우리회사 임직원을 노리는 ‘피싱’ 제대로 알기

JiranSecurity

2016년 6월 미국 FBI에서 신종 비즈니스 이메일 사기 수법인 ‘스캠’에 대한 주의 경보를 발표했습니다. 작년 2015년 1월부터 발생한 피해액만 약 31억달러(약 3조 4,100억원)에 상당하는 규모이고, 전세계 79개국 22,000명에 달하는 피해자를 양산하는 수준으로 그 피해 규모가 커졌기 때문입니다. FBI까지 경고할 만큼 위력을 떨치고 있는 스캠에 주로 이메일을 통한 개인을 타겟으로 한 ‘스피어 피싱’ 방식입니다. 그런데 2000년대 초 등장했던 ‘피싱’ 공격이 2010년대인 지금에 와서 왜 더욱 기승을 부리는 걸까요? 또 피싱으로 인해 입을 수 있는 피해는 어느 정도일까요?

 

Fishing? Phishing!

 

4영어로 피싱(Fishig)은 물고기를 낚는 낚시라는 뜻이 있죠! 미끼로 물고기를 유인해 낚는 것처럼 개인정보(Private data)를 낚는다(Fishing)는 의미로 두 단어를 합성한 단어가 바로 Phishing입니다. 피싱 범죄자들은 다양한 방법을 통해 피싱 범죄를 저지르는데요, 가장 유명한 공공기관, 금융기관을 사칭한 전화와 이메일을 통한 피싱이 가장 대표적입니다. 특히 기업에서는 대부분의 업무가 이메일을 통해서 이뤄지기 때문에 이메일을 통한 피싱이 가장 빈번하게 일어나는 정보 유출 위협이라고 할 수 있습니다.

피싱 외에도 스미싱, 파밍, 스푸핑, 스캠 등 온라인을 통한 개인정보 탈취 혹은 악성코드 유포 위협을 이르는 다양한 용어들이 있는데, 방식에 차이가 있을 뿐 공통적으로는 개인을 통해 정보 혹은 금전을 탈취하고자 하는 것이 목적이라고 볼 수 있습니다.

용어
스미싱 문자메시지(SMS)와 피싱(Phishing)의 합성어, 문자메시지로 악성URL을 배포하고 피해자가 해당 URL 접속 시 악성코드를 설치해 허위 결제 혹은 정보 탈취하는 수법
파밍 피싱의 한 유형이면서 한단계 진화한 형태로 악성코드 감염 PC를 조작해 사용자가 정상적인 홈페이지가 아닌 피싱 사이트로 접속하도록 유도하여 정보 탈취하는 수법
스피어피싱 불특정 다수의 개인정보를 빼내는 일반적인 피싱에서 한단계 진화해 특정인을 타겟으로 이메일 계정을 해킹, 개인정보 및 특정정보를 빼내는 공격
스푸핑 ‘속이다’는 뜻으로, MAC 주소, IP 주소, 포트 등의 정보를 위장하여 접근 제어를 우회하는 방식으로 공격대상을 속인 후 가짜 웹사이트 등에서 개인정보를 입력하도록 유도
스니핑 네트워크 상에서 다른 사람의 패킷을 엿보는 행위로 IT, 패스워드 등의 주요 정보를 탈취하는 등의 공격방식. 패킷 암호화 등의 방법으로 대응이 가능함

 

엔드유저를 낚으려는 이유

최근 기업 정보 유출 통로를 분석한 조사를 살펴보면 기업의 주요 정보를 담고 있는 서버, 네트워크를 타겟으로 한 공격보다, 오히려 개인이 사이버 공격의 타겟으로 주목받고 있는 것을 알 수 있습니다. 여기서 개인은 기업, 개인의 구분이기 보다는 개인, 기업을 통틀어 구성하는 엔드포인트 레벨의 유저을 의미합니다. 2000년대 후반 개인을 통한 정보 유출 사고의 비중을 약 10% 전후에 그쳤지만 2015년에는 그 비중이 약 두 배 증가한 20%까지 확대된 것을 알 수 있고, 사용자 디바이스가 유출 루트가 된 사고의 비중도 10% 후반대에서 30% 이상까지 확대되었습니다. 왜 개인에 대한 피싱 공격이 늘어나는 걸까요? 개인, 즉 엔드 유저에 대해 공격이 집중되는 것은 IT 환경의 변화와 밀접한 연관이 있습니다.

 

1
출처 : Verizon 2016 Data Breach Investigations Report

 

CLOUD

클라우드는 기존 데이터 스토리지에 대한 관리 혹은 제어 방식에 변화를 가져왔습니다. 데이터, 인프라가 클라우드 플랫폼으로 이전되면서 기존의 중앙 집중형이었던 기업의 데이터 저장, 관리 시스템이 분산되었기 때문에 엔드 유저를 통해서 기업 정보에 접근할 수 있는 환경이 조성되었기 때문입니다.

SHADOW IT

위에서 언급한 클라우드, 모바일 등의 IT 환경 확산으로 쉐도우 IT(IT Glossary 참고 : http://mi.jiransecurity.com/glossary/shadowit)가 늘어나면서 공식적으로 규격화된 IT 개발 기준이 적용되지 않은 시스템이 확산되고 있습니다. 따라서 이러한 쉐도우 IT를 사용하는 엔드 유저를 타겟으로 한 공격이 늘고 있는 것이죠.

모바일오피스

오늘날의 개인 사용자들은 일주일 하루 24시간, 어디서라도 기업 데이터에 접근이 가능하고, 데이터 활용이 가능한 환경에서 업무를 하고 있죠. 이렇게 기업-개인간의 연결은 편의성을 높이기도 하지만, 개인 사용자를 공격 위험에 더욱 노출시키는 원인이기도 합니다.

IT기술 변화

위 내용들을 통틀어 정리한 키워드이기도 한데요, IT 기술의 빠른 변화는 엔드 유저들에게도 IT 리스크에 대한 이해, IT 도입 및 활용에 대한 결정 등을 요구하고 있습니다. 기존에는 기업만의 고민이었지만 이제는 엔드 유저들까지 IT 결정을 함께 하는 환경이 되었기 때문에 엔드 유저의 영향력이 커졌고, 또 사이버 공격에서도 유저를 고려해야하는 환경이 된 것입니다.

 

위와 IT 환경 변화는 개인이 기업 내부 침투까지 이어지는 하는 출입구 역할을 한다는 것을 의미합니다. 이는 최근 발생했던 APT 사건, 사고들이 모두 내부 임직원의 PC에서 시작되었다는 것만 보더라도 알 수 있죠.

 

 

물고기는 그대론데, 낚시 수법은 진화한다

 

개인은 위에서 언급한 이유로 인해 보안 위협에 노출되기도 쉽고, 또 위협을 통해 공격 받기도 쉽습니다. 하지만 ‘정말 피싱 공격이 아직도 위험해?’, ’피싱은 구식 공격 아닌가?’ 하며 오히려 피싱 공격의 위협에 대해 과소평가하거나 반문하는 사람들이 많은 것도 사실입니다. 과연 피싱 공격은 더 이상 위협적이지 않은 구식 공격일까요? Verison에서 발표한 데이터 유출 보고서를 통해 피싱 공격이 얼마나 많이 이뤄지고 있고, 또 얼마나 쉽게 공격에 성공하고 있는지 알 수 있습니다.

 

2
출처 : Verizon 2016 Data Breach Investigations Report (RSA 재가공 이미지)

 

이처럼 피싱 공격은 아주 짧은 시간 안에 이뤄집니다. 그리고 2000년대부터 피싱 공격이 성행해왔지만, IT 환경 변화에 따라 끊임없이 진화하며 지금까지도 기업에 큰 피해를 미치고 있는 것이 사실입니다. 재작년부터 사회적으로 큰 파장을 몰고 온 APT 공격도 특정 타겟을 대상으로 한 장기적이고 지속적인 공격을 의미하는 큰 개념이며, APT 공격에 주로 사용된 방식은 이메일을 통한 피싱 공격이 가장 많았습니다.

이럼에도 피싱 공격의 피해가 어느 정도인지 가늠하는 것은 쉽지 않습니다. 기업들이 아직까지 일어난 적이 없다는 이유로 보안 대책 수립 혹은 내부 교육에 소홀히하게 되는 이유이기도 하죠. 하지만 피싱 공격으로 인한 비용에 대해 분석한 보고서에 따르면 기업 내 유입된 멀웨어 하나를 탐지, 대응, 처리하는데 드는 비용은 약 189만 달러(약 20억원)로 추산할 수 있다고 합니다. 여기서 피싱 공격을 통해 유입되는 멀웨어의 비중이 약 11% 정도이므로 피싱 공격을 통해 유입된 멀웨어에 대응하기 위한 비용은 최소 약 20만 8천달러(약 2.3억원)으로 추산할 수 있는 것이죠.

 

3
출처 : Phonemon Institute, Cost of Phishing & Value of Employee Training (RSA 재가공 이미지)

 

 

문제는 이 뿐 만이 아니라는 것인데요, 멀웨어 뿐 아니라 자격 증명 탈취, 생산성 저하 등으로 인한 손실까지 합산한다면, 평균 규모의 기업의 피싱으로 인한 연간 소요 비용은 377만 달러(약 41.5억원) 이상이라고 합니다.

하지만 이렇게 소요되는 비용을 피싱 대응을 위한 시스템 구축 혹은 임직원 교육 등을 통해 감축할 수 있다면 어떨까요? 이와 같은 활동들은 약 64% 정도의 개선 효과를 가져온다고 합니다. 따라서 이는 피싱으로 인한 피해 방지 효과 외에 연간 총 180만 달러 혹은 유저당 188 달러의 비용 절감 효과를 가져온다는 것을 의미합니다.

 

 

피싱을 피하는 방법

가장 최근 출현한 대표적인 피싱 공격 사례는 글머리에서 언급된 ‘스캠’으로, 거래 담당자들의 이메일을 직접 해킹하여 중간에서 대금을 탈취하는 등으로 피해를 입히고 있습니다. 스캠과 같은 위협에 대해 해외접속 차단과 같은 메일 서비스 내 기능을 활용하기도 하지만 피싱 수법이 날로 교묘해지기 때문에 충분한 대응책이 되지는 못하고 있습니다.

피싱을 방지하기 위해서는 수발신 메일에 대한 필터링, 수발신자에 대한 인증 등 스캠 대응 기능을 갖춘 보안 솔루션 도입이 가장 효과적입니다. 하지만 솔루션 도입과 더불어 사용자가 의심스러운 메일에 대해서는 한번 더 주의하는 인식 개선이 병행되지 않는다면 그 효과도 절감되기 때문에 기업 임직원에 대한 끊임없는 교육과 인식 개선이 꼭 수반되어야 합니다.

 

 

[참고자료]

1) RSA Conference 2017 ‘Phish Your Employees Now or Be Phished!’, Todd Fitzgerald


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록