유출된 이메일을 사용한 피싱 공격 사례

이번주부터 점차 날씨가 더워지는 듯 하다가도 비가 오니 또 선선해지는군요. 이러다가 갑자기 폭염이 올거 같긴 한데, 올해는 그렇게 많이 덥지 않았으면 하는 바람입니다. 이번 글에서 말씀드려볼 내용도 피싱에 관한 내용입니다만.. 피싱 자체를 다루기 보다는, 해커들이 내 정보를 어떻게 알고 이런 피싱 메일들을 보내는지에 대해 초점을 맞춰서 설명드려 보겠습니다.

​

"개인정보를 이용한 크리덴셜 스터핑 공격"에서 이런 말씀을 드렸었죠. 여러분들이 가입한 사이트의 서버가 해커에 의해 해킹 당하게 된다면, 해당 서버에 있는 정보들은 다크웹에 업로드 된다.. 즉, 다크웹 같은 어둠의 경로를 통해서 해커들 사이에서 공유가 된다..라는 의미입니다. 물론 계정정보가 들어있는 해당 서버의 DB에 암호화가 잘 되어있다면 서버가 해킹당했더라도 큰 문제는 없겠지만, 보통 서비스를 시작한지 얼마 안된 스타트업이나 중소기업에서는 그러지 못한 경우가 더러 있죠. 사실 개인정보 암호화의 경우 법으로 지정되어 있기 때문에 그래서는 안되는거지만, 만약 아아디나 비밀번호가 모두 평문으로 저장되어 있다면 그때는 소위 말하는 대환장 파티라고 할 수 밖에 없는 노릇입니다.

​

이전에도 말씀드렸다시피 크리덴셜 스터핑은 우리가 귀찮아서 대부분 사이트에 동일한 아이디와 비밀번호를 사용하기 때문에 발생하는 문제라고 했었죠. 원래는 개인정보가 유출된 기업의 책임이지만 여기선 넘어가도록 하구요. 그래서 어떤 사이트가 해킹당해서 계정정보가 유출되었는데, 해커가 이 계정정보를 이용해서 연락처가 동기화되어있는 구글 서비스에 접속해서 연락처를 다 알아낸다면.. 이땐 보이스피싱과 같은 2차 피해로 이어질 수 있는 겁니다.

​

그럼 이번에는 이메일 정보가 유출되었다고 해보죠. 사실 네이버나 구글과 같은 메일 서버야 워낙 보안이 잘 되어 있어서 유출되도 심각하게 피해를 입진 않지만, 가장 최악은 보안 솔루션이 설치되지 않은 중소기업의 업무 메일 주소가 유출된 경우입니다. 해커가 유출된 업무 메일에 해당 기업의 협력사인척 위장하여 첨부파일에 랜섬웨어와 같은 악성코드를 넣어보낼 수 있지 않을까요? 그렇게 된다면.. 만에 하나 워너크라이 같이 네트워크를 통해서 전파되는 랜섬웨어라면 그 기업은 모든 데이터를 잃어버리게 되겠죠.

​

메일을 통한 지금의 랜섬웨어 공격이 이전과 크게 다른점은 과거에는 메일 본문에서 낯설게 느껴지는 번역체와 누가봐도 열면 안될 것 같은 첨부파일의 엉성함이었다면, 현재는 보낸 사람이나 메일 본문의 내용과 서명 등이 누가봐도 정말 정교하게 작성되어 있다는 점과 사회공학적 기법을 이용한.. 즉, 링크나 첨부파일을 열어볼 수 밖에 없게 만드는 능숙함에 있습니다. 물론 안티 바이러스와 같이 백신에 걸리지 않기 위한 다양한 공격 기법의 발전도 한 몫 했겠죠. 그렇기 때문에 사용자 입장에서는 더더욱 주의해야할 것 같습니다.

 

 

해킹으로 유출된 이메일 계정, 정교한 ‘한글 피싱’에 재사용된다

 

그래서 오늘은 간단하게 해커가 유출된 정보를 바탕으로 어떻게 공격을 하는지 말씀을 드렸구요. 위의 기사는 한 번쯤 정독할 만한 가치가 있기 때문에, 잠깐이라도 시간을 내서 읽어보시는 걸 추천드립니다. 이번 글에서 말씀드릴 내용은 여기까지구요. 다음 글에서는 피싱 공격에 사용되는 랜섬웨어에 대해 더 자세히 설명하는 글을 써보도록 하겠습니다. 그러면 오늘은 이쯤에서 마치죠. 감사합니다.