전문가를 타겟으로 한 스피어피싱 사례

오늘 갈무리해볼 기사는 이전 글인 "회계법인을 사칭한 스피어피싱 공격"에서 소개드린 내용과 비슷한 사례입니다. 여태까지는 '보안뉴스' 매체의 기사만 인용했었는데 이번에는 '데일리시큐'라고 하는 매체에서 괜찮은 내용이 있길래 가져와 봤습니다. 자.. 그럼 오늘도 짧게 정리해보도록 하죠.

​

어제 말씀드린 스피어피싱에 대해 짧게 요약하자면.. 불특정 다수가 아닌, 특정한 개인이나 기업을 대상으로 한 일종의 피싱 공격이라고 설명드렸습니다. 그래서 해커가 좀 더 공들여서 사전에 정보를 수집한 후 공격하기 때문에, 일반 피싱보다는 더 정교한 방식이다..라는 점을 강조했죠. 그리고 이번에 설명드릴 내용에는 사람의 심리를 이용한 방법도 추가되어 있어서, 알고계시면 이런 악성 메일에 속지 않을 가능성이 높아지지 않을까 생각합니다.

​

인용한 기사에서는 안보 연구 전문가를 타겟으로 해서 안보 관련 설문지로 사칭해 메일을 보냈다고 나옵니다. 여기서 해커가 좀 더 머리를 썼다고 느낄 수 있는게.. 처음에는 악성 문서가 없는 메일을 보내고, 점차 신뢰도를 높인 후 사례금을 미끼로 악성 문서를 열도록 유도하는 방법을 사용한 점 입니다. 이전에 말씀드린 것처럼 좀 더 시간을 들여서 정교하게 공격을 한게 보이죠? 그런데 여기서.. 제가 악성 문서라는 말을 처음 언급했는데요.

 

이전 글들에서는 첨부 파일에 악성 문서로 위장한 실행파일.. 즉, 아이콘 이미지는 PDF인데 확장자가 EXE 파일여서 실제로는 실행파일인 경우가 있다고 말씀드렸죠. 사실 이 같은 경우는 메일 서버에서 EXE 파일을 필터링하지 않았을 때 성행하던 방식이었구요. 현재는 대부분의 메일 서버가 실행형 첨부파일은 모두 필터링하고 있기 때문에, 이제 거의 통하지 않아서 압축을 해서 우회하거나 별도로 악성 문서를 만들어서 보내고 있습니다.

​

실행파일 필터링을 우회하기 위해 압축해서 보내는 케이스는 "입사지원서로 위장한 랜섬웨어 공격"에서 자세히 설명드렸는데요. 여기서는 한컴 한글 문서가 악성 문서로 만들어지는 과정에 대해 간단히 이야기해보죠. 저희가 자주 쓰는 한컴 한글에서는 매크로라는 기능을 사용할 수 있습니다. 이 매크로라는 것은 자주 사용하는 작업을 반복해서 쓰기 위해 저장해두는 자동화 스크립트..정도로 이해하시면 됩니다. 보통 게임에서 매크로라고 하면 사냥터에서 자기가 알아서 사냥을 해주는 것인데.. 게임에서 자동 사냥을 매크로로 수행하는 것과 동일하게 문서에서도 매크로를 이용하여 반복적인 작업을 할 수 있다.. 정도로 생각하시고 넘어가죠.

 

보통 이 매크로는 자바 스크립트라는 언어를 이용해서 작성이 되는데, 사용자가 직접 편집을 할 수 있고 자바 스크립트의 모든 함수를 사용할 수 있다보니 해커가 한글 문서에 악성코드를 삽입해서 악성 문서를 만드는 경우가 생깁니다. 이 악성 문서가 어떤 방식으로 동작하는지는 추후 설명하도록 하고 일단 요런 방식으로 악성 문서를 만들 수 있다.. 정도만 아시고 계시면 충분하실 것 같습니다.

 

외교-안보-국방-통일 분야 전문가 대상 사이버 표적 공격 급증 - 데일리시큐

 

위의 기사에서는 이런 악성 문서를 만드는 다양한 방법과 이미지 악성코드를 은닉하는 사례도 소개하고 있는데, 기회가 된다면 이후 에세이에서 다뤄보도록 하겠습니다. 지금은 메일의 첨부파일에 실행파일형 악성코드 외에도 악성 문서 같은 이런 다양한 방식으로 오기도 하는구나..라고 생각하시고 이에 대한 경각심을 가지면 좋을 것 같습니다. 오늘 설명드릴 내용은 여기까지 입니다. 그럼 마치도록 하죠. 감사합니다.