자격 증명 도용 피싱 캠페인이 더욱 정교한 표적화를 통해 성공률을 높이려고 시도하고 있다.

피싱 보호 솔루션 업체 코펜스(Cofense)에 따르면, 자격 증명 위협 행위자는 수집이나 구매로 얻은 이메일 주소 목록에 대량 메시지를 발송하는 대신, 활성 상태이고 합법적이며 종종 가치가 높은 것으로 확인된 주소만 대상으로 삼는다.

코펜스는 정밀 검증 피싱 또는 실시간 이메일 검증이라는 이 기술의 작동 방법을 설명했다. 피싱에 넘어간 사람이 피싱 페이지에 액세스하려고 하면, 페이지의 자바스크립트 기반 검증 스크립트로 공격자의 데이터베이스에 있는 이메일 주소가 확인된 후에, 로그인 양식이 표시된다. 입력된 이메일 주소가 미리 정의된 목록에 있는 이메일 주소와 일치하지 않으면, 피싱 페이지에서 오류 메시지를 표시하거나 정상적인 페이지로 리디렉션한다. 그러나 주소가 확인되면 피해자의 자격 증명을 캡처할 수 있는 가짜 로그인 페이지가 표시된다.

방어자의 문제

코펜스 보고서는 보안팀이 추가 분석 및 조사를 수행하지 못하게 하는 전술이고, 자동화된 보안 크롤러와 샌드박스 환경도 검증 필터를 우회할 수 없기 때문에 공격 분석에 어려움을 겪는다고 덧붙였다.

또한, 공격의 선택적 특성 때문에 위협 인텔리전스 공유를 통한 탐지가 더 어려워진다고 지적했다. 피싱 페이지는 모든 사람에게 악성 콘텐츠를 제공하지 않기 때문에 일부 전통적인 URL 스캐닝 도구는 위협으로 표시하지 않을 수도 있다. 보고서는 “기존 차단 목록이 약화되므로 기업은 행동 분석 및 이상 탐지로 전환해 피싱 캠페인이 최종 사용자에게 도달하기 전에 식별해야 한다”라고 밝혔다.

약간의 과장도 섞여

캐나다에 본사를 둔 보안 인식 교육 회사인 뷰서론 시큐리티(Beauceron Security)의 대표 데이비드 쉽리는 이 전술을 스피어 피싱(spear phishing)이라고 부르는 것은 “약간의 과장”이지만, 스피어 피싱의 속사는 맞다고 말했다.

이유는 오늘날의 “무차별적인 스프레이 공격” 방식의 대량 피싱 캠페인이 이메일 게이트웨이에 의해 탐지되기 때문이다. 위협 행위자는 스피어 피싱과 트롤링 캠페인에 더욱 의존하고 있다. 이 캠페인의 목표는 누가 피싱 시도를 신고할 것인지, 누가 클릭할 것인지, 그리고 메시지의 어느 부분을 클릭할 것인지 측정하는 것이다. 쉽리는 공격자 역시 상황을 파악하려고 노력하고 있다고 말했다.

보고서는 정보 보안 전문가에게 방어 체계가 개선되었음에도 불구하고 피싱이 여전히 위협 행위자의 주요 전술이라는 사실을 상기시켜 준다. 쉽리는 “대기업을 운영한다면 ‘이번 달에 95만 건의 피싱 이메일을 차단했다’는 양에 집착해 잘못된 보안 의식을 가질 수 있다. 그러나 그중 500건이 침투하면 전함도 침몰할 것”이라고 말했다.

쉽리는 CISO가 의심스러운 피싱 이메일을 삭제하는 것뿐만 아니라 직원에게 그 사실의 보고가 중요함을 강조해야 한다고 덧붙였다.

‘방어하기 어렵다’

SANS 연구소의 연구 책임자 요하네스 울리히는 “방어하기가 매우 어렵다”고 말했다. 첫 번째 단계는 자바스크립트 액세스를 제한하는 것이다. 다음으로, 메일 서버는 특정 소스가 API를 사용하는 빈도를 제한하기 위해 요청에 대한 속도 제한을 설정해야 한다. 그러나 ‘적절한’ 속도 제한을 찾는 것은 매우 어렵다.

울리히는 유일한 해결책으로 기존의 인증 방식에서 패스키(Passkey)와 같은 피싱 방지 인증 방식으로 전환하는 것을 들었다. 목표는 사용자 계정 확인을 차단하는 것이 아니라 유출된 인증 정보를 보호하는 것이어야 한다.

이메일 주소가 전달 가능한지 확인하거나 특정 개인과 연관되는 것은 근본적으로 새로운 것이 아니다. 예전에는 공격자가 메일 서버의 “VRFY” 명령을 사용해 주소가 전달 가능한지 확인했다. 이 방법은 여전히 몇 가지 경우에 효과가 있다. 다음으로, 공격자는 이메일 주소가 존재하는지 알아내기 위해 이메일 주소가 존재하지 않을 때의 수신 거부 메시지인 “배달 불가능한 영수증”을 이용했다. 두 가지 방법 모두 이메일 주소가 배달 가능한지를 판단하는 데는 효과적이지만, 해당 주소가 실제 사람과 연결되어 있는지 또는 해당 메시지가 읽혀지는지 여부를 구분하지는 못한다.

울리히에 따르면, 다음 단계는 명백한 스팸 메일을 보내는 것이지만, 거기에 구독 취소 링크를 포함시키는 것이다. 사용자가 “구독 취소” 링크를 클릭하면, 이메일을 열고 읽었음이 확인된다. 따라서 현재 유효한 조언은 모르는 업체에서 온 구독 취소 링크를 클릭하지 말라는 것이다.

웹메일 시스템의 경우, 공격자가 로그인을 시도하는 것만으로 특정 계정이 존재하는지 알아낼 수 있는 경우가 많다. 울리히는 계정이 존재하지 않는 경우, 공격자가 기존 계정에 대한 ‘비밀번호가 잘못되었다’ 등의 응답을 받을 수 있다고 말했다. 지메일이나 핫메일과 같은 공용 시스템의 경우, 공격자가 새 계정을 만들려고 시도할 수도 있으며, 특정 사용자 이름이 이미 사용되고 있는 경우 시스템이 경고 메시지를 표시한다.

울리히는 “캠페인으로 이메일 주소가 존재하는지 실시간으로 확인할 수 있는 기능이 추가된 것 같다”라고 말했다. 대다수 웹메일 시스템은 자바스크립트에서 액세스할 수 있는 API를 기반으로 구축되어 있으며, 공격자는 이러한 API를 사용하거나 유효한 이메일 주소 데이터베이스를 만들거나 자바스크립트 액세스를 제한하는 경우 이메일 서비스 API에 대한 요청을 프록시하는 미들웨어를 만들 수 있다.
dl-itworldkorea@foundryco.com