사이버 공격의 시작과 끝, 악성메일 파헤치기: ①악성메일은 무엇인가?

9분

2022.11.23.

7.9K

"귀하의 '코로나19 방역수칙’ 위반 피의 사건에 관하여 문의할 일이 있으니 경찰서로 출석하여 주시기 바랍니다."

어느 날 코로나19 방역수칙 위반으로 경찰 출석 요구를 받는다면 어떨까? 아마도 방역수칙을 위반한 날짜의 행적을 되짚으며 하루 종일 불안감에 휩싸일 것이다. 해킹 공격자는 접속 계정 탈취나 악성코드 설치의 공격 성공률 향상을 위해 공공기관 사칭, 택배 배송 사칭, 보안메일 사칭, 사회적 이슈 활용, 주식시장 분석 자료 등 사람의 호기심과 불안심리를 이용한 악성메일을 끊임없이 배포해 피해자를 물색한다.

코로나19로 촉발된 디지털 전환 가속화와 근무환경 유연화로 인해 악성메일에 의한 해킹사고도 증가했다. 이로 인해 엔데믹 시대에 맞는 악성메일 대응전략의 필요성이 강조되고 있다. 이를 위해 총 2편에 걸쳐 악성메일의 공격 유형과 피해 사례를 분석하고, 악성메일 피해 최소화를 위한 기업과 사용자 측면의 대응 방안에 대해서 알아보겠다.

악성메일의 개념과 구성요소

악성메일은 메일 서비스를 통해 메일 수신자의 직∙간접적인 피해를 유발하는 사이버 공격을 의미한다. 악성코드나 악성코드 유포지 등 직접적인 공격 기법이 적용되어야 악성메일이라고 생각하기 쉽지만, 스캠 메일(사기 메일)처럼 직접적인 공격 기법이 포함되지 않아도 메일 수신자의 경제적∙사회적 피해가 발생하면 악성메일에 포함된다.

악성메일의 분류

악성메일은 공격 목적, 공격 유형, 공격 기법에 따라 3가지로 분류된다.

1) 공격 목적

공격 목적은 공격 대상인 메일 수신자에 미치는 공격 영향에 따라 분류된다. 크리덴셜 스터핑(Credential Stuffing, 어딘가에서 유출된 타인의 정보를 다른 서비스에 무작위로 대입하여 로그인하는 방식의 사이버 공격)을 위해 로그인 정보를 탈취하거나, 내부 중요 정보 유출을 위해 악성코드를 감염시키는 행위가 대표적인 공격 목적이다.

2) 공격 유형

공격 유형은 공격 대상과 공격 방법에 따라 세분화될 수 있다. 널리 알려진 공격 유형으로는 피싱(Phishing)과 스피어 피싱(Spear Phishing)이 있다. 이외에도 웨일링(Whaling), BEC(Business Email Compromise, 기업 이메일 침해)/EAC(Email Account Compromise, 이메일 계정 침해), 이메일 스캠(Email Scam) 등 다양한 공격 유형이 존재한다.

3) 공격 기법

공격 기법은 악성메일 공격에 사용되는 모든 관리적∙기술적 공격 방법을 통칭한다. 사람의 심리를 이용하는 사회공학기법이나 지능형 지속 공격인 APT 공격 등이 있다.

악성메일 공격 요소

공격 대상인 메일 수신자에게 악성메일을 전송하기 위해서는 메일 서비스에서 정상적으로 제공하는 메일 송∙수신자 주소, 메일 제목, 참조, 파일 첨부, 메일 본문 등의 기능을 이용한다. 악성메일에서 주로 사용하는 메일 서비스의 공격 요소는 메일 헤더 조작, 악성 첨부파일(일반 첨부), 악성 첨부파일(대용량 첨부), 악성 링크(악성 URL) 삽입 등 4가지로 분류된다.

1) 메일 헤더 조작

정상 메일 탈취 및 이메일 스푸핑 등을 통해 메일 헤더의 송, 수신 정보를 조작하는 공격 방법이다. 메일 발신자 정보를 신뢰성 있는 기관이나 업무 담당자로 사칭하여, 메일 수신자로 하여금 안심하고 메일을 열람할 수 있도록 유도한다. 메일 수신자가 쉽게 식별하지 못하도록 첨자(.) 추가, 숫자 배치 변경, 숫자 삭제, 도메인 변경, 대소문자 변경 등을 조작하여 정상 메일 주소와 유사한 메일 주소를 생성하기 때문에 유심히 살펴보지 않으면 쉽게 지나칠 수밖에 없다.

2) 악성 첨부파일(일반 첨부)

메일 서비스의 첨부 기능은 첨부파일 용량 및 발신자의 선택 여부에 따라 일반 첨부와 대용량 첨부로 분류된다. 일반 첨부는 메일 서비스의 정책에 따라서 EXE, BAT, SH 등 실행 가능한 파일 첨부가 제한되는 경우가 있기 때문에, 메일 수신자의 의심을 피하기 위해서 PDF, HWP, DOC 등 문서파일에 악성코드를 삽입하는 공격 방식을 주로 사용하고 있다.

백신 프로그램 탐지를 우회하기 위해서 압축파일에 패스워드를 설명하고, 메일 본문에 별도로 기입하여 메일 수신자만 확인할 수 있게 한다. 이러한 방법은 메일 서버에서 악성메일을 탐지하기 위한 보안 솔루션이 메일에 포함된 악성코드를 분석하지 못하도록 하는 효과가 있다.

3) 악성 첨부파일(대용량 첨부)

대용량 첨부의 경우 첨부파일 용량에 따라, 백신 프로그램의 검사가 제외되기 때문에 탐지 우회를 목적으로 대용량 첨부 기능을 사용한다. 그 외에도 메일 서비스에서 제공하는 대용량 첨부를 사용하지 않고, 공격자가 정상 대용량 첨부와 유사하게 만든 파일 다운로드 이미지를 클릭하면 악성 URL로 리다이렉션(Redirection) 되도록 공격하기도 한다.

4) 악성링크(악성 URL) 삽입

메일 본문에 악성 URL을 하이퍼링크로 삽입해서, 링크 클릭 시에 악성 URL로 리다이렉션하는 공격 방식이다. 메일 수신자가 악성 URL을 식별하기 어렵게 악성 URL을 난독화하거나, 단축 URL로 만들어서 삽입하기도 한다.

메일을 이용한 악성메일 공격 유형

악성메일의 공격 유형은 공격 대상과 공격 방법에 따라서 피싱, 스피어 피싱, BEC 등으로 분류한다.

대량 전송 메일 공격, 피싱

피싱은 신뢰도 높은 기관이나 사용자를 사칭하는 가장 보편적인 메일 해킹 공격이다. 불특정 다수를 대상으로 메일을 유포하기 때문에 계정 탈취나 악성코드 다운로드 등이 주요 공격 목적이다. 메일 발신자 정보를 조작하기 위해 정상 메일 탈취나 메일 헤더 정보를 조작하는 이메일 스푸핑 공격을 주로 사용한다.

카카오 데이터센터 화재, 연말정산 변경사항, 해외 카드결제 알림, 연말 프로모션 세일, 송년회 등 사람의 심리를 이용하는 키워드를 활용해 메일을 발송한다. 때문에 고도화된 해킹 공격 기술을 사용하지 않아도 메일 수신자들이 자발적으로 악성코드를 설치하거나, 악성 URL에 접속하여 계정 정보를 입력하도록 유도한다.

표적형 메일 공격, 스피어 피싱

무작위 대상을 공격하는 피싱과는 달리, 물고기를 잡을 때 사용하는 작살인 스피어(Spear)를 결합해서 구체적인 공격 대상을 선별 후 공격하는 표적형 메일 공격을 스피어 피싱이라고 한다. 민감한 데이터나 기업 내부 인프라 접근을 목표로 공격을 감행하기 때문에, 일반 사용자보다는 금융권 보안담당자, 정부기관 주요 인사 등 높은 권한을 보유한 사용자를 공격한다. 스피어 피싱 공격 시에 메일 수신자가 관심을 가질만한 사용자 맞춤형 메일을 발송한다. 공개된 정보와 해킹 공격을 통해 확보한 개인 정보로 피해 대상을 프로파일링 하기 때문에, 일반 메일 공격보다는 공수가 많이 소요된다. 하지만 공격에 성공하면 발생하는 파급력은 상상을 초월한다.

수입, 수출업자를 타깃으로 거래처를 사칭해서 임의의 거래계좌로 무역대금 송금을 요구하거나, 국가기반 시설 안전담당자를 타깃으로 악성 한글 파일을 첨부해 국가기반 시설의 기밀자료를 유출하는 공격을 사용한다. 가장 빈번한 공격 형태는 기업의 상시 채용사이트에 이력서 파일로 위장한 악성코드를 발송해서 기업 개인 정보와 암호화폐를 유출하기도 한다. 스피어 피싱 공격으로 인한 피해는 메일 수신자에 한정된 것이 아니라, APT 공격의 시작점으로 활용되기 때문에 사고가 발생하면 대규모 피해로 이어진다.

조직의 C Level로 위장하기, BEC

피싱이나 스피어 피싱에 비해서 다소 생소한 공격 기법인 BEC는 기업 이메일 침해(Business Email Compromise)로 공격자가 조직의 임직원을 사칭하는 공격이다. 임직원을 사칭해서 공격 효과를 극대화하기 위해서는 주로 임원인 C Level을 사칭한다. 임원으로 사칭해서 긴급 처리가 필요한 업무지시 메일을 발송하고, 승인되지 않은 계좌번호로 긴급 송금 지시를 내린다. 공격자는 송금 지시에 앞서 임원 메일 계정을 탈취해, 일정 기간 동안 메일 내용을 숙지하고 회사 프로세스나 절차를 악용해서 공격하기 때문에 메일 수신자는 별다른 의심 없이 송금하게 된다.

기업 이메일 침해 (BEC, Business Email Compromise) — <출처: 팔로알토 네트웍스>

사이버 보안업체의 보고서에 따르면, 2022년 발생한 사이버 공격 사례 중 랜섬웨어를 뒤이어 BEC가 많이 발생했다. BEC는 피싱이나 스피어 피싱과 달리 악성코드나 악성 URL 등 공격 기법이 사용되지 않고, 정상적인 내부 업무 프로세스와 절차를 악용하기 때문에 피해 사실을 즉시 인지하기 어렵다. 대부분 BEC 공격으로 피해가 발생하면 송금이 완료된 이후에 인지하는 경우가 많다.

점점 지능화되는 악성메일 공격 양상

악성메일은 사회공학기법과 취약점을 활용해 점점 지능화, 고도화되고 있는 추세다. 공격자는 사회공학기법을 통해 사용자의 눈길을 끌고, 취약점을 활용해 악성코드나 추가 악성코드를 다운로드할 수 있는 악성 URL로 클릭을 유도한다.

악성코드 설치가 성공하게 되면 메일 수신자의 PC에서 민감정보 및 개인정보를 탈취할 수 있게 된다. 공격자는 메일 수신자 PC 외에도 더 많은 피해 대상을 물색하기 위해서 추가 악성코드 다운로드를 유도한다. 리버스 커넥션이나 원격접속이 가능한 RAT 악성코드를 이용하거나, 내부 인프라의 서비스 실행 여부를 확인하기 위해 스캐닝 구동 및 크리덴셜 탈취 도구를 통해 접속에 성공한다.

공격 과정이 반복되면서 공격자가 처음 획득한 권한보다 높은 관리자 권한이나 Active Directory 등 다수의 시스템에 접근할 수 있는 접근 경로를 확보한다. 결국 최종적으로 조직 내 모든 인프라에 접근할 수 있게 된다.

악성메일 피해 최소화를 위한 첫걸음

악성메일이라고 하면 악성코드나 악성링크를 포함해야 한다고 생각하기 쉽지만, 메일 수신자에게 직, 간접적인 피해를 유발할 수 있으면 모두 악성메일이다. 공격자는 직접 접근이 어려운 내부 인프라에 접근하기 위해서 외부에서도 접근이 가능한 메일을 매개체로 공격을 시작하는 경우가 많다.

특히 악성메일은 사람의 불안심리를 기반으로 사회공학기법을 사용하기 때문에, 기술적인 대응으론 한계가 있어 반드시 사용자의 보안 인식 제고가 수반되어야 한다. 고도화된 사이버 보안 기술과 방법론으로 세워진 보안의 철옹성도 악성메일이라는 트로이 목마에 함락될 수 있기 때문에, 사이버 공격의 시작점인 메일 보안을 더욱 강화해야 한다. 이를 위해 다음 편에서는 기업과 사용자 측면에서 악성메일 대응 방안에 대해 살펴보고자 한다.

로그인하고 자유롭게 의견을 남겨주세요.