격이 시도되고 있음을 인지하고 온라인 서비스 이용에 각별한 주의를 기울여야 한다.
[표 2] 파밍의 주요 특징 및 대응 방안
파밍 공격의 주요 사례
■ 정상적인 유틸리티 프로그램의 업데이트 서버를 이용한 악성코드 유포
파밍 공격 가운데 정상적인 유틸리티 프로그램의 업데이트 과정을 악용하는 사례가 발견되었다. [그림 9]와 같이 악성 파일은 정상 업데이트 경로에서 유포되었으며, 실행 후 추가 파일을 생성하고 윈도우 시작시 자동 실행 되도록 레지스트리에 등록한다. 이때 생성된 [랜덤 문자열].exe 파일은 주기적으로 C&C에 접속을 시도하여 추가 파일을 다운로드 한다. 파밍 행위는 다운로드된 추가 파일을 통해 동작하며, MAC 주소를 공격자에게 전송한다.
[그림 9] 유틸리티 프로그램 업데이트 공지 내용
■ 불필요한 프로그램(PUP)을 통한 악성코드 유포
정상적인 PC 응용 프로그램 설치 과정 중 제휴 프로그램들이 설치 되기도 하는데, 이 중 보안이 취약한 제휴 프로그램 제공사를 통해 불필요한 프로그램 및 악성코드가 유포된다. 또 다른 경우는 액티브X 형태로 설치되는 불필요한 프로그램의 동작 과정에 개입하여 악성코드를 유포하기도 했다. 불필요한 프로그램의 업데이트를 담당하는 파일이 실행되면 프로그램의 업데이트 서버에 접속하여 업데이트 파일 유무를 확인한다. 업데이트 파일이 존재하면 이를 다운로드 및 실행하는데, 이때 다운로드되는 파일의 변조 유무를 확인하는 검사는 존재하지 않는다. 공격자는 이를 이용하여 특정 시간에 업데이트 파일을 악성코드로 변경하여 유포한다. 유포되는 악성코드 내부 구조는 다음과 같이 불필요한 프로그램(PUP) 파일을 생성하는 행위 코드와 악성 행위를 수행하는 코드가 결합된 형태이다.
[그림 10] 프로그램 설치 과정에 등장하는 스폰서 프로그램들
■ 취약한 웹사이트를 통한 악성코드 유포(Drive By Download)
보안이 취약한 웹사이트나 광고를 목적으로 제작된 홈페이지는 공격자들의 먹잇감이 된지 오래이다. 공격자는 자신의 위치를 감춘 상태로 공격을 지속할 수 있을 뿐 아니라 광고 페이지 노출 빈도에 따라 불특정 다수에게 악성코드를 확산•유포할 수 있는 장점이 있다. 다만 보안이 취약한 웹사이트나 광고 목적의 홈페이지들에 대한 경고 메시지가 다년간 IT 보안 리포트에 등장하여 주의 환기가 되고 있어 공격자는 자신이 의도한 시각에 한정하여 악성코드를 유포하는 주도 면밀함을 갖추기에 이르렀다. 현재는 아무런 변화가 없는 광고 목적의 홈페이지라 하더라도 어느 순간 변조되어 악성코드를 유포하고 사용자로 하여금 악의적인 홈페이지에 접속하여 개인정보 유출 및 금전적 피해를 유도할 수 있다는 점을 기억해야 한다.
[그림 11] 보안이 취약한 웹사이트를 통한 악성코드 유포
생활 밀착형 보안 위협 세 번째, 정상 파일로 위장한 악성코드
악성코드가 정상 파일인 것처럼 보이게 하는 것은 우선 사용자의 눈을 속이기 위함이다. 이와 관련된 방법은 PC 환경 및 IT기술 발달에 따라 변화하고 있지만 기본적으로 사람의 눈을 속이는 방법이라는 범주를 크게 벗어나지 않고 있다. 공격자는 윈도우의 정상 파일 이름을 그대로 차용하여 사용하기도 하고, 누구나 신뢰할만한 응용 프로그램의 이름과 아이콘으로 자신을 위장하기도 한다. 사무환경에서는 문서 파일인 것처럼 속이고 사용자의 클릭을 유도하는 경우가 많고, 요금 고지서 등과 같은 온라인 서비스와 관련된 내용인 것처럼 속이는 경우 등이 존재한다.
이들 악성코드는 기본적으로 사용자의 개인정보를 수집할 뿐 만 아니라 사용자가 접근할 수 있는 인프라 내에 존재하는 사적, 공적 자료 등을 수집하기도 하고 PC 및 서버를 장악한 후 공격자의 의도에 따라 다양하게 활용하기도 한다. 공격자가 원하는 용도로 활용을 끝낸 후에는 공격에 사용한 다수의 악성코드를 삭제하고 조용히 사라지는 경우도 있지만 때에 따라 PC를 더 이상 사용할 수 없도록 파괴하는 경우도 있다.
[표 3] 정상 파일로 위장한 악성코드 공격의 주요 특징 및 대응 방안
정상 파일로 위장한 공격의 주요 사례
■ 정상 유틸리티 프로그램의 위장한 악성코드
예전부터 공격자는 PC 사용자들에게 널리 알려진 프로그램으로 악성코드를 둔갑시켰는데 특히 유명 유틸리티나 동영상 파일들이 주 대상이었다. 최근에 발견된 백도어(Backdoor) 악성코드도 국내 유명 압축프로그램으로 위장했다. 또 어도비 플래시 업데이트 프로그램으로 위장하여 setup.exe 라는 파일명의 랜섬웨어가 배포되기도 했다. 파일명은 setup.exe 이지만 파일 아이콘이 별도로 존재하지 않는 것과 Flash_update 라는 이름으로 배포 되었지만 저작권 설명이 파이어폭스 모질라(Firefox and Mozila)로 되어 있는 점을 사용자가 확인한다면 1차적인 감염을 피할 수 있다. 그러나 일반적인 PC 환경에서는 setup.exe 이름만으로 사용자는 큰 의심없이 실행하게 되고 랜섬웨어에 감염이 된다.
[그림 12] 국내 유명 압축프로그램으로 위장한 악성코드
■ 문서 파일로 위장한 악성코드
악성코드 제작자는 악성 파일을 이력서로 속여 인사 담당자 및 채용 담당자가 파일을 실행하도록 유도 하였다. 문서 파일로 위장한 해당 파일은 실행 시 자동으로 압축이 풀리는 형태로 제작되었다. 해당 이력서 위장 악성코드를 실행하면 이력서 형식을 갖춘 정상 PDF 문서가 추가 악성 파일과 같이 생성 되기 때문에 사용자는 악성 파일 실행이라고 판단하기 어렵다.
[그림 13] 문서 파일로 위장한 악성 파일
[그림 14] 정상 문서 파일 실행 화면
문서 파일과 같은 폴더에 생성된 악성 파일은 숨김 속성값을 가지고 있는 관계로, 윈도우 탐색기 메뉴의 [도구] – [폴더 옵션] – [보기]에서 “보호된 운영 체제 파일 숨기기(권장)”에 되어있는 체크를 해제하면 숨김 속성의 악성코드를 볼 수 있다. 해당 악성코드는 [그림 15]와 같이 유효하지 않은 가짜 인증서로 서명되어 있다. 서명 시간은 최근이지만, 서명 정보를 자세히 보면 유효하지 않은 인증서임을 알 수 있다. 해당 악성코드는 공격자와 지속적으로 통신하여 감염 PC 내부정보 수집, 유출 및 추가적인 명령을 수행할 수 있도록 제작 되었다.
[그림 15] 서명된 인증서
또 다른 경우는 요금 고지서로 위장한 공격사례도 있다. 해당 악성코드는 2017년 4월 통신요금 고지서로 위장하였다. 문서 아이콘을 사용하여 문서 파일인 것처럼 사용자를 속이지만 사실은 *.exe 확장자의 실행 프로그램이다. 악성 파일을 실행하면 빈 워드 문서가 나타난다. 악성 파일에 의해 나타난 문서는 악성 행위를 하지 않는 정상 파일이다. 악성코드 제작자는 사용자에게 실제 문서를 보여줌으로써 해당 파일이 악성 파일이라는 의심을 사지 않도록 의도한 것으로 보인다. 해당 악성코드는 사용자가 입력하는 키보드 입력내용을 별도의 데이터 파일에 저장하고 인터넷 브라우저 접속 페이지, 즐겨찾기, 바로 가기 정보 및 등록된 계정 정보와 함께 국내 유명 메신저 프로그램의 사용자 계정 정보를 탈취한다.
[그림 16] 통신 요금 고지서로 위장한 악성파일
■ 동영상 파일로 위장한 악성코드
온라인 검색을 통해 좀 더 은밀한 자료를 구하고자 하는 사용자들이 이용하는 토렌트(Torrent) 서비스가 있다. 토렌트는 개인 상호간에 파일을 전송하는 프로토콜을 뜻하는 동시에 이것을 이용할 수 있는 응용 프로그램의 이름이기도 하다. 토렌트를 서비스를 이용하면 파일을 인터넷 상에 분산, 저장, 공유해 두고 다수의 접속을 사용하여 여러 곳에서 동시에 파일을 가져오므로 빠른 전송 속도를 만끽할 수 있을 뿐 아니라 좀 더 다양한 영역의 파일들을 구할 수도 있다. 이러한 토렌트 서비스를 제공하는 업체들은 공개된 게시판을 통해 다운로드 가능한 파일들을 게시하고 검색을 통해 누구나 쉽게 접근하여 자신들의 서비스를 이용하도록 유도한다. 또한, 온라인 커뮤니티 게시판에는 높은 다운로드 횟수를 유도하기 위해 자극적인 제목의 토렌트 파일이 첨부된 것을 종종 볼 수 있다.
[그림 17] 토렌트 서비스로 다운로드된 악성코드
[그림 17]의 파일은 동영상 플레이어 아이콘을 사용하고 파일명에 동영상 확장자 파일인 *.mp4를 사용해 동영상으로 위장하였지만 해당 파일은 악성코드이다. 해당 악성코드가 실행되면 실제 동영상 파일을 생성하여 사용자에게 보여주기 때문에 사용자는 해당 파일이 악성코드임을 알아채기 어렵다. 공격자는 사용자가 동영상을 보며 안심하는 틈을 타 악성코드를 통해 사용자 정보 수집 및 원격명령을 내릴 수 있는 준비 등을 할 수 있다.
공격자들은 지금 이 순간에도 IT 환경에서 보안이 취약한 곳을 찾고, 거기서부터 범죄의 기틀을 마련하고 있다. 그들은 기본적으로 현금화 할 수 있는 것들을 원한다. 탈취한 개인정보를 블랙마켓에 판매하는 것에서부터 직접적인 금융정보를 탈취한 후 자금을 이체하는 것에 이르기까지 모든 것이 돈으로 연결되고 있다. 다양한 보안 체계가 개인과 기업의 정보를 방어하고 있지만, 공격자들 역시 방어체계를 우회하고 사람의 실수를 유도하기 위한 공격을 펼치고 있어 양쪽의 치열한 공방전이 보이지 않게 지속되고 있다.
이 글을 통해 정상적인 웹사이트와 유사하게 제작하여 사용자의 개인정보를 입력하도록 유도하는 피싱부터 익히 잘 알고 있는 웹사이트 주소를 통해서도 공격자가 미리 만들어 둔 악의적인 사이트로 연결시키는 파밍, 정상적인 응용 프로그램이나 문서 파일로 위장하여 사용자PC에 침투한 후 개인정보 및 민감정보를 훔쳐 달아나는 위장형 악성코드에 이르기까지 우리 생활 주변에서 직면할 수 있는 다양한 보안위협이 존재한다는 것을 다시 한번 기억하기를 바란다. 나와 내 주위의 정보를 소중히 여기고 매 순간 경각심을 갖고 생활한다면 보다 안전하고 풍성한 IT 환경을 만끽하는 가을을 보낼 수 있을 것이라 기대한다.
- AhnLabASEC대응팀 박태환 팀장