네이버 고객센터 위장 피싱 메일 분석

최근 들어서 거의 일주일에 한번 꼴로 피싱 메일을 받고 있는데, 이번에는 네이버 고객센터로 위장한 피싱 메일이 와서 이를 분석해 봤다.

이전까지의 피싱 메일들이 cafe24와 같은 호스팅 사이트를 사용하여 더미 페이지를 만들고 해커가 만들어 놓은 피싱 사이트로 리다이렉션 시키는 형태로 동작했는데, 이번에는 특정 사이트를 해킹해서 일부 서브 도메인을 피싱 사이트로 리다이렉션 시키는데 이용한 것으로 보인다.

네이버에서 여전히 이런 피싱 메일들을 필터링하지 못하고 있는 것으로 보아, 메일 보안 솔루션에서는 URL 동적 분석을 이용한 탐지가 아닌 악성 DB 구축 후 시그니처 탐지 형태로 대응하고 있는 것으로 생각된다(아니면 동적 탐지는 하고 있지만 피싱 사이트 탐지 측면에서 성능이 조금 떨어진다던가..).

​

이번에 받은 메일은 아래와 같이 내 계정에서 발송된 메일이 스팸으로 의심되어 메일 발송을 제한했고, 현재는 정상적으로 사용 가능하지만 보안을 위해 비밀번호를 변경해야하니, URL 링크를 클릭해서 비밀번호를 변경해야 한다고 말하고 있다.

 

위의 메일에서 로그인 보안 기능 바로가기 문장의 URL을 복사해보면, "http://demo[.]***[.]com/wp-content /upgrade/upload[.]php?otp=***&secret=***"인데, 앞의 "demo[.]***[.]com" 사이트를 접속해보니 해외의 일반적인 음원 사이트로 보였다.

아마 해커들이 해당 사이트의 서버를 해킹하고 피싱 사이트로 리다이렉션되는 스크립트를 올려놓은 것으로 보이며, 일종의 공급망 공격(Supply Chain Attack) 형태라고 생각하면 될 것 같다.

​

URL에 wp-content가 포함되는 것으로 보아 워드프레스로 만든 것으로 보이는데, 워낙에 워드프레스 취약점이 많기 때문에 파일 업로드 취약점과 같은 취약점을 가지고 php 스크립트를 서버에 올리지 않았을까 싶다.

해당 스크립트에서는 GET Method 파라미터로 otp(계정 아이디)와 secret(리다이렉션 할 페이지 이름)을 BASE64 인코딩 형태로 전달하고 있으며, secret에는 기본적으로 security, otp에는 자신의 아이디가 하드코딩 되어 메일로 온다.

​

otp 파라미터를 abcde의 BASE64 인코딩하여 전달하면 아래와 같은 피싱 사이트로 이동되며, 보통의 사이트들에서 마이페이지나 보안 설정을 할 때 비밀번호를 한번 더 입력하도록 하는 것처럼 비밀번호를 입력하도록 하고 있다.

 

위 피싱 사이트의 UI는 네이버에서 2차 인증을 할 때 비밀번호를 재확인하는 페이지와 거의 동일하게 구현되어 있으며, 사실 URL 주소를 보면 확실히 다른 것을 알 수 있으나 세심히 보지 않는 순간 당할 수 있다.

심지어 이 피싱 사이트의 경우 로그인 페이지만 구현해서 다른 버튼을 누르면 404 에러가 뜨던 초기와 달리, 다양한 서브 도메인을 둠으로써 사용자가 더 헷갈리도록 만들었다.

특히 아래와 같이 네이버 정책 페이지도 실제 네이버와 동일하게 구현된 것을 보니 피싱 사이트를 만드는데 엄청난 공을 들인 것으로 보인다.

 

물론 httcrack과 같은 웹 크롤러를 이용해서 HTML과 자바스크립트 코드를 카피하여 쉽게 구현할 수 있겠지만, 이런 디테일까지 신경쓰는 것을 보면 작정하고 만든 것처럼 느껴진다.

아니면 이미 한발 더 나아가서 최근 랜섬웨어 트렌드인 RaaS(Ransomware as a Service)처럼 피싱 사이트를 만들어두고, 돈을 주면 호스팅만 하면 쉽게 구축할 수 있도록 하는 서비스가 다크웹에 존재하고 있지 않을까라는 합리적인 의심도 든다.

이를 이용하면 실제 피싱 페이지로 리다이렉션 해주는 중간의 호스팅 사이트는 계속해서 바뀔 수 있고, 개인정보를 유출하는 피싱 사이트 또한 지속적으로 주소를 바꿔가면서 피싱 메일 유포가 가능하기 때문에, 피싱 사이트 탐지도 악성코드 변종 탐지처럼 해야할 듯 싶다.

​

최근에는 네이버 메일에서 자체적으로 피싱 메일을 예방하는 방법을 알려주고 있는데, 마지막의 웨일 브라우저를 사용하라는 것을 제외하고, 메일의 N 아이콘이나 로그인 주소를 확인하거나 2단계 인증을 사용하라는 방법은 이미 많이 언급하였으니 설명은 생략하도록 하겠다.

네이버 피싱을 예방하는 네 가지 방법

네이버 시큐리티 블로그에는 안티 피싱을 적용한 웨일 브라우저 소개 포스팅도 있는데, 브라우저 자체에서 HTML 구조를 분석해서 피싱 사이트를 탐지하는 것까지는 브라우저에서 담당하니 그렇다 쳐도, URL 기반 탐지 모듈 자체는 브라우저가 아니라 네이버 메일 서버에서 충분히 적용 가능해 보여서 브라우저와 상관 없을 것으로 보이는데.. 국내에서 웨일 브라우저의 점유율을 높이기 위한 차별화 전략이라면 어쩔수 없지만 피싱 메일이 판치는 시국에 보안 수준은 동일하게 적용해 주었으면 하는 바람이다.

​

이렇게 간단히 네이버 고객센터로 위장한 피싱 사이트에 대해 분석해 봤고, 오늘은 기술적인 부분을 많이 포함하고 있어서 IT 전공자가 아니라면 무슨 말인지 몰라서 그냥 넘길 수 있는데, 개인적으로는 피싱 메일이 금전적인 피해와 직결되는 심각한 문제이기 때문에 IT 전공자가 아니라도 어느 정도 알아야 한다고 생각한다.

사실 기술적인 부분은 네이버보다는 구글에서 검색을 많이하고 티스토리 같은 곳에 능력자 분들이 많이 올려주고 있기 때문에, 내 블로그에는 전문가가 아닌 일반인들을 대상으로 보안 이슈에 쓰고 있는 글처럼 보안에 대해 최대한 쉽게 풀어쓰려고 노력하고 있다.

근래 정말 상상지도 못한 시나리오로 피싱 메일을 보내고 있어서 계속해서 피해가 증가하고 있는데, 하루 빨리 효과적인 피싱 사이트 탐지 기술이 도입되서 피해를 방지할 수 있길 바라며 이만 글을 마치도록 하겠다.