네이버를 사칭한 피싱 메일 공격

오늘은 다양한 해킹 공격들 중 저희에게 좀 더 잘 알려진 피싱 공격을 설명드릴까 합니다. 아마 기본적인 내용은 다들 아시고 계실꺼 같은데요. 피싱 공격에 당하지 않으셨으면 좋겠지만, 제 주변 지인도 그렇고 한번 쯤 당할 뻔한 분들도 계시리라 봅니다. 저도 가끔 생각없이 모르는 메일을 열어보고 메일 본문에 포함된 링크를 클릭하고 나서야 아차 싶을 때가 있는데, 그럴 때 보면 거의 다 피싱 사이트이더군요. 이번 에세이에서 말씀드리는 피싱의 개념을 잘 이해하셔야 다음 글에서 소개할 복잡한 공격에 대해 이해하실 수 있기에, 피싱에 대해 간단하고 명료하게 설명드리도록 하겠습니다.

​

일단 피싱(Pishing)이라는 단어에 대해서 설명드리도록 하죠. 이미 여러분들도 이 단어 자체가 낚시라는 'Fishing'에서 비롯되었다는 것은 아실꺼라고 생각합니다. 'Fishing'의 'F'를 빼고 개인 정보를 영어로 했을 때 'Private data'라는 단어에서 앞 글자 'P'만 따와서 합성어로 만든거죠. 즉, 해커가 개인 정보를 낚아서 범죄 행위에 이용하는 공격이다..라고 생각하시면 무리가 없을 것 같습니다.

 

그래서 이 피싱 공격이 진행되는 과정을 설명드리면, 먼저 해커가 특정 사이트를 거의 비슷하게 만들어서 이를 메일 본문에 해당 사이트의 URL을 포함하여 메일을 전송합니다. 보통 금융 사이트나, 네이버 같은 저희에게 익숙한 사이트를 만들죠. 그 메일을 받은 사람이 이 URL을 들어가게 되면, 보통은 아이디와 비밀번호를 얻어내기 위해 로그인 페이지를 보여주거나 개인정보를 입력하게끔 유도하는데.. 여기에 속아서 정보를 입력하여 확인 버튼을 누르는 순간 그 사람의 개인정보는 해커의 서버로 전송이 됩니다.

 

요즘은 해커들이 이런 피싱 사이트 자체를 특정 웹사이트와 완전히 똑같이 제작하고, URL 또한 "naver.com"을 "navar.com" 이런식으로 저희가 잘 눈치채지 못하도록 교묘하게 바꿉니다. URL의 주소를 바꾸는 공격은 타이포스쿼팅이라고 하는데 이후 다룰 기회가 있을 겁니다. 여기에 만약 '계정 비밀번호가 유출되었으니 변경해라'라는 제목의 피싱 메일에서 보낸 사람 또한 네이버 관리자처럼 admin으로 바꿔서 보내거나 하기 때문에 더욱 의심하기가 어렵죠. 실제로 파이썬에서 전자우편 프로토콜(SMTP) 라이브러리를 통해 메일을 보내면 받는 사람을 변경하는건 전혀 어렵지 않습니다.

 

이런식으로 피해자의 아이디나 비밀번호와 같은 개인정보를 얻었다면 해커가 다음으로 할 일은 무엇인지 감이 오시죠. 네.. 저번 글에서 언급했던 "크리덴셜 스터핑 공격"이겠죠. 피싱을 통해 얻은 피해자와 아이디와 비밀번호를 다른 사이트에 대입하여 보는겁니다. 그런데 해커가 얻어낸 개인정보를 통해 금전적 이득을 취할 수 있겠지만 여기서 멈추지 않고, 그 피해자의 메일을 확인해서 어느 사람과 메일로 연락을 하는지 확인할 수 있겠죠. 그래서 피해자가 A라는 사람과 연락을 자주한다면, 이 A라는 사람에게 실제 피해자가 메일을 보낸 것처럼 위장해서 다시 피싱 메일을 뿌리는.. 이런 추가 공격이 가능한 시나리오를 생각해 볼 수 있습니다.

​

피싱 공격 자체가 워낙 옛날부터 있어왔던 수법이지만, 해커 입장에서는 가장 효율적인 공격 방법 중 한 가지이기 때문에 나날이 수법이 교묘해져서 피해가 증가하고 있다고 하는데요. 물론 보안 업체에서 메일 보안 솔루션을 개발하고 있고, 기업에서도 여러 대응 방법을 강구하고 있지만 완전히 근절할 수는 없는 노릇입니다. 실제로는 네이버만 해도 대다수 많은 피싱 메일들이 메일 서버를 통해서 차단되고 있는데, 이 필터링을 교묘하게 피해가는 애들이 나오기 때문에 더 그런 것 같습니다. 이런 메일 서버니, 메일 보안 솔루션이니 하는 내용들은 설명하려면 길어지기 때문에 이후에 또 다뤄보도록 하겠습니다.

 

[긴급] 더 정교해진 ‘네이버 사칭 피싱 메일’ 발견... 정부지원 해커 공격

 

이러한 피싱 공격을 예방하기 위해 저희가 할 수 있는 일은 네이버에서 보낸 메일이라도 실제 네이버에서 보낸건지 한 번 더 확인해보는 수 밖에 없을 것으로 생각됩니다. 그리고 피싱 메일에서 URL을 클릭했을 때 로그인 페이지가 나온다면, 메일 본문의 URL이 아닌 실제 로그인 사이트로 들어간 후 확인하는 이런 세심함이 필요할 것 같습니다. 이번 에세이에서는 피싱 공격을 처음 설명드리기 때문에 여러분들에게 최대한 익숙한 네이버를 사칭한 피싱 메일 사례의 기사를 인용했습니다. 피싱에 대해 잘 모르시는 분이라면 도움이 될 만한 기사이니 읽으시면 좋을 것 같네요. 오늘은 여기까지 말씀드리도록 하겠습니다. 감사합니다.